跳转到主要内容

在 API 控制台上设置单点登录

更新于今天

请注意:如果您尚未使用企业计划,您需要联系我们的销售团队来启用此功能,然后才能访问API控制台身份设置页面

域名捕获、单点登录(SSO)和即时配置(JIT)使API控制台组织能够增强身份验证安全性并简化用户对console.anthropic.com的访问。本指南假设:

  1. 您是控制台账户的管理员

  2. 您控制公司电子邮件地址域名的DNS设置

  3. 您控制公司用于登录第三方应用程序的SSO身份提供商(例如Okta、Google Workspace等)

如果第2和第3条不符合,请联系您组织的IT管理员以继续。

请注意:WorkOS是Anthropic的域名验证和SSO设置提供商。更多详细信息可在Anthropic的子处理器列表中找到:https://trust.anthropic.com/subprocessors

捕获您的域名

"域名捕获"证明您拥有公司的域名。一旦您确认拥有域名,Anthropic就可以拦截您域名上电子邮件的登录尝试,并要求您的员工通过SSO登录。

    1. 如果您没有与我们的销售团队合作启用此功能,此部分将不会出现在您的API控制台账户中。

  1. 点击"添加域名"

  2. 按照说明添加您的TXT记录

    • 注意:如果您使用子域名(例如subdomain.yourcompany.com),您应该在该子域名上设置新的TXT记录(例如_acme-challenge.subdomain.yourcompany.com)

  3. 等待最多10分钟让您的DNS更改传播。当您看到绿色的"已验证"徽章时,您可以关闭说明页面

  4. 回到console.anthropic.com/settings/identity,您应该看到您的域名已添加到页面中。如果您没有看到,请尝试刷新页面

  5. 如果您的域名显示为"待处理",请点击"待处理"字样旁边的按钮来刷新您的域名状态

  6. 您的域名现在应该显示为"已验证"

域名成员资格

要查看或下载有关您已验证域名及其在Anthropic组织中使用情况的信息:

  1. 在"域名管理"部分点击"查看域名成员资格"

  2. 查看信息或以CSV或JSON格式下载您的域名成员资格详细信息

添加SSO

一旦您将SSO提供商连接到您的控制台组织,用户就能够通过您的SSO提供商安全登录。

身份提供商发起的登录

虽然许多应用程序支持直接从您的身份提供商启动(例如,在Okta中点击应用程序磁贴),但出于安全考虑,Claude不启用此流程。但是,为了为习惯从身份提供商启动应用程序的员工提供更流畅的体验:

  1. 在身份提供商中配置SSO应用程序时,将登录URL设置为https://claude.ai/login?sso=true而不是https://claude.ai/login

  2. 当员工在您的身份提供商中点击Claude磁贴时,他们将被引导到一个清晰的登录页面,该页面指导他们通过SSO进行身份验证

测试SSO登录

在邀请您的团队成员之前,请验证一切是否正常工作。

  1. 通过导航到console.anthropic.com/logout退出您的账户

  2. 尝试使用您的电子邮件地址再次登录。您应该被引导到您的SSO提供商。如果您已经通过SSO提供商登录,您可能会立即被重定向并登录到console.anthropic.com。

  3. 如果您在域名上使用Google Workspace,请尝试使用Google登录。这应该失败,用户应该被要求通过SSO登录。

添加和删除用户

管理组织中的团队成员取决于您是否使用单点登录(

这是否解答了您的问题?