單一登入適用於 Team 方案、Enterprise 方案和 Console 組織。
本指南涵蓋為 Team 和 Enterprise 方案以及 Claude Console 組織設定 SSO 的步驟。
步驟 1:檢查先決條件和重要考量
在進行 SSO 設定之前,請完成以下操作:
檢查考量指南:閱讀 啟用單一登入 (SSO) 和 JIT/SCIM 佈建前的重要考量,以了解父組織、確定您的設定路徑,並完成任何先決條件步驟,例如合併組織。
確認您擁有所需的角色:
對於 Team 或 Enterprise 方案:您必須是擁有者或主要擁有者
對於 Claude Console:您必須是管理員
確認您可以存取以下內容:
貴公司電子郵件地址網域的 DNS 設定
貴公司用於登入第三方應用程式的 SSO 身分識別提供者 (IdP)(例如 Okta、Google Workspace 等)
如果您沒有權限管理 Claude 或公司 DNS 設定,請聯絡貴組織的 IT 管理員。
注意:WorkOS 是 Anthropic 的網域驗證和 SSO 設定提供者。更多詳細資訊可在 Anthropic 的子處理者清單中找到。設定 SSO 和佈建功能時,您將進行 WorkOS 設定流程——在其 整合文件中找到您的身分識別提供者。
步驟 2:驗證您的網域
網域驗證證明您擁有貴公司的網域。驗證後,您可以為具有貴公司網域的帳戶設定 SSO。
您可以為單一組織驗證多個網域,但所有網域必須透過單一 IdP 管理。我們不支援在同一組織內驗證來自不同 IdP 的網域。
注意:單獨驗證您的網域不會影響現有使用者存取我們產品的能力。只有在設定 SSO 並明確強制執行後,終端使用者的存取權才會受到影響。
在 Claude 中導覽至您的組織和存取設定(claude.ai/admin-settings/organization),或在 Console 中導覽至您的身分識別和存取設定(platform.claude.com/settings/identity)——請注意,此頁面只有在您已與銷售部門合作啟用 SSO 或完成合併提案時,才會在 Console 上顯示。
在網域部分中,按一下「新增或編輯網域」。
在更新組織電子郵件網域強制回應視窗中輸入您要驗證的網域,然後按一下「+」按鈕:
完成新增網域後,按一下「儲存」。
您新增的網域現在將出現在網域部分中;按一下網域右側的「驗證」以開始驗證程序。
在文字方塊中輸入您的網域,然後按一下「繼續」:
設定畫面會顯示 TXT 記錄。使用複製按鈕複製完整值——它以
anthropic-domain-verification-開頭,長度超過方塊中可見的內容。在您的 DNS 提供者中,新增 TXT 記錄,將主機/名稱設定為@(您網域的根目錄),並將值設定為複製的字串。將其與任何現有 TXT 記錄一起新增;不要取代它們。該值區分大小寫,因此請完全貼上。重要:在離開設定畫面之前,請儲存 TXT 值。網域顯示為「待處理」後,管理員主控台不會再次顯示該值。如果您遺失它,您需要移除並重新新增網域,這會產生新值。
等待 10 分鐘讓您的 DNS 變更傳播。
注意:DNS 變更可能需要 24-48 小時才能全球傳播。
當您看到綠色「已驗證」徽章時,您可以關閉說明頁面。
如果您的網域顯示為「待處理」,請使用「重新整理」按鈕。
如果您的網域保持待處理
按一下「重新整理」會重新檢查您的 DNS;在發佈的 TXT 記錄完全符合預期值之前,它不會顯示「已驗證」。如果在 DNS 傳播後仍保持待處理,請檢查以下內容:
記錄存在於根目錄。使用 DNSChecker 等工具查詢您網域的 TXT 記錄,並確認以
anthropic-domain-verification-開頭的記錄出現在yourdomain.com(不是www.yourdomain.com或其他子網域)。如果沒有出現,記錄可能已在錯誤的主機上新增,或尚未傳播。值完全相符。檢查區分大小寫,需要完整字串,包括
anthropic-domain-verification-…=前置詞。單一字元差異將使其保持待處理。您尚未移除並重新新增網域。每次重新新增都會產生新的驗證值。如果您在發佈 TXT 記錄後重新新增了網域,發佈的值將不再相符——您需要使用新值更新 DNS 記錄。
如果記錄正確且已傳播,但狀態仍顯示待處理,請聯絡支援。
