跳转到主要内容

设置单点登录 (SSO)

更新于今天

单点登录适用于 Team 计划、Enterprise 计划和 Claude Console 组织。

本指南涵盖为 Team 和 Enterprise 计划以及 Claude Console 组织配置 SSO 的步骤。

第 1 步:查看先决条件和重要注意事项

在继续进行 SSO 设置之前,请完成以下操作:

查看注意事项指南:阅读启用单点登录 (SSO) 和 JIT/SCIM 预配之前的重要注意事项,以了解父组织、确定您的设置路径,并完成任何先决条件步骤,例如合并组织。

确认您拥有所需的角色:

  • 对于 Team 或 Enterprise 计划:您必须是所有者或主要所有者

  • 对于 Claude Console:您必须是管理员

确认您有权访问以下内容:

  • 您公司电子邮件地址域的 DNS 设置

  • 您公司用于登录第三方应用程序的 SSO 身份提供商 (IdP)(例如 Okta、Google Workspace 等)

如果您没有权限管理 Claude 或公司 DNS 设置,请联系您组织的 IT 管理员。

注意:WorkOS 是 Anthropic 的域验证和 SSO 设置提供商。更多详情可在 Anthropic 的分包商列表中找到。在配置 SSO 和预配功能时,您将进入 WorkOS 设置流程 – 在他们的集成文档中查找您的身份提供商。

第 2 步:验证您的域

域验证证明您拥有公司的域。验证后,您可以为具有公司域的帐户配置 SSO。

您可以为单个组织验证多个域,但所有域必须通过单个 IdP 进行管理。我们不支持在同一组织内验证来自不同 IdP 的域。

注意:仅验证您的域不会影响现有用户访问我们产品的能力。只有在设置 SSO 并明确强制执行后,最终用户的访问权限才会受到影响。

  1. 在 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中导航到您的"身份和访问"设置 – 请注意,仅当您已与销售部门合作启用 SSO 或完成合并提案时,此页面才会在 Console 上显示。

  2. 全局 SSO 配置部分中,单击"添加域"。

  3. 按照说明添加您的 TXT 记录。

    • 如果使用子域(例如 subdomain.yourcompany.com),请在该子域上设置 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。

  4. 等待 10 分钟以使您的 DNS 更改传播。注意:DNS 更改可能需要 24-48 小时才能全局传播。

  5. 当您看到绿色"已验证"徽章时,您可以关闭说明页面。

  6. 如果您的域显示为"待处理",请使用"刷新"按钮。

注意:验证您的域后,您将在"身份和访问"页面的"全局 SSO 配置"部分中看到禁用新组织创建切换。如果您想防止用户使用您的已验证域创建新的 Claude 或 Console 组织(包括个人帐户),请启用此选项。

第 3 步:使用您的身份提供商设置 SSO

  1. 在 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中导航到您的"身份和访问"设置

  2. 全局 SSO 配置部分中,单击"设置 SSO"(或"管理 SSO")。

  3. 按照为您的身份提供商提供的设置指南进行操作(请参阅下面的其他指南)。

  4. 在这些步骤的最后,系统将提示您测试单点登录,以确认没有错误且配置成功。

  5. 完成后,导航回"身份和访问"设置页面以获取更多配置选项。

重要:如果用户未在 IdP 中正确分配给 Anthropic 应用程序,SSO 强制执行可能导致用户无法登录。如果您有多个 Claude/Console 组织连接到您的"父组织",您可能需要为每个组织创建唯一的 IdP 组 – 请参阅 高级组映射

有关 IdP 特定的设置说明,请参阅:

第 4 步:选择强制执行 SSO

您现在可以选择在"身份和访问"页面的 SSO 配置部分中打开为 Console 强制执行 SSO和/或为 Claude 强制执行 SSO

强制执行 SSO 时,用户必须使用"继续使用 SSO"选项来访问 Claude/Console。未强制执行 SSO 时,他们将可以选择"继续使用 SSO"或"继续使用电子邮件"。

在决定之前,请查看启用 SSO 时现有用户会发生什么

第 5 步:选择您的预配方法

启用 SSO 后,您需要决定如何将用户添加到您的组织。这由"身份和访问"设置的组织 SSO 配置部分中的预配模式设置控制。

手动是默认设置。用户直接在您的 Claude 或 Console 设置中添加和删除。请参阅在 Team 和 Enterprise 计划上管理成员

可以启用JIT(即时)预配以在用户首次登录时自动预配用户。默认情况下,分配给您的 Anthropic IdP 应用程序的用户首次登录时,他们将获得用户角色。这是最简单的自动化选项,除了选择它之外,不需要任何额外配置。

高级组映射 – 何时配置其他预配功能

有关预配的更多控制,请参阅设置 JIT 或 SCIM 预配。如果您需要以下任何操作,您将需要查看本指南:

  • 根据 IdP 组成员身份自动分配角色或座位层级。

  • 使用 SCIM 目录同步进行自动预配和取消预配。

  • 跨多个组织管理访问权限(例如,如果您有链接到同一父组织的 Team/Enterprise 组织和 Console 组织,并需要控制哪些用户被预配到每个组织)。

注意:我们目前不支持与 Team 或 Enterprise 计划组织共享 SSO 设置的 Claude Console 组织的 IdP 启动登录。用户将被重定向到 claude.ai 进行 IdP 启动登录。作为解决方法,如果可能的话在您的 IdP 中,创建一个名为"Claude Console"的书签,链接到 platform.claude.com/login?sso=true 以将用户重定向到 Console 进行 SP 启动登录。

更新您的 SSO 证书

当您的身份提供商的 X.509 签名证书过期或轮换时,您需要在 Claude 或 Console 中更新它以维持 SSO 功能。

  1. 导航到您的"身份和访问"设置:

    • 对于 Team 和 Enterprise 计划:claude.ai/admin-settings/identity

    • 对于 Claude Console:platform.claude.com/settings/identity

  2. 全局 SSO 配置部分中,单击"管理 SSO"。

  3. 选择"元数据配置"。

  4. 单击"编辑"。

  5. 更新您的证书信息并保存更改。

  6. 在同一页面上单击"测试登录"以确认一切正常工作。

关闭 SSO

您可以随时关闭在 Claude.ai 上强制执行 SSO在 Console 上强制执行 SSO。这将使 SSO 对所有用户成为可选的。

要完全断开 SSO,请单击"管理 SSO",然后单击"重置"。这将结束所有用户的会话,并要求他们通过电子邮件登录链接重新登录。

相关文章
启用单点登录 (SSO) 和 JIT/SCIM 预配之前的重要注意事项
Claude Code 常见问题解答
设置 JIT 或 SCIM 预配
登录到您的 Console 账户
切换到不同的身份提供商 (IdP)
这是否解答了您的问题?