Единый вход доступен для планов Team, планов Enterprise и организаций Console.
Это руководство охватывает этапы настройки SSO для планов Team и Enterprise, а также организаций Claude Console.
Шаг 1. Проверьте предварительные требования и важные рекомендации
Перед настройкой SSO выполните следующее:
Ознакомьтесь с руководством по рекомендациям: Прочитайте Важные рекомендации перед включением единого входа (SSO) и подготовки JIT/SCIM, чтобы понять родительские организации, определить путь настройки и выполнить все необходимые предварительные шаги, такие как объединение организаций.
Подтвердите, что у вас есть требуемая роль:
Для планов Team или Enterprise: вы должны быть владельцем (Owner) или основным владельцем (Primary Owner)
Для Claude Console: вы должны быть администратором (Admin)
Подтвердите, что у вас есть доступ к следующему:
Параметры DNS для домена электронной почты вашей компании
Поставщик удостоверений SSO (IdP) вашей компании, используемый для входа в сторонние приложения (например, Okta, Google Workspace и т. д.)
Обратитесь к администратору IT вашей организации, если у вас нет разрешений на управление параметрами Claude или DNS компании.
Примечание: WorkOS — это поставщик Anthropic для проверки домена и настройки SSO. Дополнительные сведения можно найти в списке субпроцессоров Anthropic. При настройке SSO и функций подготовки вы пройдете процесс настройки WorkOS — найдите своего поставщика удостоверений в их документации по интеграции.
Шаг 2. Проверьте свой домен (домены)
Проверка домена доказывает, что вы владеете доменом вашей компании. После проверки вы можете настроить SSO для учетных записей с доменом вашей компании.
Вы можете проверить несколько доменов для одной организации, но все домены должны управляться через один IdP. Мы не поддерживаем проверку доменов от отдельных IdP в одной организации.
Примечание: Проверка домена сама по себе не повлияет на способность существующих пользователей получать доступ к нашим продуктам. Доступ конечных пользователей затрагивается только после настройки SSO и его явного применения.
Перейдите к параметрам Организация и доступ в Claude (claude.ai/admin-settings/organization) или к параметрам Удостоверение и доступ в Console (platform.claude.com/settings/identity) — обратите внимание, что эта страница будет отображаться в Console только если вы работали с отделом продаж для включения SSO или завершили предложение о слиянии.
В разделе Домены нажмите «Добавить или изменить домены».
Введите домены, которые вы хотите проверить, в модальное окно Обновить домены электронной почты организации и нажмите кнопку «+»:
Нажмите «Сохранить» после завершения добавления доменов.
Добавленные домены теперь появятся в разделе Домены; нажмите «Проверить» справа от домена (доменов), чтобы начать процесс проверки.
Введите свой домен в текстовое поле и нажмите «Продолжить»:
Это создаст запись TXT. Следуйте инструкциям, чтобы добавить эту запись TXT к вашему поставщику домена.
Если вы используете поддомен (например, subdomain.yourcompany.com), установите запись TXT на этом поддомене (например, _acme-challenge.subdomain.yourco. mpany.com).
Подождите 10 минут, пока ваше изменение DNS распространится.
Примечание: распространение изменений DNS может занять 24–48 часов по всему миру.
Когда вы увидите зеленый значок "Проверено", вы можете закрыть страницу инструкций.
Если ваш домен отображается как "Ожидание", используйте кнопку "Обновить".
Примечание: После проверки домена вы увидите переключатель Ограничить создание организации в разделе Безопасность на странице параметров организации «Организация и доступ». Включите его, если вы хотите запретить пользователям создавать новые организации Claude или Console — включая личные учетные записи — используя ваши проверенные домены.
Шаг 3. Настройте SSO с помощью вашего поставщика удостоверений
Перейдите к параметрам Организация и доступ в Claude (claude.ai/admin-settings/organization) или к параметрам Удостоверение и доступ в Console (platform.claude.com/settings/identity).
В разделе Аутентификация нажмите «Настроить SSO» (или «Управлять SSO»).
