跳转到主要内容

在 API 控制台上设置单点登录

更新于今天

重要提示:如果您尚未使用企业计划,您需要联系我们的销售团队来启用此功能,然后才能访问API控制台身份设置页面

域名捕获、单点登录(SSO)和即时配置(JIT)使API控制台组织能够增强身份验证安全性并简化用户对console.anthropic.com的访问。本指南假设:

  1. 您是控制台账户的管理员

  2. 您控制公司电子邮件地址域名的DNS设置

  3. 您控制公司用于登录第三方应用程序的SSO身份提供商(例如Okta、Google Workspace等)

如果第2点和第3点不符合,请联系您组织的IT管理员以继续。

注意:WorkOS是Anthropic的域名验证和SSO设置提供商。更多详细信息可在Anthropic的子处理器列表中找到。

了解父组织

我们的单点登录功能引入了"父组织"的概念。这是一个存储组织SSO设置的实体。要让多个组织共享相同的SSO配置,每个组织都需要链接到同一个父组织。

企业版Claude for Work组织默认创建时带有父组织,但API控制台账户在设置时不会自动拥有此功能。

重要提示:如果您是已配置SSO的Claude for Work企业组织的成员,您的API控制台组织可能已经链接到同一个父组织。您可以通过检查身份设置页面是否可在console.anthropic.com/settings/identity访问来验证这一点。

如果您的组织确实拥有企业版Claude for Work账户,并且您希望将组织的API控制台账户绑定到相同的SSO设置/父组织:

  • 联系您的客户经理请求合并提案。

  • 一旦他们确认,将通过电子邮件发送给两个组织中的这些审批者:

    • 控制台管理员

    • 企业所有者/主要所有者

  • 在每个组织内的一名审批者通过电子邮件批准提案后,合并将完成,两个组织将附加到同一个父组织。

  • 合并完成后,传入的组织将获得对console.anthropic.com/settings/identity的访问权限来配置SSO登录选项,并可以启用"高级组映射"等功能。

如果您的组织没有企业版Claude for Work账户,并且您希望专门为您组织的API控制台账户创建新的父组织来配置SSO设置:

  • 请注意,API控制台账户默认不会创建父组织。

  • 要请求为您组织的API/控制台账户创建父组织,请填写我们的联系销售表单

  • 创建父组织后,身份设置页面将出现在您的控制台账户中,您可以继续SSO设置过程。

关于父组织的要点:

  • 域名验证存储在父组织级别 - 一旦一个父组织验证了域名,其他组织就无法验证或声明该域名。

  • 多个API控制台组织可以链接在同一个父组织下。

  • 如果您同时拥有Claude for Work企业版和API控制台组织,它们可以共享同一个父组织和SSO配置。

  • 高级组映射允许您控制用户对父组织下特定组织的访问。

捕获您的域名

"域名捕获"证明您拥有公司的域名。一旦您确认拥有域名,Anthropic就可以拦截您域名上电子邮件的登录尝试,并要求您的员工通过SSO登录。

按照以下步骤验证您的域名:

    • 如果您没有执行以下操作之一,此部分将不会出现在您的API控制台账户中:

      1. 与我们的销售团队合作为您的控制台组织启用SSO功能。

      2. 完成合并提案将您的控制台链接到企业组织。

  1. 点击"添加域名"

  2. 按照说明添加您的TXT记录。

    • 注意:如果您使用子域名(例如subdomain.yourcompany.com),您应该在该子域名上设置新的TXT记录(例如_acme-challenge.subdomain.yourcompany.com)。

  3. 等待最多10分钟让您的DNS更改传播。当您看到绿色的"已验证"徽章时,您可以关闭说明页面。

  4. 回到console.anthropic.com/settings/identity,您应该看到您的域名已添加到页面中。如果您没有看到,请尝试刷新页面。

  5. 如果您的域名显示为"待处理",请点击"待处理"字样旁边的按钮来刷新您的域名状态。

  6. 您的域名现在应该显示为"已验证"。

域名成员资格

要查看或下载有关您已验证域名及其在Anthropic组织中使用情况的信息:

  1. 导航到claude.ai

这是否解答了您的问题?