ドメイン認証、シングルサインオン(SSO)、およびジャストインタイム・プロビジョニング(JIT)により、Claude for Work Enterpriseの組織は認証セキュリティを強化し、Claude.aiへのユーザーアクセスを合理化できます。このガイドでは以下を前提としています:
あなたがClaude Enterpriseプランの主要所有者または所有者であること。
あなたが会社のメールアドレスドメインのDNS設定を管理していること。
あなたが会社がサードパーティアプリケーションへのログインに使用するSSOアイデンティティプロバイダー(IdP)(例:Okta、Google Workspaceなど)を管理していること。
#2と#3が該当しない場合は、組織のIT管理者にお問い合わせください。
注意:WorkOSはAnthropicのドメイン認証およびSSO設定のプロバイダーです。詳細はAnthropicのSubprocessor Listをご覧ください。
親組織について理解する
シングルサインオン機能では「親組織」という概念を導入しています。これは組織のSSO設定を保存するエンティティです。複数の組織が同じSSO設定を共有するには、各組織が同じ親組織にリンクされる必要があります。
Enterprise Claude for Work組織はデフォルトで親組織と共に作成されます。API Consoleアカウントは設定時に自動的にこの機能を持たないことにご注意ください。
親組織に関する重要なポイント
ドメイン認証は親組織レベルで保存されます - 一つの親組織がドメインを認証すると、他の組織はそのドメインを認証または要求できません。
Enterprise組織が作成されたとき、Enterprise組織が指す親組織も作成されました。
複数の組織(API Console組織を含む)を同じ親組織の下にリンクして、同じSSO設定を共有できます。
高度なグループマッピングにより、親組織下の特定の組織へのユーザーアクセスを制御できます。
特に、すべてのAPI Console(console.anthropic.com)組織を同じ親組織にリンクできることにご注意ください。Console固有のSSO設定手順をご覧ください。
ドメインの認証
ドメイン認証は、あなたが会社のドメインを所有していることを証明します。ドメインを所有していることを確認したら、会社のドメインを持つアカウントのSSO設定を開始できます。
注意:ドメインを認証するだけでは、既存の従業員が当社製品にアクセスする能力に影響しません。これはSSOが設定され、明示的に強制された場合にのみ発生します。
ドメインを認証するには、以下の手順に従ってください:
claude.ai/settings/identityに移動します。
「ドメインを追加」ボタンをクリックします。
TXTレコードを追加する手順に従います。
注意:サブドメイン(例:subdomain.yourcompany.com)を使用している場合は、そのサブドメインに新しいTXTレコードを設定してください(例:_acme-challenge.subdomain.yourcompany.com)。
DNS変更が伝播するまで最大10分間お待ちください。緑色の「認証済み」バッジが表示されたら、手順ページを閉じることができます。
claude.ai/settings/identityに戻ると、ステータスが「認証済み」のドメインが表示されるはずです。
表示されない場合は、ページを更新してみてください。
ドメインが「保留中」と表示されている場合は、「更新」ボタンを使用してみてください。
ドメインメンバーシップの表示
認証済みドメインとAnthropic組織全体での使用状況に関する情報を表示またはダウンロードするには:
claude.ai/settings/identityに移動します。
ドメイン管理セクションの「ドメインメンバーシップを表示」をクリックします。
情報を確認するか、ドメインメンバーシップの詳細をCSVまたはJSON形式でダウンロードします。
新しい組織の作成を無効にする
組織のドメインが認証されると、所有者以上の権限を持つユーザーはアイデンティティとアクセス設定ページで「新しい組織の作成を無効にする」トグルが表示されます。これをオンにすると、認証済みドメインを使用して新しいClaude.aiまたはConsole組織(個人アカウントを含む)を作成することをユーザーに禁止できます。
SSOの設定
SSOを設定する前に、SSO