Следуйте руководству по настройке, предоставленному для вашего поставщика удостоверений (см. ниже дополнительные руководства).
В конце этих шагов вам будет предложено протестировать единый вход, чтобы подтвердить отсутствие ошибок и успешность конфигурации.
После завершения вернитесь на страницу параметров Организация и доступ для дополнительных параметров конфигурации.
Важно: Применение SSO может привести к тому, что пользователи не смогут войти, если они не назначены должным образом приложению Anthropic в IdP. Если у вас есть более одной организации Claude/Console, подключенной к вашей «родительской организации», вы можете создать уникальную группу IdP для каждой. Дополнительные сведения см. в разделе включение сопоставления групп.
Инструкции по настройке для конкретного IdP см. в:
Шаг 4. Выберите требование SSO
Теперь вы можете выбрать переключение Требовать SSO для Console и/или Требовать SSO для Claude на странице Организация и доступ в разделе Аутентификация:
Когда требуется SSO, пользователи должны использовать опцию «Продолжить с SSO» для входа в свои учетные записи Claude/Console. Когда SSO не требуется, у них будет возможность выбрать «Продолжить с SSO» или «Продолжить с электронной почтой».
Перед тем как решить, ознакомьтесь с Что происходит с существующими пользователями при включении SSO.
Шаг 5. Выберите подход к подготовке
После включения SSO вам необходимо решить, как пользователи будут добавлены в вашу организацию, выбрав опцию в разделе Подготовка пользователей параметров Организация и доступ.
Только по приглашениям — это значение по умолчанию. Пользователи добавляются и удаляются непосредственно в параметрах Claude или Console. Пожалуйста, см. Управление членами в планах Team и Enterprise.
Подготовка Just-in-Time (JIT) может быть включена для автоматической подготовки пользователей при их первом входе. По умолчанию пользователи, назначенные приложению Anthropic IdP, при первом входе получат роль User. Это самый простой автоматизированный вариант и не требует дополнительной конфигурации, кроме выбора «Just-in-Time (JIT)» в качестве режима подготовки.
Включить сопоставление групп — когда настраивать дополнительные функции подготовки
Для большего контроля над подготовкой см. Настройка подготовки JIT или SCIM. Вы захотите ознакомиться с этим руководством, если вам нужно:
Автоматически назначать роли или уровни мест на основе членства в группе IdP.
Использовать синхронизацию каталога SCIM для автоматической подготовки и отмены подготовки.
Управлять доступом в нескольких организациях (например, если у вас есть организация Team/Enterprise и организация Console, связанные с одной и той же родительской организацией, и вам нужно контролировать, какие пользователи подготовлены для каждой).
Примечание: Мы в настоящее время не поддерживаем вход, инициированный IdP, для организаций Claude Console, которые совместно используют параметры SSO с организацией плана Team или Enterprise. Пользователи будут перенаправлены на claude.ai при входе, инициированном IdP. В качестве обходного решения, если это возможно в вашем IdP, создайте закладку с названием «Claude Console», которая ссылается на platform.claude.com/login?sso=true, чтобы перенаправить пользователей в Console для входа, инициированного SP.
Обновление сертификата SSO
Когда сертификат подписи X.509 вашего поставщика удостоверений истекает или ротируется, вам необходимо обновить его в Claude или Console для сохранения функциональности SSO.
Перейдите к параметрам:
Для планов Team и Enterprise: claude.ai/admin-settings/organization
Для Claude Console: platform.claude.com/settings/identity
В разделе Аутентификация нажмите «Управлять SSO».
Найдите раздел Конфигурация метаданных и нажмите «Изменить».
Обновите информацию о сертификате и сохраните изменения.
Нажмите "Тестовый вход" на той же странице, чтобы подтвердить, что все работает.
Отключение SSO
Вы можете отключить Требовать SSO для Claude или Требовать SSO для Console в любое время. Это сделает SSO необязательным для всех пользователей.
Чтобы полностью отключить SSO, нажмите «Управлять SSO», а затем «Сбросить соединение». Это завершит все сеансы пользователей и потребует от них повторного входа через ссылку входа по электронной почте.