Team 计划、Enterprise 计划和 Claude Console 组织可使用单点登录。
本指南涵盖为 Team 和 Enterprise 计划以及 Claude Console 组织配置 SSO 的步骤。
第 1 步:查看先决条件和重要注意事项
在继续进行 SSO 设置之前,请完成以下操作:
查看注意事项指南:阅读启用单点登录 (SSO) 和 JIT/SCIM 预配之前的重要注意事项,以了解父组织、确定您的设置路径并完成任何先决条件步骤,例如合并组织。
确认您拥有所需的角色:
对于 Team 或 Enterprise 计划:您必须是所有者或主要所有者
对于 Claude Console:您必须是管理员
确认您有权访问以下内容:
您公司电子邮件地址域的 DNS 设置
您公司用于登录第三方应用程序的 SSO 身份提供商 (IdP)(例如 Okta、Google Workspace 等)
如果您没有权限管理 Claude 或公司 DNS 设置,请联系您组织的 IT 管理员。
注意:WorkOS 是 Anthropic 的域验证和 SSO 设置提供商。更多详情可在Anthropic 的分包商列表中找到。配置 SSO 和预配功能时,您将进入 WorkOS 设置流程 – 在他们的集成文档中查找您的身份提供商。
第 2 步:验证您的域
域验证证明您拥有公司的域。验证后,您可以为具有公司域的帐户配置 SSO。
您可以为单个组织验证多个域,但所有域必须通过单个 IdP 进行管理。我们不支持在同一组织内验证来自不同 IdP 的域。
注意:仅验证您的域不会影响现有用户访问我们产品的能力。只有在设置 SSO 并明确强制执行后,最终用户的访问权限才会受到影响。
在 Claude 中导航到您的"身份和访问"设置(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)– 请注意,此页面仅在您与销售部门合作启用 SSO 或完成合并提案后才会在 Console 上显示。
在域部分中,单击"添加或编辑域"。
在更新组织电子邮件域模式中输入要验证的域,然后单击"+"按钮:
添加完域后,单击"保存"。
您添加的域现在将显示在域部分中;单击域右侧的"验证"以开始验证过程。
在文本框中输入您的域,然后单击"继续":
这将生成一条 TXT 记录。按照说明将此 TXT 记录添加到您的域提供商。
如果使用子域(例如 subdomain.yourcompany.com),请在该子域上设置 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。
等待 10 分钟以使您的 DNS 更改传播。
注意:DNS 更改可能需要 24-48 小时才能全局传播。
当您看到绿色的"已验证"徽章时,您可以关闭说明页面。
如果您的域显示为"待处理",请使用"刷新"按钮。
注意:验证您的域后,您将在"身份和访问"组织设置页面的安全下看到限制组织创建切换。如果您想防止用户使用您的已验证域创建新的 Claude 或 Console 组织(包括个人帐户),请启用此选项。
第 3 步:使用您的身份提供商设置 SSO
在 Claude 中导航到您的"身份和访问"设置(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)
在全局访问设置/组织访问部分中,单击"设置 SSO"(或"管理")。
按照为您的身份提供商提供的设置指南进行操作(请参阅下面的其他指南)。
在这些步骤的最后,系统将提示您测试单点登录以确认没有错误且配置成功。
完成后,导航回"身份和访问"设置页面以获取更多配置选项。
重要:如果用户未在 IdP 中正确分配给 Anthropic 应用,SSO 强制执行可能导致用户无法登录。如果您有多个 Claude/Console 组织连接到您的"父组织",您需要考虑为每个组织创建唯一的 IdP 组。有关更多信息,请参阅启用组映射。
有关 IdP 特定的设置说明,请参阅:
第 4 步:选择要求 SSO
您现在可以选择在"身份和访问"页面上的全局访问设置/组织访问部分中切换要求 Console SSO和/或要求 Claude SSO:
当需要 SSO 时,用户必须使用"使用 SSO 继续"选项来访问 Claude/Console。当不需要 SSO 时,他们将可以选择"使用 SSO 继续"或"使用电子邮件继续"。
在做出决定之前,请查看启用 SSO 时现有用户会发生什么。
第 5 步:选择您的预配方法
启用 SSO 后,您需要决定如何将用户添加到您的组织。这由"身份和访问"设置的全局访问设置/组织访问部分中的预配模式设置控制。
手动是默认设置。用户直接在您的 Claude 或 Console 设置中添加和删除。请参阅在 Team 和 Enterprise 计划上管理成员。
JIT(即时)预配可以启用以在用户首次登录时自动预配用户。默认情况下,分配给您的 Anthropic IdP 应用的用户首次登录时,他们将获得用户角色。这是最简单的自动化选项,除了选择它之外,不需要任何额外配置。
启用组映射 - 何时配置其他预配功能
有关预配的更多控制,请参阅设置 JIT 或 SCIM 预配。如果您需要以下任何操作,您需要查看本指南:
根据 IdP 组成员身份自动分配角色或座位层级。
使用 SCIM 目录同步进行自动预配和取消预配。
跨多个组织管理访问权限(例如,如果您有链接到同一父组织的 Team/Enterprise 组织和 Console 组织,并需要控制哪些用户预配到每个组织)。
注意:我们目前不支持与 Team 或 Enterprise 计划组织共享 SSO 设置的 Claude Console 组织的 IdP 启动登录。用户将被重定向到 claude.ai 进行 IdP 启动登录。作为解决方法,如果可能的话在您的 IdP 中,创建一个名为"Claude Console"的书签,链接到 platform.claude.com/login?sso=true 以将用户重定向到 Console 进行 SP 启动登录。
更新您的 SSO 证书
当您的身份提供商的 X.509 签名证书过期或轮换时,您需要在 Claude 或 Console 中更新它以维持 SSO 功能。
导航到您的"身份和访问"设置:
对于 Team 和 Enterprise 计划:claude.ai/admin-settings/identity
对于 Claude Console:platform.claude.com/settings/identity
在全局访问设置/组织访问部分中,单击"管理 SSO"。
选择"元数据配置"。
单击"编辑"。
更新您的证书信息并保存更改。
在同一页面上单击"测试登录"以确认一切正常工作。
关闭 SSO
您可以随时切换要求 Claude SSO或要求 Console SSO关闭。这将使 SSO 对所有用户可选。
要完全断开 SSO,请单击"管理 SSO",然后单击"重置"。这将结束所有用户的会话,并要求他们通过电子邮件登录链接重新登录。