Claude for Government 需要单点登录 (SSO) 进行用户身份验证。与商业版 Claude Enterprise 计划不同,基于电子邮件的(魔法链接)登录仅在账户设置期间对主要所有者可用。所有其他用户必须通过您组织的身份提供商 (IdP) 进行身份验证。
配置 SSO 后,主要所有者可以完全禁用魔法链接登录,以便所有身份验证都通过您的 IdP 进行。
有关 Claude Enterprise 上的 SSO 设置,请参阅 设置单点登录 (SSO)。
SSO 在 Claude for Government 中的差异
功能 | Claude for Government | Claude Enterprise |
电子邮件(魔法链接)登录 | 仅主要所有者,在初始设置期间 | 对所有用户可用 |
SSO 要求 | 对所有非主要所有者用户为必需 | 可选 |
设置 SSO 的步骤
前置条件
在开始之前,请确认您拥有:
主要所有者访问权限 — 购买许可证时注册为主要所有者的电子邮件地址。
DNS 访问权限 — 能够为您组织的登录域创建 TXT 记录。
IdP 管理员访问权限 — 在您的身份提供商(例如 Entra ID、Okta)中创建 SAML 应用程序的权限。
步骤 1:以主要所有者身份登录
输入注册为主要所有者的电子邮件地址。
使用发送到主要所有者收件箱的魔法链接完成基于电子邮件的登录。
登录后,主要所有者将被重定向到位于 claude.fedstart.com/admin-settings/identity 的身份设置页面
提示:从您的 IT 团队中指定某人作为主要所有者通常是有意义的,因为他们需要 DNS 和 IdP 访问权限来完成剩余步骤。
步骤 2:验证您的域
在配置您的身份提供商 (IdP) 之前,您必须验证您的登录域的所有权。
在身份设置页面上,找到您的域并选择 "查看说明" 选项卡。您将能够看到必须设置的所需 DNS 质询记录。
在您的域的 DNS 设置中创建显示的 TXT 记录。
等待 DNS 传播。平台检测到记录后,域状态将更新为 "已验证"。
重要提示:每个域只能有一个身份提供商。如果多个组织共享单个登录域,来自两个组织的 IT 管理员将能够修改登录设置。请联系 Anthropic 支持以获得多组织设置的帮助。有关多组织设置的更多详情,请参阅我们的 SCIM 配置指南。
步骤 3:配置您的身份提供商
Anthropic 在 SAML SSO 流中充当 服务提供商 (SP)。您组织的 IdP(例如 Entra 或 Okta)充当 身份提供商。
在身份设置页面上,找到 SP 元数据部分。这包含您的 IdP 需要的值:
实体 ID(受众 URI)
ACS URL(回复 URL)
在您的 IdP 中,使用这些 SP 元数据值创建新的 SAML 应用程序
步骤 4:使用您的 IdP 详情配置 Anthropic
在您的 IdP 中设置 SAML 应用程序后,向 Anthropic 提供验证 SAML 断言所需的详情。在身份设置页面上,输入:
签名证书 — 来自您的 IdP 的 X.509 证书。
IdP 实体 ID — 您的 IdP 的实体标识符。
SSO URL — IdP 的 SAML 登录端点。
声明信息 — 用户名和电子邮件的属性映射。
提示:使用元数据 XML 文件:大多数 IdP 允许您下载 metadata.xml 文件。在身份设置页面上上传它以自动填充签名证书、IdP 实体 ID 和 SSO URL。某些 IdP(如 Entra ID)也在元数据文件中包含声明信息;如果存在,系统将自动建议字段映射。
属性映射故障排除
属性映射是大多数配置问题发生的地方。如果设置后登录失败:
安装 SAML 调试扩展程序,例如 SAML-tracer。
尝试 SSO 登录并检查 SAML 响应。
确认电子邮件声明返回您已验证域下的地址。未验证域的电子邮件声明将被拒绝。
步骤 5:测试并完成
从 Claude for Government 注销。
使用您的 SSO 配置重新登录以确认其有效。
(可选)验证 SSO 登录后,返回身份设置页面并禁用魔法链接登录。
警告:仅在确认 SSO 登录有效后才禁用魔法链接登录。如果 SSO 配置错误且魔法链接被禁用,主要所有者将无法访问管理控制台。如果您被锁定,请联系 Anthropic 支持。
配置 SSO 后,分配给您的 IdP 中 SAML 应用程序的任何用户都可以登录,并且将自动配置一个座位,前提是您的组织有可用的许可证。如果没有可用的座位,用户将在登录时看到错误。请联系您的 Anthropic 账户代表以添加许可证。有关更受控的配置(包括角色分配和多组织支持),请参阅 SCIM 配置。