在為您的 Claude 或 Claude Console 組織設定 SSO 之前,請檢閱本指南以了解關鍵概念、規劃您的方法,並完成任何必要的先決條件步驟。
了解父組織
我們的單一登入功能使用「父組織」的概念。這是一個儲存 SSO 設定的實體,可以在多個 Claude 或 Console 組織之間共享。您的方案類型決定了您是否預設擁有父組織:
方案類型 | 父組織 |
企業方案 | 在組織設定時自動建立 |
團隊方案 | 首次啟用 SSO 時建立 |
Claude Console | 不會自動建立;需要採取行動(見下文) |
需要了解的重要事項
在設定 SSO 之前,必須驗證網域。網域在父組織層級進行驗證。一旦網域經過驗證,其他父組織就無法聲稱擁有該網域。
多個組織可以連結到同一個父組織以共享網域驗證和 SSO 設定。如果您同時擁有 Claude(團隊/企業方案)和 Console 組織,這會很有用。
每個父組織只能連結到一個身分提供者。這表示連結到單一父組織的每個組織都必須透過同一個 IdP 進行管理。
啟用群組對應可讓您控制哪些使用者被佈建到父組織下的哪些組織,以及使用哪些角色。如需詳細資訊,請參閱在您的 IdP 中設定群組並指派使用者。
父組織僅管理身分和存取——具體來說,是網域驗證、SSO 設定和使用者佈建。帳單、發票和使用情況追蹤在個別組織層級進行處理,不受父組織關係的影響。
這對您意味著什麼
您需要根據您的方案檢查父組織動態:
如果您有團隊或企業方案:您可以直接進行到設定單一登入 (SSO) 指南。您的父組織已經就位(或在您為團隊方案啟用 SSO 時建立)。
如果您有 Claude Console 組織和現有的團隊或企業方案:您的 Console 組織可能已經連結到您的團隊或企業父組織。檢查您是否可以存取platform.claude.com/settings/identity。如果可以,這表示該組織已連結到父組織,且 SSO 已設定。如果不能,您的團隊或企業方案的擁有者可以啟動合併,將您的 Console 組織連結到他們的父組織(請參閱下面的合併組織)和現有的 SSO 設定。
如果您有 Claude Console 組織但沒有團隊或企業方案:聯絡我們的銷售團隊為您的 Console 帳戶要求父組織。一旦我們建立您的父組織,您將在 Claude Console 中看到「身分設定」頁面,並可以繼續進行 SSO 設定。
合併組織
團隊或企業組織可以邀請其他組織加入現有的父組織並共享 SSO 設定。
重要:合併組織選項僅在 Claude (claude.ai) 上可用。Console 組織無法啟動合併;它們必須由團隊或企業組織邀請。
合併的要求
啟動提案的團隊或企業組織必須在其父組織中擁有已驗證的網域。
被邀請組織中的所有成員必須擁有與這些已驗證網域相符的電子郵件地址。
被邀請組織的管理員 (Console) 或擁有者 (Claude) 需要批准合併。
被邀請的組織不能已經屬於另一個父組織。
注意:如果您想邀請的組織未出現在邀請清單中,它可能已經屬於自己的父組織,具有單獨的已驗證網域和 SSO。聯絡支援以將其從目前的父組織中分離。分離會清除該組織現有的網域驗證和 SSO/SCIM 設定,因此請在您要求之前確認其管理員已知悉。
啟動合併提案
瀏覽至組織設定 > 組織和存取。
在合併組織下按一下「邀請」。
選擇您想邀請的組織,然後按一下「下一步」。
檢閱成員數量,然後按一下「邀請」。
合併提案將被發送到被邀請組織的管理員/擁有者,電子郵件主旨為「父組織更新:提議新的成員組織」,必須在 14 天內批准。
注意:如果啟動合併的人也是被邀請組織中的管理員/擁有者,則只需要一次批准。
批准合併提案
組織擁有者或主要擁有者需要前往claude.ai/settings/join-proposal以接受合併。
Console 組織合併後,將在組織設定中獲得對身分和存取頁面的存取權限,以設定 SSO 和佈建設定。
驗證
您將在驗證部分中找到可用於設定 SSO 的設定。這是您設定主要 SSO 連線和適用於多個已加入 Claude 或 Console 組織的原則的地方。
限制新組織建立
一旦您的組織網域經過驗證,擁有者將在「組織和存取」頁面的安全性下看到限制組織建立切換。開啟此選項可防止使用者使用任何已驗證的網域建立新的 Claude 或 Console 組織(包括個人帳戶)。
佈建選項
設定 SSO 後,您可以選擇如何將使用者佈建到您的組織。
佈建方法 | 團隊方案 | 企業方案 | Console 組織 |
僅邀請 | ✓ | ✓ | ✓ |
JIT | ✓ | ✓ | ✓ |
SCIM | ✗ | ✓ | ✓* |
*注意:只有企業方案組織可以啟用 SCIM 佈建;如果 Console 組織與團隊方案的父組織合併,它將無法存取 SCIM 佈建。
如需有關每種佈建方法如何運作的詳細資訊,請參閱設定 JIT 或 SCIM 佈建。
啟用 SSO 時現有使用者會發生什麼
為您的組織啟用 SSO 後,對於擁有與您已驗證公司網域相關聯的個人帳戶的使用者,有兩種不同的情況需要考慮:
擁有現有 Free/Pro/Team/Max 帳戶且已新增到您的 SSO 應用程式的使用者
這些使用者保留對其現有 Free/Pro/Team/Max 帳戶的存取權。他們可以透過按一下左下角帶有其首字母的個人資料圖示,在團隊或企業方案帳戶和其先前帳戶之間切換。
擁有現有 Free/Pro/Team/Max 帳戶但未新增到您的 SSO 應用程式的使用者
如果未啟用「需要 Claude SSO」:這些使用者仍然可以使用「使用電子郵件繼續」選項存取其現有帳戶。
如果已啟用「需要 Claude SSO」:這些使用者將無法存取其現有的 Free/Pro/Team/Max 帳戶。請注意,這些帳戶不會被刪除,但將無法存取,因為使用者無法透過 SSO 登入。
如何檢視與您已驗證網域相關聯的現有 Claude / Console 帳戶
若要檢視或下載有關您已驗證網域及其在 Claude 組織中使用情況的資訊:
瀏覽至 Claude 中的組織和存取部分(claude.ai/admin-settings/organization)或 Console 中的身分和存取部分(platform.claude.com/settings/identity)。
在網域部分中按一下「網域成員資格」。
檢閱資訊或以 CSV 或 JSON 格式下載詳細資訊。
實施 SSO 前的建議步驟
與您的團隊進行清晰的溝通
通知所有員工即將遷移到 SSO。
提供變更發生時間的清晰時間表。
建議不會被新增到 SSO 應用程式的員工保存或匯出其對話歷史記錄(如果將強制執行 SSO)。
規劃順利過渡
在最小化中斷的時間內排程 SSO 實施。
確保您的 IT 團隊已準備好支援員工進行過渡。
制定明確的流程以授予授權使用者的存取權限。
如果可能,同時實施 SSO 和佈建功能。
在啟用網域驗證和 SSO 之前花時間進行測試、溝通和規劃,將有助於確保順利過渡和為您的組織帶來積極的體驗。
後續步驟
一旦您檢閱了這些考量並完成了任何必要的先決條件步驟(例如合併組織),請進行到設定單一登入 (SSO)以取得詳細的實施說明。