在为您的Claude或Claude Console组织设置SSO之前,请查看本指南以了解关键概念、规划您的方法并完成任何先决条件步骤。
了解父组织
我们的单点登录功能使用"父组织"的概念——一个存储SSO设置的实体,这些设置可以在多个Claude或Console组织之间共享。您的计划类型决定了您是否默认拥有父组织:
计划类型 | 父组织 |
企业计划 | 在组织设置时自动创建 |
团队计划 | 首次启用SSO时创建 |
Claude Console | 不会自动创建;需要采取行动(见下文) |
需要了解的关键事项
配置SSO之前需要进行域验证。域在父组织级别进行验证——一旦验证,其他父组织无法声称拥有同一域。
多个组织可以链接到同一父组织以共享域验证和SSO配置。如果您同时拥有Claude(团队/企业计划)和Console组织,这会很有用。
高级组映射允许您控制哪些用户被配置到您的父组织下的哪些组织,以及使用哪些角色。有关详细信息,请参阅在您的IdP中配置组并分配用户。
这对您意味着什么
您需要根据您的计划检查父组织的动态:
如果您拥有团队或企业计划:您可以直接进行设置单点登录(SSO)指南。您的父组织已经就位(或在您为团队计划启用SSO时创建)。
如果您拥有Claude Console组织和现有的团队或企业计划:您的Console组织可能已经链接到您的团队或企业父组织。检查您是否可以访问platform.claude.com/settings/identity——如果可以,这表示该组织已链接到父组织且SSO已配置。如果不能,您的团队或企业计划的所有者可以启动合并以将您的Console组织(请参阅下面的合并组织)链接到他们的父组织和现有SSO配置。
如果您拥有Claude Console组织但没有团队或企业计划:联系我们的销售团队为您的Console账户请求父组织。创建父组织后,您将在Claude Console中看到身份设置页面,并可以继续进行SSO设置。
合并组织
团队或企业组织可以邀请其他组织加入现有的父组织并共享SSO配置。
重要:合并组织选项仅在Claude (claude.ai)上可用。Console组织无法启动合并——它们必须由团队或企业组织邀请。
合并的要求
启动提议的团队或企业组织必须在其父组织中拥有已验证的域。
被邀请组织中的所有成员必须拥有与这些已验证域匹配的电子邮件地址。
被邀请组织的管理员(Console)或所有者(Claude)需要批准合并。
启动合并提议
导航到管理设置 > 身份和访问。
在合并组织下点击"邀请"。
选择您要邀请的组织并点击"下一步"。
查看成员数量并点击"邀请"。
合并提议将被发送到被邀请组织的管理员/所有者,电子邮件主题为"父组织更新:提议新的成员组织",必须在14天内批准。
注意:如果启动合并的人也是被邀请组织中的管理员/所有者,则只需要一个批准。
一旦Console组织被合并,它将获得对身份和访问页面的访问权限,在管理设置中,以配置SSO和配置设置以及高级组映射等功能。
了解全局与组织SSO配置
当您访问 身份和访问页面时,您可能会看到两个配置部分:
全局SSO配置:此部分中的设置适用于已加入父组织的所有Claude和Console组织。这是您配置域验证、主SSO连接以及适用于多个已加入的Claude或Console组织的策略的地方。
组织SSO配置:此部分中的设置仅适用于您当前查看的特定组织。这允许您启用组织特定的功能,如高级组映射。
防止创建新组织
一旦您的组织域被验证,所有者将在身份和访问管理设置页面上看到禁用新组织创建切换。打开此选项可防止用户使用任何已验证域创建新的Claude或Console组织——包括个人账户。
配置选项
配置SSO后,您可以选择