跳转到主要内容

切换到不同的身份提供商 (IdP)

一周前更新

本指南将引导您完成将Claude或Console组织从一个身份提供商迁移到另一个身份提供商的过程,同时保留用户访问权限并避免服务中断。

注意:此过程适用于已配置SSO的组织。如果您是首次设置SSO,请参阅设置单点登录(SSO)

开始前

  • 确认您拥有所需的角色:

    • 对于Team或Enterprise计划:您必须是所有者或主要所有者。

    • 对于Claude Console:您必须是管理员。

  • 提前通知您的用户,他们将在迁移期间暂时被登出。

  • 在低中断时段安排切换。

  • 确保新IdP中所有用户的SSO和SCIM电子邮件属性与之前IdP中使用的完全匹配。如果这些电子邮件地址不完全匹配,用户将被配置为重复账户。

切换IdP的步骤

  1. 禁用来自当前IdP的SCIM推送(如适用):停止当前IdP端的创建/更新事件,以防止在迁移期间发送任何同步信号。

    1. 有关SCIM的更多信息,请参阅设置JIT或SCIM配置

  2. 将配置模式切换为手动(如适用):禁用SCIM推送约一小时后,导航到所有连接的Claude (claude.ai/admin-settings/identity)或Console (platform.claude.com/settings/identity)组织上的"身份和访问"页面。在全局SSO配置下,将配置模式设置为手动。

    1. 这将停止SCIM自动管理用户——用户保留在组织中,但不再受SCIM事件的影响。

  3. 删除SCIM目录(如适用):点击"管理SCIM" > "删除目录"。在手动模式下,删除目录不会触发目录同步事件,包括用户取消配置。

  4. 重置SSO连接:点击"管理SSO" > "重置连接"。

    1. 重要:这将登出所有用户。在配置新IdP进行SSO之前,他们将能够通过电子邮件链接登录

  5. 验证重置:刷新"身份和访问"页面,确认按钮状态已从"管理SSO"更改为"设置SSO"。

  6. 为新IdP设置SSO和配置:按照SSO设置步骤配置JIT或SCIM,启用组映射(如需要),以确保所有用户在新IdP中被分配,并为所有连接的Claude和/或Console组织具有正确的组。如适用,设置后您可以点击"管理SCIM"来验证哪些用户已同步到目录,并确认他们与正确的组相关联。

  7. 重新启用配置(如适用):将配置模式切换为即时(JIT)或目录同步(SCIM),然后点击"保存更改"以应用。

相关文章
启用单点登录 (SSO) 和 JIT/SCIM 预配之前的重要注意事项
在您的大学开始使用Claude进行教育(针对所有者/管理员)
设置单点登录 (SSO)
设置 JIT 或 SCIM 预配
将您的组织从 Team 迁移到 Enterprise
这是否解答了您的问题?