Team 方案、Enterprise 方案和 Claude Console 組織可使用單一登入。
本指南涵蓋為 Team 和 Enterprise 方案以及 Claude Console 組織設定 SSO 的步驟。
步驟 1:檢查先決條件和重要考量
在進行 SSO 設定之前,請完成以下操作:
檢查考量指南:閱讀啟用單一登入 (SSO) 和 JIT/SCIM 佈建前的重要考量,以了解父組織、確定您的設定路徑,並完成任何先決條件步驟,例如合併組織。
確認您擁有所需的角色:
對於 Team 或 Enterprise 方案:您必須是擁有者或主要擁有者
對於 Claude Console:您必須是管理員
確認您可以存取以下內容:
貴公司電子郵件地址網域的 DNS 設定
貴公司用於登入第三方應用程式的 SSO 身分識別提供者 (IdP)(例如 Okta、Google Workspace 等)
如果您沒有權限管理 Claude 或公司 DNS 設定,請聯絡貴組織的 IT 管理員。
注意:WorkOS 是 Anthropic 的網域驗證和 SSO 設定提供者。更多詳細資訊可在Anthropic 的子處理者清單中找到。設定 SSO 和佈建功能時,您將進行 WorkOS 設定流程 – 在其整合文件中找到您的身分識別提供者。
步驟 2:驗證您的網域
網域驗證證明您擁有貴公司的網域。驗證後,您可以為具有貴公司網域的帳戶設定 SSO。
您可以為單一組織驗證多個網域,但所有網域必須透過單一 IdP 進行管理。我們不支援在同一組織內驗證來自不同 IdP 的網域。
注意:驗證您的網域本身不會影響現有使用者存取我們產品的能力。只有在設定 SSO 並明確強制執行後,終端使用者的存取權才會受到影響。
在 Claude 中導覽至您的「身分識別和存取」設定(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)– 請注意,此頁面只有在您已與銷售部門合作啟用 SSO 或完成合併提案時,才會在 Console 上顯示。
在網域部分中,按一下「新增或編輯網域」。
在更新組織電子郵件網域模式中輸入您要驗證的網域,然後按一下「+」按鈕:
完成新增網域後,按一下「儲存」。
您新增的網域現在將出現在網域部分中;按一下網域右側的「驗證」以開始驗證程序。
在文字方塊中輸入您的網域,然後按一下「繼續」:
這將產生 TXT 記錄。按照說明將此 TXT 記錄新增至您的網域提供者。
如果使用子網域(例如 subdomain.yourcompany.com),請在該子網域上設定 TXT 記錄(例如 _acme-challenge.subdomain.yourcompany.com)。
等待 10 分鐘讓您的 DNS 變更傳播。
注意:DNS 變更可能需要 24-48 小時才能全球傳播。
當您看到綠色「已驗證」徽章時,您可以關閉說明頁面。
如果您的網域顯示為「待驗證」,請使用「重新整理」按鈕。
注意:驗證您的網域後,您將在「身分識別和存取」組織設定頁面的安全性下看到限制組織建立切換。如果您想防止使用者使用您驗證的網域建立新的 Claude 或 Console 組織(包括個人帳戶),請啟用此選項。
步驟 3:使用您的身分識別提供者設定 SSO
在 Claude 中導覽至您的「身分識別和存取」設定(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)
在全域存取設定 / 組織存取部分中,按一下「設定 SSO」(或「管理」)。
按照為您的身分識別提供者提供的設定指南進行操作(請參閱下方的其他指南)。
在這些步驟結束時,系統將提示您測試單一登入,以確認沒有錯誤且設定成功。
完成後,導覽回「身分識別和存取」設定頁面以進行進一步的設定選項。
重要:如果使用者未在 IdP 中正確指派給 Anthropic 應用程式,SSO 強制執行可能導致使用者無法登入。如果您有多個 Claude/Console 組織連接到您的「父組織」,您將需要考慮為每個組織建立唯一的 IdP 群組。如需更多資訊,請參閱啟用群組對應。
如需 IdP 特定的設定說明,請參閱:
步驟 4:選擇要求 SSO
您現在可以在「身分識別和存取」頁面上的全域存取設定 / 組織存取部分中選擇切換要求 Console SSO和/或要求 Claude SSO:
當需要 SSO 時,使用者必須使用「使用 SSO 繼續」選項來存取 Claude/Console。當不需要 SSO 時,他們將可以選擇「使用 SSO 繼續」或「使用電子郵件繼續」。
在決定之前,請檢查啟用 SSO 時現有使用者會發生什麼。
步驟 5:選擇您的佈建方法
啟用 SSO 後,您需要決定如何將使用者新增至您的組織。這由「身分識別和存取」設定的全域存取設定 / 組織存取部分中的佈建模式設定控制。
手動是預設值。使用者直接在您的 Claude 或 Console 設定中新增和移除。請參閱在 Team 和 Enterprise 方案上管理成員。
JIT(即時)佈建可以啟用以在使用者首次登入時自動佈建使用者。根據預設,指派給您的 Anthropic IdP 應用程式的使用者首次登入時,他們將獲得使用者角色。這是最簡單的自動化選項,除了選擇它之外,不需要任何額外的設定。
啟用群組對應 - 何時設定其他佈建功能
如需更多佈建控制,請參閱設定 JIT 或 SCIM 佈建。如果您需要執行以下操作,您將需要檢查本指南:
根據 IdP 群組成員資格自動指派角色或座位層級。
使用 SCIM 目錄同步進行自動佈建和取消佈建。
跨多個組織管理存取(例如,如果您有連接到同一父組織的 Team/Enterprise 組織和 Console 組織,並需要控制哪些使用者佈建到每個組織)。
注意:我們目前不支援與 Team 或 Enterprise 方案組織共享 SSO 設定的 Claude Console 組織的 IdP 啟動登入。使用者將被重新導向至 claude.ai 進行 IdP 啟動登入。作為解決方法,如果可能的話在您的 IdP 中,建立一個名為「Claude Console」的書籤,連結至 platform.claude.com/login?sso=true 以將使用者重新導向至 Console 進行 SP 啟動登入。
更新您的 SSO 憑證
當您的身分識別提供者的 X.509 簽署憑證過期或輪換時,您需要在 Claude 或 Console 中更新它以維持 SSO 功能。
導覽至您的「身分識別和存取」設定:
對於 Team 和 Enterprise 方案:claude.ai/admin-settings/identity
對於 Claude Console:platform.claude.com/settings/identity
在全域存取設定 / 組織存取部分中,按一下「管理 SSO」。
選擇「中繼資料設定」。
按一下「編輯」。
更新您的憑證資訊並儲存您的變更。
在同一頁面上按一下「測試登入」以確認一切正常運作。
關閉 SSO
您可以隨時切換要求 Claude SSO或要求 Console SSO。這將使 SSO 對所有使用者成為可選項。
若要完全斷開 SSO 連接,按一下「管理 SSO」然後「重設」。這將結束所有使用者的工作階段,並要求他們透過電子郵件登入連結重新登入。