单点登录 (SSO) 可用于 Team 和 Enterprise 计划,以及 Claude Console 组织。请参阅 Console 特定的设置说明:在 Claude Console 上设置单点登录。
域名验证、单点登录 (SSO) 和即时配置 (JIT) 使 Team 和 Enterprise 计划组织能够增强身份验证安全性并简化用户对 Claude 的访问。本指南假设:
您是组织的 Team 或 Enterprise 计划的所有者或主要所有者。
您控制公司电子邮件地址域的 DNS 设置。
您控制公司用于登录第三方应用程序的 SSO 身份提供商 (IdP)(例如 Okta、Google Workspace 等)。
如果 #2 和 #3 不适用,请联系组织的 IT 管理员以继续。
注意:WorkOS 是 Anthropic 的域名验证和 SSO 设置提供商。更多详情可在 Anthropic 的分包商列表中找到。
了解父组织
我们的单点登录功能引入了"父组织"的概念。这是一个存储组织 SSO 设置的实体。为了让多个组织共享相同的 SSO 配置,每个组织都需要链接到同一个父组织。请注意以下关于父组织的信息,具体取决于您的计划:
Enterprise 计划组织默认创建时带有父组织。
对于 Team 计划组织,首次启用 SSO 时将创建父组织。
Claude Console 组织在设置时不会自动具有此功能。
关于父组织的关键要点
域名验证存储在父组织级别 - 一旦一个父组织验证了一个域,其他组织就无法验证或声称拥有该域。父组织的所有者需要合并新组织,以便在该域中共享 SSO 配置。
多个组织(包括 Team 计划和 Claude Console 组织)可以链接到同一个父组织以共享相同的 SSO 配置。
高级组映射允许您控制用户对父组织下特定组织的访问。
如何将组织合并到现有父组织中
Team 或 Enterprise 组织可以发起提案,邀请新组织加入其现有父组织,以便共享其 SSO 配置。
要求:
发起提案的 Team 或 Enterprise 组织必须在其父组织中验证了域。
新组织中的所有成员必须拥有与这些已验证域匹配的电子邮件地址。
每个新组织的管理员/所有者需要批准合并。
所有者需要完成以下步骤:
导航到管理设置 > 身份和访问
在合并组织下点击"邀请"。
在出现的模态框中选择正确的组织,然后点击"下一步"。
您将看到一个弹出窗口,显示您要合并的组织中的成员数;点击"邀请"。
合并提案将发送给 Console 管理员或组织所有者,必须在 14 天内批准。
如果执行这些步骤的所有者也是受邀组织的管理员/所有者,则只需要一次批准。
如果合并 Console 组织,合并完成后,该组织将获得访问 platform.claude.com/settings/identity 的权限以配置 SSO 登录选项,并可以启用"高级组映射"等功能。
如果您的组织没有 Team 或 Enterprise 计划,并且您希望为组织的 Console 账户创建一个新的父组织以配置 SSO 设置:
请注意,您可以将所有 Claude Console (platform.claude.com) 组织链接到同一个父组织。请参阅我们的Console 特定说明以配置 SSO。
验证您的域
域名验证证明您拥有公司的域。一旦您确认拥有您的域,您就可以开始为具有公司域的账户配置 SSO。
注意:仅验证您的域不会影响现有员工访问我们产品的能力。只有在设置 SSO 并明确强制执行后才会发生这种情况。
按照以下说明验证您的域:
导航到 claude.ai/admin-settings/identity。
点击"添加域"按钮。
按照说明添加您的 TXT 记录。
注意:如果您使用的是子域(例如 subdomain.yourcompany.com),您应该在该子域上设置新的 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。