重要提示:如果您尚未使用企业计划,您需要联系我们的销售团队来启用此功能,然后才能访问API控制台身份设置页面。
域名捕获、单点登录(SSO)和即时配置(JIT)使API控制台组织能够增强身份验证安全性并简化用户对console.anthropic.com的访问。本指南假设:
您是控制台账户的管理员
您控制公司电子邮件地址域名的DNS设置
您控制公司用于登录第三方应用程序的SSO身份提供商(例如Okta、Google Workspace等)
如果第2点和第3点不符合,请联系您组织的IT管理员以继续。
注意:WorkOS是Anthropic的域名验证和SSO设置提供商。更多详细信息可在Anthropic的子处理器列表中找到。
了解父组织
我们的单点登录功能引入了"父组织"的概念。这是一个存储组织SSO设置的实体。要让多个组织共享相同的SSO配置,每个组织都需要链接到同一个父组织。
企业版Claude for Work组织默认创建时带有父组织,但API控制台账户在设置时不会自动拥有此功能。
重要提示:如果您是已配置SSO的Claude for Work企业组织的成员,您的API控制台组织可能已经链接到同一个父组织。您可以通过检查身份设置页面是否可在console.anthropic.com/settings/identity访问来验证这一点。
如果您的组织确实拥有企业版Claude for Work账户,并且您希望将组织的API控制台账户绑定到相同的SSO设置/父组织:
联系您的客户经理请求合并提案。
一旦他们确认,将通过电子邮件发送给两个组织中的这些审批者:
控制台管理员
企业所有者/主要所有者
在每个组织内的一名审批者通过电子邮件批准提案后,合并将完成,两个组织将附加到同一个父组织。
合并完成后,传入的组织将获得对console.anthropic.com/settings/identity的访问权限来配置SSO登录选项,并可以启用"高级组映射"等功能。
如果您的组织没有企业版Claude for Work账户,并且您希望专门为您组织的API控制台账户创建新的父组织来配置SSO设置:
关于父组织的要点:
域名验证存储在父组织级别 - 一旦一个父组织验证了域名,其他组织就无法验证或声明该域名。
多个API控制台组织可以链接在同一个父组织下。
如果您同时拥有Claude for Work企业版和API控制台组织,它们可以共享同一个父组织和SSO配置。
高级组映射允许您控制用户对父组织下特定组织的访问。
捕获您的域名
"域名捕获"证明您拥有公司的域名。一旦您确认拥有域名,Anthropic就可以拦截您域名上电子邮件的登录尝试,并要求您的员工通过SSO登录。
按照以下步骤验证您的域名:
如果您没有执行以下操作之一,此部分将不会出现在您的API控制台账户中:
与我们的销售团队合作为您的控制台组织启用SSO功能。
完成合并提案将您的控制台链接到企业组织。
点击"添加域名"
按照说明添加您的TXT记录。
注意:如果您使用子域名(例如subdomain.yourcompany.com),您应该在该子域名上设置新的TXT记录(例如_acme-challenge.subdomain.yourcompany.com)。
等待最多10分钟让您的DNS更改传播。当您看到绿色的"已验证"徽章时,您可以关闭说明页面。
回到console.anthropic.com/settings/identity,您应该看到您的域名已添加到页面中。如果您没有看到,请尝试刷新页面。
如果您的域名显示为"待处理",请点击"待处理"字样旁边的按钮来刷新您的域名状态。
您的域名现在应该显示为"已验证"。
域名成员资格
要查看或下载有关您已验证域名及其在Anthropic组织中使用情况的信息:
导航到claude.ai