在为您的Claude或Claude Console组织设置SSO之前,请查看本指南以了解关键概念、规划您的方法并完成任何先决条件步骤。
了解父组织
我们的单点登录功能使用"父组织"的概念——一个存储SSO设置的实体,这些设置可以在多个Claude或Console组织之间共享。您的计划类型决定了您是否默认拥有父组织:
计划类型 | 父组织 |
企业计划 | 在组织设置时自动创建 |
团队计划 | 在首次启用SSO时创建 |
Claude Console | 不会自动创建;需要采取行动(见下文) |
需要了解的关键事项
配置SSO之前需要进行域验证。域在父组织级别进行验证——一旦验证,其他父组织无法声称同一域。
多个组织可以链接到同一父组织以共享域验证和SSO配置。如果您同时拥有Claude(团队/企业计划)和Console组织,这会很有用。
每个父组织只能链接到一个身份提供商。这意味着链接到单个父组织的每个组织都必须通过同一IdP进行管理。
高级组映射允许您控制哪些用户被配置到您的父组织下的哪些组织,以及使用哪些角色。有关详细信息,请参阅在您的IdP中配置组并分配用户。
这对您意味着什么
您需要根据您的计划检查父组织动态:
如果您拥有团队或企业计划:您可以直接进行设置单点登录(SSO)指南。您的父组织已经就位(或在启用团队计划的SSO时创建)。
如果您拥有Claude Console组织和现有的团队或企业计划:您的Console组织可能已经链接到您的团队或企业父组织。检查您是否可以访问platform.claude.com/settings/identity——如果可以,这表示该组织已链接到父组织且SSO已配置。如果不能,您的团队或企业计划的所有者可以启动合并以将您的Console组织(请参阅下面的合并组织)链接到他们的父组织和现有SSO配置。
如果您拥有Claude Console组织但没有团队或企业计划:联系我们的销售团队为您的Console账户请求父组织。创建父组织后,您将在Claude Console中看到身份设置页面,并可以继续进行SSO设置。
合并组织
团队或企业组织可以邀请其他组织加入现有的父组织并共享SSO配置。
重要:合并组织选项仅在Claude (claude.ai)上可用。Console组织无法启动合并——它们必须由团队或企业组织邀请。
合并的要求
启动提议的团队或企业组织必须在其父组织中拥有已验证的域。
被邀请组织中的所有成员必须拥有与这些已验证域匹配的电子邮件地址。
被邀请组织的管理员(Console)或所有者(Claude)需要批准合并。
启动合并提议
导航到管理设置 > 身份和访问。
在合并组织下点击"邀请"。
选择您要邀请的组织并点击"下一步"。
查看成员数量并点击"邀请"。
合并提议将被发送到被邀请组织的管理员/所有者,电子邮件主题为"父组织更新:提议新成员组织",必须在14天内批准。
注意:如果启动合并的人也是被邀请组织中的管理员/所有者,则只需要一个批准。
Console组织合并后,将在管理设置中获得对身份和访问页面的访问权限,以配置SSO和配置设置以及高级组映射等功能。
了解全局与组织SSO配置
当您访问 身份和访问页面时,您可能会看到两个配置部分:
全局SSO配置:此部分中的设置适用于已加入父组织的所有Claude和Console组织。这是您配置域验证、主SSO连接以及适用于多个已加入的Claude或Console组织的策略的地方。
组织SSO配置:此部分中的设置仅适用于您当前查看的特定组织。这允许您启用组织特定的功能,如高级组映射。
防止创建新组织
一旦您的组织域被验证,所有者将在身份和访问管理设置页面上看到禁用新组织创建切换。打开此选项可防止用户使用任何已验证域创建新的Claude或Console组织——包括个人账户。
配置选项
配置SSO后,您可以选择如何将用户配置到您的组织。
配置方法 | 团队计划 | 企业计划 | Console组织 |
手动 | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注意:只有企业计划组织可以启用SCIM配置;如果Console组织与团队计划的父组织合并,它将无法访问SCIM配置。
有关每种配置方法如何工作的详细信息,请参阅设置JIT或SCIM配置。
启用SSO时现有用户会发生什么
为您的组织启用SSO后,对于拥有与您已验证公司域关联的个人账户的用户,有两种不同的情况需要考虑:
拥有现有免费/专业/团队/最大账户且被添加到您的SSO应用的用户
这些用户将保持对其现有免费/专业/团队/最大账户的访问权限。他们将能够通过点击左下角带有其首字母的个人资料图标在团队或企业计划账户和其以前的账户之间切换。
拥有现有免费/专业/团队/最大账户但未被添加到您的SSO应用的用户
如果未启用"为Claude.ai强制执行SSO":这些用户仍然可以使用"继续使用电子邮件"选项访问其现有账户。
如果启用了"为Claude.ai强制执行SSO":这些用户将无法访问其现有的免费/专业/团队/最大账户。请注意,这些账户不会被删除,但将无法访问,因为用户无法通过SSO登录。
如何查看与您已验证域关联的现有Claude / Console账户
要查看或下载有关您已验证域及其在Claude组织中的使用情况的信息:
在Claude (claude.ai/admin-settings/identity)或Console (platform.claude.com/settings/identity)中导航到"全局SSO配置"部分。
在域管理部分中点击"查看域成员"。
查看信息或以CSV或JSON格式下载详细信息。
实施SSO前的建议步骤
与您的团队进行清晰沟通
通知所有员工即将迁移到SSO。
为变更发生的时间提供清晰的时间表。
建议不会被添加到SSO应用的员工保存或导出其对话历史记录(如果将强制执行SSO)。
规划顺利过渡
在最小化中断的时间安排SSO实施。
确保您的IT团队已准备好支持员工进行过渡。
为授予授权用户访问权限制定明确的流程。
如果可能,同时实施SSO和配置功能。
在启用域捕获和SSO之前花时间进行测试、沟通和规划将有助于确保顺利过渡和为您的组织提供积极的体验。
后续步骤
一旦您审查了这些注意事项并完成了任何必要的先决条件步骤(例如合并组织),请继续进行设置单点登录(SSO)以获取详细的实施说明。