域名验证、单点登录(SSO)和即时配置(JIT)使Claude for Work企业组织能够增强身份验证安全性并简化用户访问claude.ai的流程。本指南假设:
您是Claude企业计划的主要所有者或所有者
您控制公司电子邮件地址域的DNS设置
您控制公司用于登录第三方应用程序的SSO身份提供商(例如Okta、Google Workspace等)
如果第2点和第3点不符合实际情况,请联系您组织的IT管理员以继续。
请注意:WorkOS是Anthropic的域名验证和SSO设置提供商。更多详细信息可以在Anthropic的子处理器列表中找到,网址为https://www.anthropic.com/subprocessors。
验证您的域名
域名验证证明您拥有公司的域名。一旦确认您拥有域名,就可以开始为具有公司域名的账户配置SSO。
请注意:仅验证域名本身不会影响现有员工访问我们产品的能力。只有在设置并明确强制执行SSO后,这种情况才会发生。
要验证您的域名:
点击"添加域名"
按照说明添加您的TXT记录
注意:如果您使用的是子域名(例如subdomain.yourcompany.com),您应该在该子域名上设置新的TXT记录(例如_acme-challenge.subdomain.yourcompany.com)
等待最多10分钟,让DNS更改生效。当您看到绿色的"已验证"标志时,可以关闭说明页面
回到claude.ai/settings/identity,您应该会看到您的域名状态为"已验证"
如果您没有看到,请尝试刷新页面
如果您的域名列为"待定",请尝试使用"刷新"按钮
域名成员资格
要查看或下载有关您已验证域名及其在Anthropic组织中使用情况的信息:
在"域名管理"部分点击"查看域名成员资格"
查看信息或以CSV或JSON格式下载您的域名成员资格详细信息
设置SSO
在设置SSO之前,我们建议您查看启用SSO前的重要考虑事项。
一旦您将SSO提供商连接到您的Claude组织,用户就可以使用您的SSO提供商安全登录。
点击"设置SSO"按钮
按照您的SSO提供商提供的步骤操作
完成SSO提供商的步骤后,返回claude.ai/settings/identity,您现在应该看到为我们的控制台和claude.ai产品界面强制执行SSO的选项。
请注意:如果用户在IdP中没有正确分配到Anthropic应用程序,SSO强制执行可能会导致用户无法登录。我们建议在启用SSO强制执行之前测试SSO登录是否正常工作。
用户配置和管理
一旦您配置了SSO和可选的SCIM,您将能够在您的组织中配置配置行为。您将看到以下选项:
手动
即时(JIT)
SCIM
此外,JIT和SCIM配置允许您启用"高级群组映射"。此功能不仅允许您配置配置,还可以确定用户配置时的角色。
请参考下表,了解这些选项如何影响配置和用户管理:
配置模式 | 配置 | 角色变更 | 移除 |
手动 | 用户在claude.ai/settings/team中手动添加 | 用户角色在claude.ai/settings/team中手动更改 | 用户在claude.ai/settings/team中手动移除 |
JIT | 分配给您的 |