在為您的 Claude 或 Claude Console 組織設定 SSO 之前,請查看本指南以了解關鍵概念、規劃您的方法,並完成任何先決條件步驟。
了解父組織
我們的單一登入功能使用「父組織」的概念——一個存儲 SSO 設定的實體,可以在多個 Claude 或 Console 組織之間共享。您的計畫類型決定了您是否預設擁有父組織:
計畫類型 | 父組織 |
Enterprise 計畫 | 在設定組織時自動建立 |
Team 計畫 | 首次啟用 SSO 時建立 |
Claude Console | 不會自動建立;需要採取行動(見下文) |
需要了解的關鍵事項
在配置 SSO 之前需要進行網域驗證。網域在父組織級別進行驗證——驗證後,其他父組織無法聲稱擁有相同的網域。
多個組織可以連結到同一個父組織以共享網域驗證和 SSO 配置。如果您同時擁有 Claude(Team/Enterprise 計畫)和 Console 組織,這會很有用。
每個父組織只能連結到一個身份提供者。這意味著連結到單一父組織的每個組織都必須通過同一個 IdP 進行管理。
進階群組對應允許您控制哪些使用者被佈建到您父組織下的哪些組織,以及使用哪些角色。有關詳細資訊,請參閱在您的 IdP 中配置群組並指派使用者。
這對您意味著什麼
您需要根據您的計畫檢查父組織動態:
如果您有 Team 或 Enterprise 計畫:您可以直接進行設定單一登入 (SSO)指南。您的父組織已經就位(或在您為 Team 計畫啟用 SSO 時建立)。
如果您有 Claude Console 組織和現有的 Team 或 Enterprise 計畫:您的 Console 組織可能已經連結到您的 Team 或 Enterprise 父組織。檢查您是否可以存取platform.claude.com/settings/identity——如果可以,這表示該組織已連結到父組織且 SSO 已配置。如果不能,您的 Team 或 Enterprise 計畫的擁有者可以啟動合併,將您的 Console 組織(見下面的合併組織)連結到他們的父組織和現有的 SSO 配置。
如果您有 Claude Console 組織但沒有 Team 或 Enterprise 計畫:聯絡我們的銷售團隊為您的 Console 帳戶請求父組織。一旦我們建立您的父組織,您將在 Claude Console 中看到身份設定頁面,並可以繼續進行 SSO 設定。
合併組織
Team 或 Enterprise 組織可以邀請其他組織加入現有的父組織並共享 SSO 配置。
重要:合併組織選項僅在 Claude (claude.ai) 上可用。Console 組織無法啟動合併——它們必須由 Team 或 Enterprise 組織邀請。
合併的要求
啟動提案的 Team 或 Enterprise 組織必須在其父組織中驗證網域。
被邀請組織中的所有成員必須擁有與這些已驗證網域相符的電子郵件地址。
被邀請組織的管理員 (Console) 或擁有者 (Claude) 需要批准合併。
啟動合併提案
導覽至組織設定 > 身份和存取。
在合併組織下按一下「邀請」。
選擇您要邀請的組織,然後按一下「下一步」。
檢查成員數量,然後按一下「邀請」。
合併提案將發送給被邀請組織的管理員/擁有者,電子郵件主旨為「父組織更新:提議新的成員組織」,必須在 14 天內批准。
注意:如果啟動合併的人也是被邀請組織中的管理員/擁有者,則只需要一次批准。
Console 組織合併後,將在組織設定中獲得對身份和存取頁面的存取權限,以配置 SSO 和佈建設定。
了解全域與組織 SSO 配置
當您存取 身份和存取頁面時,您可能會看到兩個配置部分:
全域存取設定:此部分中的設定適用於已加入父組織的所有 Claude 和 Console 組織。這是您配置網域驗證、主要 SSO 連線和適用於多個已加入的 Claude 或 Console 組織的原則的地方。
組織存取:此部分中的設定僅適用於您目前檢視的特定組織。這允許您啟用組織特定的功能,例如群組對應。
限制新組織建立
一旦您的組織網域經過驗證,擁有者將在身份和存取組織設定頁面的安全性下看到限制組織建立切換。開啟此選項可防止使用者使用任何已驗證的網域建立新的 Claude 或 Console 組織——包括個人帳戶。
佈建選項
配置 SSO 後,您可以選擇如何將使用者佈建到您的組織。
佈建方法 | Team 計畫 | Enterprise 計畫 | Console 組織 |
手動 | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注意:只有 Enterprise 計畫組織可以啟用 SCIM 佈建;如果 Console 組織與 Team 計畫的父組織合併,它將無法存取 SCIM 佈建。
有關每種佈建方法如何運作的詳細資訊,請參閱設定 JIT 或 SCIM 佈建。
啟用 SSO 時現有使用者會發生什麼
為您的組織啟用 SSO 後,對於擁有與您已驗證公司網域相關聯的個人帳戶的使用者,有兩種不同的情況需要考慮:
擁有現有免費/Pro/Team/Max 帳戶且被新增到您的 SSO 應用程式的使用者
這些使用者將保持對其現有免費/Pro/Team/Max 帳戶的存取權限。他們將能夠通過按一下左下角帶有其首字母的個人資料圖示,在 Team 或 Enterprise 計畫帳戶和其先前帳戶之間切換。
擁有現有免費/Pro/Team/Max 帳戶但未被新增到您的 SSO 應用程式的使用者
如果「要求 Claude 使用 SSO」未啟用:這些使用者仍然可以使用「使用電子郵件繼續」選項存取其現有帳戶。
如果「要求 Claude 使用 SSO」已啟用:這些使用者將無法存取其現有的免費/Pro/Team/Max 帳戶。請注意,這些帳戶不會被刪除,但將無法存取,因為使用者無法通過 SSO 登入。
如何檢視與您已驗證網域相關聯的現有 Claude / Console 帳戶
要檢視或下載有關您已驗證網域及其在 Claude 組織中的使用情況的資訊:
導覽至 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中的身份和存取部分。
在網域部分中按一下「網域成員資格」。
檢查資訊或以 CSV 或 JSON 格式下載詳細資訊。
實施 SSO 前的建議步驟
與您的團隊進行清晰的溝通
通知所有員工即將遷移到 SSO。
提供變更發生時間的清晰時間表。
建議不會被新增到 SSO 應用程式的員工保存或匯出其對話歷史記錄(如果將強制執行 SSO)。
規劃順利的過渡
在最小化中斷的時間安排 SSO 實施。
確保您的 IT 團隊已準備好支援員工進行過渡。
為授權使用者授予存取權限制定清晰的流程。
如果可能,同時實施 SSO 和佈建功能。
在啟用網域擷取和 SSO 之前花時間進行測試、溝通和規劃,將有助於確保順利的過渡和為您的組織帶來積極的體驗。
後續步驟
一旦您已檢視這些考慮事項並完成任何必要的先決條件步驟(例如合併組織),請進行設定單一登入 (SSO)以取得詳細的實施說明。