域名捕获、单点登录(SSO)和即时配置(JIT)使Claude for Work企业组织能够增强身份验证安全性并简化用户访问claude.ai的流程。本指南假设:
您是Claude企业计划的主要所有者或所有者
您控制公司电子邮件地址域的DNS设置
您控制公司用于登录第三方应用程序的SSO身份提供商(例如Okta、Google Workspace等)
如果#2和#3不成立,请联系您组织的IT管理员继续操作。
请注意:WorkOS是Anthropic的域名验证和SSO设置提供商。更多详情可在Anthropic的子处理器列表中找到,网址为 https://www.anthropic.com/subprocessors。
捕获您的域名
"域名捕获"证明您拥有公司的域名。一旦您确认拥有域名,Anthropic就可以拦截对您域名的电子邮件的登录尝试,并要求您的员工通过SSO登录。
点击"添加域名"
按照说明添加您的TXT记录
注意:如果您使用的是子域名(例如subdomain.yourcompany.com),您应该在该子域名上设置新的TXT记录(例如_acme-challenge.subdomain.yourcompany.com)
等待最多10分钟,让您的DNS更改生效。当您看到绿色的"已验证"标记时,您可以关闭说明页面
回到 claude.ai/settings/identity,您应该看到您的域名已添加到页面上。如果没有看到,请尝试刷新页面
如果您的域名列为"待定",请点击"待定"旁边的按钮刷新域名状态
您的域名现在应该列为"已验证"
域名成员资格
要查看或下载有关您已验证域名及其在Anthropic组织中使用情况的信息:
在"域名管理"部分点击"查看域名成员资格"
查看信息或以CSV或JSON格式下载您的域名成员资格详情
添加SSO
一旦您将SSO提供商连接到您的Claude组织,用户就可以使用您的SSO提供商安全登录。
点击"添加SSO"按钮
按照您的SSO提供商提供的步骤操作
完成SSO提供商的步骤后,返回claude.ai/settings/identity,您将看到"单点登录"旁边有一个勾号
注意:开启SSO将结束您所有用户的当前会话。他们需要通过SSO重新登录
身份提供商发起的登录:虽然许多应用程序支持直接从您的身份提供商启动(例如,在Okta中点击应用程序图标),但由于安全考虑,Claude不启用此流程。然而,为了为习惯于从身份提供商启动应用程序的员工提供更流畅的体验:
在身份提供商中配置SSO应用程序时,将登录URL设置为
https://claude.ai/login?sso=true而不是https://claude.ai/login当员工在您的身份提供商中点击Claude图标时,他们将被引导到一个清晰的登录页面,指导他们通过SSO进行身份验证
测试SSO登录
在邀请您的团队成员之前,请验证一切是否正常工作。如果遇到任何问题,请联系支持。
通过导航到claude.ai/logout登出您的账户
尝试使用您的电子邮件地址再次登录。您应该被引导到您的SSO提供商。如果您已经通过SSO提供商登录,您可能会立即被重定向并登录到Claude.ai。
如果您在域名上使用Google Workspace,请尝试使用Google登录。这应该会失败,用户应该被要求通过SSO登录。
添加和删除用户
管理组织中的团队成员取决于您是否使用单点登录(SSO)。一旦启用SSO,您的身份提供商(IdP)就成为添加成员的主要控制者,而删除则涉及IdP和Claude.ai中的步骤。
在启用SSO之前
添加成员
点击添加成员按钮添加新的团队成员