重要提示:如果您还没有现有的 SSO 父组织(通过 Enterprise 或 Team 计划),您需要联系我们的销售团队以启用此功能,然后才能访问 Claude Console 身份设置页面。
域名捕获、单点登录 (SSO) 和即时配置 (JIT) 使 Claude Console 组织能够增强身份验证安全性并简化用户对 console.anthropic.com 的访问。本指南假设:
您是 Claude Console 账户的管理员。
您控制公司电子邮件地址域的 DNS 设置。
您控制公司用于登录第三方应用程序的 SSO 身份提供商(例如 Okta、Google Workspace 等)。
如果第 2 点和第 3 点不适用,请联系您组织的 IT 管理员以继续。
注意:WorkOS 是 Anthropic 的域名验证和 SSO 设置提供商。更多详情可在 Anthropic 的分包商列表中找到。
了解父组织
我们的单点登录功能引入了"父组织"的概念。这是一个存储组织 SSO 设置的实体。为了让多个组织共享相同的 SSO 配置,每个组织都需要链接到同一个父组织。您的父组织的来源方式取决于您的计划:
Enterprise 计划组织默认创建时带有父组织。
对于 Team 计划组织,首次启用 SSO 时将创建父组织。
Claude Console 组织在设置时不会自动具有此功能。
重要提示:如果您是已配置 SSO 的 Enterprise 或 Team 组织的成员,您的 Claude Console 组织可能已链接到同一个父组织。您可以通过检查是否可以访问 platform.claude.com/settings/identity 的身份和访问设置页面来验证这一点。
如果您的组织确实拥有 Enterprise 或 Team 计划,并且您想将组织的 Claude Console 账户与相同的 SSO 设置/父组织关联,所有者可以启动合并以将它们链接在一起。请参考此处的说明:如何将 Team 或 Claude Console 组织合并到现有父组织。
如果您的组织没有 Enterprise 或 Team 计划,并且您希望为组织的 Claude Console 账户创建新的父组织以配置 SSO 设置:
关于父组织的要点
域名验证存储在父组织级别 - 一旦一个父组织验证了一个域名,其他组织就无法验证或声称该域名。
多个 Claude Console 组织可以链接到同一个父组织下。
合并后,组织可以与其父组织共享相同的 SSO 配置。
高级组映射允许您控制用户对父组织下特定组织的访问。
验证您的域名
"域名捕获"证明您拥有公司的域名。一旦您确认拥有您的域名,我们可以拦截您域名上电子邮件的登录尝试,并要求您的员工通过 SSO 登录。
按照以下步骤验证您的域名:
如果您未执行以下操作之一,此部分将不会出现在您的 Claude Console 账户中:
与我们的销售团队合作为您的 Claude Console 组织启用 SSO 功能。
完成合并提案以将您的 Claude Console 链接到 Enterprise 组织。
点击"添加域名"
按照说明添加您的 TXT 记录。
注意:如果您使用子域(例如 subdomain.yourcompany.com),您应该在该子域上设置新的 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。
等待最多 10 分钟以使您的 DNS 更改传播。当您看到绿色的"已验证"徽章时,您可以关闭说明页面。
返回 platform.claude.com/settings/identity,您应该看到您的域名已添加到页面。如果您没有看到它,请尝试刷新您的页面。
如果您的域名列为"待处理",请点击"待处理"旁边的按钮以刷新您的域名状态。
您的域名现在应该列为"已验证"。
查看您的域名成员资格
要查看或下载有关您的已验证域名及其在 Claude 组织中的使用情况的信息:
在域名管理