在为您的 Claude 或 Claude Console 组织设置 SSO 之前,请查看本指南以了解关键概念、规划您的方法并完成任何先决条件步骤。
了解父组织
我们的单点登录功能使用"父组织"的概念。这是一个存储 SSO 设置的实体,可以在多个 Claude 或 Console 组织之间共享。您的计划类型决定了您是否默认拥有父组织:
计划类型 | 父组织 |
企业计划 | 在设置组织时自动创建 |
团队计划 | 首次启用 SSO 时创建 |
Claude Console | 不会自动创建;需要采取行动(见下文) |
需要了解的关键事项
配置 SSO 之前需要进行域验证。域在父组织级别进行验证——验证后,其他父组织无法声称拥有同一域。
多个组织可以链接到同一父组织以共享域验证和 SSO 配置。如果您同时拥有 Claude(团队/企业计划)和 Console 组织,这会很有用。
每个父组织只能链接到一个身份提供商。这意味着链接到单个父组织的每个组织都必须通过同一 IdP 进行管理。
启用组映射允许您控制哪些用户被预配到父组织下的哪些组织,以及使用哪些角色。有关详细信息,请参阅在您的 IdP 中配置组并分配用户。
父组织仅管理身份和访问——具体来说,是域验证、SSO 配置和用户预配。计费、发票和使用情况跟踪在单个组织级别处理,不受父组织关系的影响。
这对您意味着什么
您需要根据您的计划检查父组织动态:
如果您拥有团队或企业计划:您可以直接进行设置单点登录 (SSO)指南。您的父组织已经就位(或在您为团队计划启用 SSO 时创建)。
如果您拥有 Claude Console 组织和现有的团队或企业计划:您的 Console 组织可能已链接到您的团队或企业父组织。检查您是否可以访问platform.claude.com/settings/identity。如果可以,这表示该组织已链接到父组织且 SSO 已配置。如果不能,您的团队或企业计划的所有者可以启动合并以将您的 Console 组织(请参阅下面的合并组织)链接到其父组织和现有 SSO 配置。
如果您拥有 Claude Console 组织但没有团队或企业计划:联系我们的销售团队为您的 Console 账户请求父组织。一旦我们创建您的父组织,您将在 Claude Console 中看到"身份设置"页面,并可以继续进行 SSO 设置。
合并组织
团队或企业组织可以邀请其他组织加入现有父组织并共享 SSO 配置。
重要:合并组织选项仅在 Claude (claude.ai) 上可用。Console 组织无法启动合并——它们必须由团队或企业组织邀请。
合并的要求
启动提议的团队或企业组织必须在其父组织中拥有已验证的域。
被邀请组织中的所有成员必须拥有与这些已验证域匹配的电子邮件地址。
被邀请组织的管理员 (Console) 或所有者 (Claude) 需要批准合并。
启动合并提议
导航到组织设置 > 组织和访问。
在合并组织下点击"邀请"。
选择您要邀请的组织,然后点击"下一步"。
查看成员数量,然后点击"邀请"。
合并提议将发送给被邀请组织的管理员/所有者,电子邮件主题为"父组织更新:提议新成员组织",必须在 14 天内批准。
注意:如果启动合并的人也是被邀请组织中的管理员/所有者,则只需要一次批准。
批准合并提议
组织所有者或主要所有者需要转到claude.ai/settings/join-proposal以接受合并。
Console 组织合并后,将在组织设置中获得对身份和访问页面的访问权限,以配置 SSO 和预配设置。
身份验证
您将在身份验证部分中找到可用于配置 SSO 的设置。这是您配置主 SSO 连接和适用于多个已加入 Claude 或 Console 组织的策略的地方。
限制新组织创建
一旦您的组织域被验证,所有者将在"组织和访问"页面的安全下看到限制组织创建切换。打开此选项可防止用户使用任何已验证域创建新的 Claude 或 Console 组织——包括个人账户。
预配选项
配置 SSO 后,您可以选择如何将用户预配到您的组织。
预配方法 | 团队计划 | 企业计划 | Console 组织 |
仅邀请 | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注意:只有企业计划组织可以启用 SCIM 预配;如果 Console 组织与团队计划的父组织合并,它将无法访问 SCIM 预配。
有关每种预配方法如何工作的详细信息,请参阅设置 JIT 或 SCIM 预配。
启用 SSO 时现有用户会发生什么
为您的组织启用 SSO 后,对于拥有与您已验证公司域关联的个人账户的用户,需要考虑两种不同的情况:
拥有现有免费/专业/团队/最大账户且被添加到您的 SSO 应用程序的用户
这些用户将保持对其现有免费/专业/团队/最大账户的访问权限。他们将能够通过点击左下角带有其首字母的个人资料图标,在团队或企业计划账户和其以前的账户之间切换。
拥有现有免费/专业/团队/最大账户但未被添加到您的 SSO 应用程序的用户
如果未启用"需要 Claude SSO":这些用户仍然可以使用"使用电子邮件继续"选项访问其现有账户。
如果启用了"需要 Claude SSO":这些用户将无法访问其现有的免费/专业/团队/最大账户。请注意,这些账户不会被删除,但将无法访问,因为用户无法通过 SSO 登录。
如何查看与您已验证域关联的现有 Claude / Console 账户
要查看或下载有关您已验证域及其在 Claude 组织中的使用情况的信息:
导航到 Claude 中的组织和访问部分(claude.ai/admin-settings/organization)或 Console 中的身份和访问部分(platform.claude.com/settings/identity)。
在域部分中点击"域成员资格"。
查看信息或以 CSV 或 JSON 格式下载详细信息。
实施 SSO 之前的建议步骤
与您的团队进行清晰沟通
通知所有员工即将迁移到 SSO。
提供明确的时间表说明何时进行更改。
建议不会被添加到 SSO 应用程序的员工保存或导出其对话历史记录(如果将强制执行 SSO)。
规划平稳过渡
在最小化中断的时间安排 SSO 实施。
确保您的 IT 团队已准备好支持员工进行过渡。
制定明确的流程以向授权用户授予访问权限。
如果可能,同时实施 SSO 和预配功能。
在启用域捕获和 SSO 之前花时间进行测试、沟通和规划将有助于确保成功过渡和为您的组织提供积极体验。
后续步骤
一旦您审查了这些注意事项并完成了任何必要的先决条件步骤(例如合并组织),请进行设置单点登录 (SSO)以获取详细的实施说明。