單一登入適用於 Team 方案、Enterprise 方案和 Console 組織。
本指南涵蓋為 Team 和 Enterprise 方案以及 Claude Console 組織設定 SSO 的步驟。
步驟 1:檢查先決條件和重要考量
在進行 SSO 設定之前,請完成以下操作:
檢查考量指南:閱讀 啟用單一登入 (SSO) 和 JIT/SCIM 佈建前的重要考量,以了解父組織、確定您的設定路徑,並完成任何先決條件步驟,例如合併組織。
確認您擁有所需的角色:
對於 Team 或 Enterprise 方案:您必須是擁有者或主要擁有者
對於 Claude Console:您必須是管理員
確認您可以存取以下內容:
貴公司電子郵件地址網域的 DNS 設定
貴公司用於登入第三方應用程式的 SSO 身分識別提供者 (IdP)(例如 Okta、Google Workspace 等)
如果您沒有權限管理 Claude 或公司 DNS 設定,請聯絡貴組織的 IT 管理員。
注意:WorkOS 是 Anthropic 的網域驗證和 SSO 設定提供者。更多詳細資訊可在 Anthropic 的子處理者清單中找到。設定 SSO 和佈建功能時,您將進行 WorkOS 設定流程 – 在其 整合文件中找到您的身分識別提供者。
步驟 2:驗證您的網域
網域驗證證明您擁有貴公司的網域。驗證後,您可以為具有貴公司網域的帳戶設定 SSO。
您可以為單一組織驗證多個網域,但所有網域必須透過單一 IdP 進行管理。我們不支援在同一組織內驗證來自不同 IdP 的網域。
注意:單獨驗證您的網域不會影響現有使用者存取我們產品的能力。只有在設定 SSO 並明確強制執行後,終端使用者的存取權才會受到影響。
在 Claude 中導覽至您的組織和存取設定(claude.ai/admin-settings/organization)或在 Console 中導覽至您的身分識別和存取設定(platform.claude.com/settings/identity)– 請注意,此頁面只有在您已與銷售部門合作啟用 SSO 或完成合併提案時,才會在 Console 上顯示。
在網域部分中,按一下「新增或編輯網域」。
在更新組織電子郵件網域強制回應視窗中輸入您要驗證的網域,然後按一下「+」按鈕:
完成新增網域後,按一下「儲存」。
您新增的網域現在將出現在網域部分中;按一下網域右側的「驗證」以開始驗證程序。
在文字方塊中輸入您的網域,然後按一下「繼續」:
這將產生 TXT 記錄。按照說明將此 TXT 記錄新增至您的網域提供者。
如果使用子網域(例如 subdomain.yourcompany.com),請在該子網域上設定 TXT 記錄(例如 _acme-challenge.subdomain.yourco. mpany.com)。
等待 10 分鐘讓您的 DNS 變更傳播。
注意:DNS 變更可能需要 24-48 小時才能全球傳播。
當您看到綠色「已驗證」徽章時,您可以關閉說明頁面。
如果您的網域顯示為「待處理」,請使用「重新整理」按鈕。
注意:網域驗證後,您將在「組織和存取」組織設定頁面的安全性下看到限制組織建立切換。如果您想防止使用者使用您驗證的網域建立新的 Claude 或 Console 組織(包括個人帳戶),請啟用此功能。
步驟 3:使用您的身分識別提供者設定 SSO
在 Claude 中導覽至您的組織和存取設定(claude.ai/admin-settings/organization)或在 Console 中導覽至您的身分識別和存取設定(platform.claude.com/settings/identity)。
在驗證部分中,按一下「設定 SSO」(或「管理 SSO」)。
按照為您的身分識別提供者提供的設定指南進行操作(請參閱下方的其他指南)。
在這些步驟結束時,系統會提示您測試單一登入,以確認沒有錯誤且設定成功。
完成後,導覽回組織和存取設定頁面以取得進一步的設定選項。
重要:SSO 強制執行可能導致使用者無法登入,如果他們未在 IdP 中正確指派給 Anthropic 應用程式。如果您有多個 Claude/Console 組織連接到您的「父組織」,您會想要考慮為每個組織建立唯一的 IdP 群組。如需詳細資訊,請參閱啟用群組對應。
如需 IdP 特定的設定說明,請參閱:
步驟 4:選擇要求 SSO
您現在可以選擇在組織和存取頁面的驗證部分下切換要求 Console 的 SSO和/或要求 Claude 的 SSO:
當需要 SSO 時,使用者必須使用「使用 SSO 繼續」選項登入其 Claude/Console 帳戶。當不需要 SSO 時,他們將可以選擇「使用 SSO 繼續」或「使用電子郵件繼續」。
在您決定之前,請檢查啟用 SSO 時現有使用者會發生什麼。
步驟 5:選擇您的佈建方法
啟用 SSO 後,您需要透過選擇組織和存取設定的使用者佈建部分中的選項來決定如何將使用者新增至您的組織。
僅限邀請是預設值。使用者直接在您的 Claude 或 Console 設定中新增和移除。請參閱在 Team 和 Enterprise 方案上管理成員。
即時 (JIT) 佈建可以啟用,以在使用者首次登入時自動佈建使用者。根據預設,指派給您的 Anthropic IdP 應用程式首次登入的使用者將收到使用者角色。這是最簡單的自動化選項,除了選擇「即時 (JIT)」作為您的佈建模式外,不需要任何額外設定。
啟用群組對應 - 何時設定其他佈建功能
如需更多佈建控制,請參閱設定 JIT 或 SCIM 佈建。如果您需要執行以下操作,您會想要檢查本指南:
根據 IdP 群組成員資格自動指派角色或座位層級。
使用 SCIM 目錄同步進行自動佈建和取消佈建。
跨多個組織管理存取(例如,如果您有連接到同一父組織的 Team/Enterprise 組織和 Console 組織,並需要控制哪些使用者佈建到每個組織)。
注意:我們目前不支援與 Team 或 Enterprise 方案組織共享 SSO 設定的 Claude Console 組織的 IdP 啟動登入。使用者將被重新導向至 claude.ai 進行 IdP 啟動登入。作為解決方法,如果可能的話,在您的 IdP 中建立名為「Claude Console」的書籤,連結至 platform.claude.com/login?sso=true,以將使用者重新導向至 Console 進行 SP 啟動登入。
更新您的 SSO 憑證
當您的身分識別提供者的 X.509 簽署憑證過期或輪換時,您需要在 Claude 或 Console 中更新它以維持 SSO 功能。
導覽至您的設定:
對於 Team 和 Enterprise 方案:claude.ai/admin-settings/organization
對於 Claude Console:platform.claude.com/settings/identity
在驗證部分中,按一下「管理 SSO」。
找到中繼資料設定部分,然後按一下「編輯」。
更新您的憑證資訊並儲存您的變更。
按一下同一頁面上的「測試登入」以確認一切正常運作。
關閉 SSO
您可以隨時切換要求 Claude 的 SSO或要求 Console 的 SSO。這將使 SSO 對所有使用者成為選擇性。
若要完全中斷 SSO 連線,請按一下「管理 SSO」,然後按一下「重設連線」。這將結束所有使用者的工作階段,並要求他們透過電子郵件登入連結重新登入。