在为您的 Claude 或 Claude Console 组织设置 SSO 之前,请查看本指南以了解关键概念、规划您的方法并完成任何先决条件步骤。
了解父组织
我们的单点登录功能使用"父组织"的概念——一个存储可在多个 Claude 或 Console 组织之间共享的 SSO 设置的实体。您的计划类型决定了您是否默认拥有父组织:
计划类型 | 父组织 |
Enterprise 计划 | 在设置组织时自动创建 |
Team 计划 | 首次启用 SSO 时创建 |
Claude Console | 不会自动创建;需要采取行动(见下文) |
需要了解的关键事项
配置 SSO 之前需要进行域验证。域在父组织级别进行验证——一旦验证,其他父组织就无法声称拥有同一域。
多个组织可以链接到同一父组织以共享域验证和 SSO 配置。如果您同时拥有 Claude(Team/Enterprise 计划)和 Console 组织,这会很有用。
每个父组织只能链接到一个身份提供商。这意味着链接到单个父组织的每个组织都必须通过同一 IdP 进行管理。
高级组映射允许您控制哪些用户被配置到您的父组织下的哪些组织,以及使用哪些角色。有关详细信息,请参阅在您的 IdP 中配置组并分配用户。
这对您意味着什么
您需要根据您的计划检查父组织动态:
如果您拥有 Team 或 Enterprise 计划:您可以直接进行设置单点登录 (SSO)指南。您的父组织已经就位(或在您为 Team 计划启用 SSO 时创建)。
如果您拥有 Claude Console 组织和现有的 Team 或 Enterprise 计划:您的 Console 组织可能已经链接到您的 Team 或 Enterprise 父组织。检查您是否可以访问platform.claude.com/settings/identity——如果可以,这表示该组织已链接到父组织且 SSO 已配置。如果不能,您的 Team 或 Enterprise 计划的所有者可以启动合并以将您的 Console 组织链接(请参阅下面的合并组织)到他们的父组织和现有的 SSO 配置。
如果您拥有 Claude Console 组织但没有 Team 或 Enterprise 计划:联系我们的销售团队为您的 Console 账户请求父组织。一旦我们为您创建父组织,您将在 Claude Console 中看到身份设置页面,并可以继续进行 SSO 设置。
合并组织
Team 或 Enterprise 组织可以邀请其他组织加入现有的父组织并共享 SSO 配置。
重要:合并组织选项仅在 Claude (claude.ai) 上可用。Console 组织无法启动合并——它们必须由 Team 或 Enterprise 组织邀请。
合并的要求
启动提议的 Team 或 Enterprise 组织必须在其父组织中拥有已验证的域。
被邀请组织中的所有成员必须拥有与这些已验证域匹配的电子邮件地址。
被邀请组织的管理员 (Console) 或所有者 (Claude) 需要批准合并。
启动合并提议
导航到组织设置 > 身份和访问。
在合并组织下点击"邀请"。
选择您想邀请的组织,然后点击"下一步"。
查看成员数量,然后点击"邀请"。
合并提议将被发送到被邀请组织的管理员/所有者,电子邮件主题为"父组织更新:提议新的成员组织",必须在 14 天内批准。
注意:如果启动合并的人也是被邀请组织中的管理员/所有者,则只需要一个批准。
一旦 Console 组织被合并,它将获得访问身份和访问页面的权限,在组织设置中配置 SSO 和配置设置。
了解全局与组织 SSO 配置
当您访问 身份和访问页面时,您可能会看到两个配置部分:
全局访问设置:此部分中的设置适用于已加入父组织的所有 Claude 和 Console 组织。这是您配置域验证、主要 SSO 连接和适用于多个已加入的 Claude 或 Console 组织的策略的地方。
组织访问:此部分中的设置仅适用于您当前查看的特定组织。这允许您启用组织特定的功能,如组映射。
限制新组织创建
一旦您的组织域被验证,所有者将在身份和访问组织设置页面的安全下看到限制组织创建切换。打开此选项可防止用户使用任何已验证域创建新的 Claude 或 Console 组织——包括个人账户。
配置选项
配置 SSO 后,您可以选择如何将用户配置到您的组织。
配置方法 | Team 计划 | Enterprise 计划 | Console 组织 |
手动 | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注意:只有 Enterprise 计划组织可以启用 SCIM 配置;如果 Console 组织与 Team 计划的父组织合并,它将无法访问 SCIM 配置。
有关每种配置方法如何工作的详细信息,请参阅设置 JIT 或 SCIM 配置。
启用 SSO 时现有用户会发生什么
为您的组织启用 SSO 后,对于拥有与您已验证公司域关联的个人账户的用户,需要考虑两种不同的情况:
拥有现有免费/Pro/Team/Max 账户且被添加到您的 SSO 应用的用户
这些用户将保持对其现有免费/Pro/Team/Max 账户的访问权限。他们将能够通过点击左下角带有其首字母的个人资料图标在 Team 或 Enterprise 计划账户和其以前的账户之间切换。
拥有现有免费/Pro/Team/Max 账户但未被添加到您的 SSO 应用的用户
如果未启用"需要 Claude SSO":这些用户仍然可以使用"继续使用电子邮件"选项访问其现有账户。
如果启用了"需要 Claude SSO":这些用户将无法访问其现有的免费/Pro/Team/Max 账户。请注意,这些账户不会被删除,但将无法访问,因为用户无法通过 SSO 登录。
如何查看与您已验证域关联的现有 Claude / Console 账户
要查看或下载有关您已验证域及其在 Claude 组织中的使用情况的信息:
导航到 Claude 中的身份和访问部分(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)。
在域部分中点击"域成员资格"。
查看信息或以 CSV 或 JSON 格式下载详细信息。
实施 SSO 前的建议步骤
与您的团队进行清晰沟通
通知所有员工即将迁移到 SSO。
提供明确的变更发生时间表。
建议不会被添加到 SSO 应用的员工保存或导出其对话历史记录(如果将强制执行 SSO)。
规划顺利过渡
在最小化中断的时间安排 SSO 实施。
确保您的 IT 团队已准备好支持员工进行过渡。
为授予授权用户访问权限制定明确的流程。
如果可能,同时实施 SSO 和配置功能。
在启用域捕获和 SSO 之前花时间进行测试、沟通和规划将有助于确保顺利过渡和为您的组织提供积极的体验。
后续步骤
一旦您审查了这些注意事项并完成了任何必要的先决条件步骤(例如合并组织),请继续进行设置单点登录 (SSO)以获取详细的实施说明。