域名验证、单点登录 (SSO) 和即时配置 (JIT) 使 Claude for Work 企业组织能够增强身份验证安全性并简化用户对 Claude.ai 的访问。本指南假设:
您是 Claude 企业计划的主要所有者或所有者。
您控制公司电子邮件地址域名的 DNS 设置。
您控制公司用于登录第三方应用程序的 SSO 身份提供商 (IdP)(例如 Okta、Google Workspace 等)。
如果第 2 和第 3 条不成立,请联系您组织的 IT 管理员以继续。
注意:WorkOS 是 Anthropic 的域名验证和 SSO 设置提供商。更多详细信息可在 Anthropic 的子处理器列表中找到。
了解父组织
我们的单点登录功能引入了"父组织"的概念。这是一个存储组织 SSO 设置的实体。要让多个组织共享相同的 SSO 配置,每个组织都需要链接到同一个父组织。
企业 Claude for Work 组织默认创建时带有父组织。请注意,API Console 账户在设置时不会自动拥有此功能。
关于父组织的要点
域名验证存储在父组织级别 - 一旦一个父组织验证了域名,其他组织就无法验证或声明该域名。
当您的企业组织创建时,也会创建一个企业组织指向的父组织。
多个组织(包括 API Console 组织)可以链接到同一个父组织下,以共享相同的 SSO 配置。
高级组映射允许您控制用户对父组织下特定组织的访问。
特别要注意的是,您可以将所有 API Console (console.anthropic.com) 组织链接到同一个父组织。请参阅我们的Console 特定的 SSO 配置说明。
验证您的域名
域名验证证明您拥有公司的域名。一旦您确认拥有域名,就可以开始为使用公司域名的账户配置 SSO。
注意:仅验证域名本身不会影响现有员工访问我们产品的能力。只有在设置并明确强制执行 SSO 后才会发生这种情况。
按照以下说明验证您的域名:
点击"添加域名"按钮。
按照说明添加您的 TXT 记录。
注意:如果您使用子域名(例如 subdomain.yourcompany.com),您应该在该子域名上设置新的 TXT 记录(例如 _acme-challenge.subdomain.yourcompany.com)。
等待最多 10 分钟让您的 DNS 更改传播。当您看到绿色的"已验证"徽章时,可以关闭说明页面。
回到 claude.ai/settings/identity,您应该看到您的域名状态为"已验证"。
如果您没有看到,请尝试刷新页面。
如果您的域名显示为"待处理",请尝试使用"刷新"按钮。
查看您的域名成员资格
要查看或下载关于您已验证域名及其在 Anthropic 组织中使用情况的信息:
在域名管理部分点击"查看域名成员资格"。
查看信息或以 CSV 或 JSON 格式下载您的域名成员资格详细信息。
禁用创建新组织
一旦您组织的域名得到验证,所有者及以上级别的用户将在身份和访问设置页面上看到"禁用新组织创建"开关。打开此开关可防止用户使用任何已验证的域名创建新的 Claude.ai 或 Console 组织——包括个人账户。
设置 SSO
在设置 SSO 之前,我们建议查看启用 SSO 前的重要考虑事项。
一旦您将 SSO 提供商连接到您的 Claude 组织,用户就能够使用您的 SSO 提供商安全登录。
导航到您的身份和访问设置。
点击"设置 SSO"按钮。
按照为您的 SSO 提供商提供的步骤操作。
完成 SSO