单点登录适用于 Team 计划、Enterprise 计划和 Console 组织。
本指南涵盖为 Team 和 Enterprise 计划以及 Claude Console 组织配置 SSO 的步骤。
步骤 1:查看先决条件和重要注意事项
在继续进行 SSO 设置之前,请完成以下操作:
查看注意事项指南:阅读 启用单点登录 (SSO) 和 JIT/SCIM 预配前的重要注意事项,以了解父组织、确定您的设置路径并完成任何先决条件步骤,例如合并组织。
确认您拥有所需的角色:
对于 Team 或 Enterprise 计划:您必须是所有者或主要所有者
对于 Claude Console:您必须是管理员
确认您有权访问以下内容:
您公司电子邮件地址域的 DNS 设置
您公司用于登录第三方应用程序的 SSO 身份提供商 (IdP)(例如 Okta、Google Workspace 等)
如果您没有权限管理 Claude 或公司 DNS 设置,请联系您组织的 IT 管理员。
注意:WorkOS 是 Anthropic 的域验证和 SSO 设置提供商。更多详情可在 Anthropic 的分包商列表中找到。配置 SSO 和预配功能时,您将进入 WorkOS 设置流程 – 在他们的 集成文档中查找您的身份提供商。
步骤 2:验证您的域
域验证证明您拥有公司的域。验证后,您可以为具有公司域的账户配置 SSO。
您可以为单个组织验证多个域,但所有域必须通过单个 IdP 进行管理。我们不支持在同一组织内验证来自不同 IdP 的域。
注意:仅验证您的域不会影响现有用户访问我们产品的能力。只有在设置 SSO 并明确强制执行后,最终用户的访问权限才会受到影响。
在 Claude 中导航到您的组织和访问设置(claude.ai/admin-settings/organization)或在 Console 中导航到您的身份和访问设置(platform.claude.com/settings/identity)– 请注意,此页面仅在您已与销售部门合作启用 SSO 或完成合并提案时才会在 Console 上显示。
在域部分中,单击"添加或编辑域"。
在更新组织电子邮件域模态框中输入要验证的域,然后单击"+"按钮:
添加完域后,单击"保存"。
您添加的域现在将显示在域部分中;单击域右侧的"验证"以开始验证过程。
在文本框中输入您的域,然后单击"继续":
这将生成一条 TXT 记录。按照说明将此 TXT 记录添加到您的域提供商。
如果使用子域(例如 subdomain.yourcompany.com),请在该子域上设置 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。
等待 10 分钟以使您的 DNS 更改传播。
注意:DNS 更改可能需要 24-48 小时才能全局传播。
当您看到绿色的"已验证"徽章时,您可以关闭说明页面。
如果您的域显示为"待处理",请使用"刷新"按钮。
注意:域验证后,您将在"组织和访问"组织设置页面的安全下看到限制组织创建切换开关。如果您想防止用户使用您的已验证域创建新的 Claude 或 Console 组织(包括个人账户),请启用此选项。
步骤 3:使用您的身份提供商设置 SSO
在 Claude 中导航到您的组织和访问设置(claude.ai/admin-settings/organization)或在 Console 中导航到您的身份和访问设置(platform.claude.com/settings/identity)。
在身份验证部分中,单击"设置 SSO"(或"管理 SSO")。
按照为您的身份提供商提供的设置指南进行操作(请参阅下面的其他指南)。
在这些步骤的最后,系统将提示您测试单点登录以确认没有错误且配置成功。
完成后,导航回组织和访问设置页面以获取更多配置选项。
重要:SSO 强制执行可能导致用户无法登录,如果他们未在 IdP 中正确分配给 Anthropic 应用程序。如果您有多个 Claude/Console 组织连接到您的
有关 IdP 特定的设置说明,请参阅:
步骤 4:选择要求 SSO
您现在可以选择在组织和访问页面的身份验证部分下切换要求 Console 的 SSO和/或要求 Claude 的 SSO:
当需要 SSO 时,用户必须使用"使用 SSO 继续"选项登录其 Claude/Console 账户。当不需要 SSO 时,他们将可以选择"使用 SSO 继续"或"使用电子邮件继续"。
在做出决定之前,请查看启用 SSO 时现有用户会发生什么。
步骤 5:选择您的预配方法
启用 SSO 后,您需要通过在组织和访问设置的用户预配部分中选择一个选项来决定如何将用户添加到您的组织。
仅邀请是默认设置。用户直接在您的 Claude 或 Console 设置中添加和删除。请参阅在 Team 和 Enterprise 计划上管理成员。
可以启用即时 (JIT) 预配以在用户首次登录时自动预配用户。默认情况下,分配给您的 Anthropic IdP 应用程序的用户首次登录时将获得用户角色。这是最简单的自动化选项,除了选择"即时 (JIT)"作为您的预配模式外,无需任何其他配置。
启用组映射 - 何时配置其他预配功能
为了更好地控制预配,请参阅设置 JIT 或 SCIM 预配。如果您需要以下操作,您需要查看本指南:
根据 IdP 组成员身份自动分配角色或座位层级。
使用 SCIM 目录同步进行自动预配和取消预配。
跨多个组织管理访问权限(例如,如果您有一个 Team/Enterprise 组织和一个 Console 组织链接到同一父组织,并需要控制哪些用户预配到每个组织)。
注意:我们目前不支持与 Team 或 Enterprise 计划组织共享 SSO 设置的 Claude Console 组织的 IdP 启动登录。用户将被重定向到 claude.ai 进行 IdP 启动登录。作为解决方法,如果您的 IdP 支持,请创建一个名为"Claude Console"的书签,链接到 platform.claude.com/login?sso=true 以将用户重定向到 Console 进行 SP 启动登录。
更新您的 SSO 证书
当您的身份提供商的 X.509 签名证书过期或轮换时,您需要在 Claude 或 Console 中更新它以维持 SSO 功能。
导航到您的设置:
对于 Team 和 Enterprise 计划:claude.ai/admin-settings/organization
对于 Claude Console:platform.claude.com/settings/identity
在身份验证部分中,单击"管理 SSO"。
找到元数据配置部分并单击"编辑"。
更新您的证书信息并保存更改。
单击同一页面上的"测试登录"以确认一切正常工作。
关闭 SSO
您可以随时切换要求 Claude 的 SSO或要求 Console 的 SSO关闭。这将使 SSO 对所有用户成为可选。
要完全断开 SSO 连接,请单击"管理 SSO",然后单击"重置连接"。这将结束所有用户的会话,并要求他们通过电子邮件登录链接重新登录。