注意:驗證您的網域後,您將在「組織和存取」組織設定頁面的安全性下看到限制組織建立切換。如果您想防止使用者使用您驗證的網域建立新的 Claude 或 Console 組織(包括個人帳戶),請啟用此功能。
步驟 3:使用您的身分識別提供者設定 SSO
在 Claude 中導覽至您的組織和存取設定(claude.ai/admin-settings/organization),或在 Console 中導覽至您的身分識別和存取設定(platform.claude.com/settings/identity)。
在驗證部分中,按一下「設定 SSO」(或「管理 SSO」)。
按照為您的身分識別提供者提供的設定指南進行(請參閱下方的其他指南)。
在這些步驟結束時,系統會提示您測試單一登入,以確認沒有錯誤且設定成功。
完成後,導覽回組織和存取設定頁面以取得進一步的設定選項。
重要:SSO 強制執行可能導致使用者無法登入,如果他們未在 IdP 中正確指派給 Anthropic 應用程式。如果您有多個 Claude/Console 組織連接到您的「父組織」,您可能需要考慮為每個組織建立唯一的 IdP 群組。如需詳細資訊,請參閱啟用群組對應。
如需 IdP 特定的設定說明,請參閱:
步驟 4:選擇要求 SSO
您現在可以選擇在組織和存取頁面上的驗證部分下切換要求 Console 的 SSO和/或要求 Claude 的 SSO:
當需要 SSO 時,使用者必須使用「使用 SSO 繼續」選項登入其 Claude/Console 帳戶。當不需要 SSO 時,他們將可以選擇「使用 SSO 繼續」或「使用電子郵件繼續」。
在您決定之前,請檢查啟用 SSO 時現有使用者會發生什麼。
步驟 5:選擇您的佈建方法
啟用 SSO 後,您需要透過選擇組織和存取設定的使用者佈建部分中的選項來決定如何將使用者新增到您的組織。
僅限邀請是預設值。使用者直接在您的 Claude 或 Console 設定中新增和移除。請參閱在 Team 和 Enterprise 方案上管理成員。
即時 (JIT) 佈建可以啟用,以在使用者首次登入時自動佈建使用者。根據預設,指派給您的 Anthropic IdP 應用程式的使用者首次登入時,他們將收到使用者角色。這是最簡單的自動化選項,除了選擇「即時 (JIT)」作為您的佈建模式外,不需要任何額外設定。
啟用群組對應 - 何時設定其他佈建功能
如需更多佈建控制,請參閱設定 JIT 或 SCIM 佈建。如果您需要以下功能,您將需要檢查本指南:
根據 IdP 群組成員資格自動指派角色或座位層級。
使用 SCIM 目錄同步進行自動佈建和取消佈建。
跨多個組織管理存取(例如,如果您有連接到同一父組織的 Team/Enterprise 組織和 Console 組織,並需要控制哪些使用者佈建到每個組織)。
注意:我們目前不支援與 Team 或 Enterprise 方案組織共享 SSO 設定的 Claude Console 組織的 IdP 啟動登入。使用者將被重新導向至 claude.ai 進行 IdP 啟動登入。作為解決方法,如果可能的話,在您的 IdP 中建立名為「Claude Console」的書籤,連結至 platform.claude.com/login?sso=true,以將使用者重新導向至 Console 進行 SP 啟動登入。
更新您的 SSO 憑證
當您的身分識別提供者的 X.509 簽署憑證過期或輪換時,您需要在 Claude 或 Console 中更新它以維持 SSO 功能。
導覽至您的設定:
對於 Team 和 Enterprise 方案:claude.ai/admin-settings/organization
對於 Claude Console:platform.claude.com/settings/identity
在驗證部分中,按一下「管理 SSO」。
找到中繼資料設定部分,然後按一下「編輯」。
更新您的憑證資訊並儲存您的變更。
按一下同一頁面上的「測試登入」以確認一切正常運作。
關閉 SSO
您可以隨時切換要求 Claude 的 SSO或要求 Console 的 SSO。這將使 SSO 對所有使用者成為選擇性。
若要完全中斷 SSO 連接,請按一下「管理 SSO」,然後按一下「重設連接」。這將結束所有使用者的工作階段,並要求他們透過電子郵件登入連結重新登入。