域名驗證、單一登入 (SSO) 和即時佈建 (JIT) 讓 Claude for Work 企業版組織能夠增強身份驗證安全性並簡化使用者對 Claude.ai 的存取。本指南假設:
您是 Claude 企業版計劃的主要擁有者或擁有者
您控制公司電子郵件地址域名的 DNS 設定
您控制公司用於登入第三方應用程式的 SSO 身份提供者(例如 Okta、Google Workspace 等)
如果第 2 和第 3 項不符合,請聯絡您組織的 IT 管理員以繼續。
注意:WorkOS 是 Anthropic 的域名驗證和 SSO 設定提供者。更多詳情可在 Anthropic 的子處理器清單中找到。
了解父組織
我們的單一登入功能引入了「父組織」的概念。這是一個儲存組織 SSO 設定的實體。為了讓多個組織共享相同的 SSO 配置,每個組織都需要連結到同一個父組織。
企業版 Claude for Work 組織預設會建立一個父組織。
請注意,API Console 帳戶在設定時不會自動擁有此功能。
關於父組織的要點:
域名驗證儲存在父組織層級 - 一旦一個父組織驗證了域名,其他組織就無法驗證或聲明該域名。
當您的企業版組織建立時,也會建立一個企業版組織指向的父組織。
多個組織(包括 API Console 組織)可以連結到同一個父組織下,以共享相同的 SSO 配置。
進階群組對應允許您控制使用者對父組織下特定組織的存取。
特別要注意的是,您可以將所有 API Console (console.anthropic.com) 組織連結到同一個父組織。請參閱我們的 Console 專用的 SSO 配置說明。
驗證您的域名
域名驗證證明您擁有公司的域名。一旦您確認擁有域名,就可以開始為使用公司域名的帳戶配置 SSO。
注意:僅驗證域名本身不會影響現有員工存取我們產品的能力。這只會在 SSO 設定並明確強制執行後才會發生。
請按照以下說明驗證您的域名:
導航至 claude.ai/settings/identity
點擊「新增域名」
按照說明新增您的 TXT 記錄
注意:如果您使用子域名(例如 subdomain.yourcompany.com),您應該在該子域名上設定新的 TXT 記錄(例如 _acme-challenge.subdomain.yourcompany.com)
等待最多 10 分鐘讓您的 DNS 變更傳播。當您看到綠色的「已驗證」標章時,可以關閉說明頁面
回到 claude.ai/settings/identity,您應該看到您的域名狀態為「已驗證」
如果您沒有看到,請嘗試重新整理頁面
如果您的域名顯示為「待處理」,請嘗試使用「重新整理」按鈕
域名成員資格
要檢視或下載關於您已驗證域名及其在 Anthropic 組織中使用情況的資訊:
導航至 claude.ai/settings/identity
在「域名管理」部分點擊「檢視域名成員資格」。
檢閱資訊或以 CSV 或 JSON 格式下載您的域名成員資格詳情。
設定 SSO
在設定 SSO 之前,我們建議先查看啟用 SSO 前的重要考量。
一旦您將 SSO 提供者連接到您的 Claude 組織,使用者就能夠使用您的 SSO 提供者安全登入。
導航至您的身份和存取設定
點擊「設定 SSO」按鈕
按照為您的 SSO 提供者提供的步驟進行
完成 SSO 提供者的步驟後,導航回 claude.ai/settings/identity,您現在應該看到為我們的 Console 和 claude.ai 產品介面強制執行 SSO 的選項。
重要:SSO 強制執行可能導致使用者無法登入,如果他們在 IdP 中未正確分配到 Anthropic 應用程式。我們建議在啟用 SSO 強制執行之前測試 SSO 登入是否正常運作。
使用者佈建和管理
一旦您配置了 SSO 和可選的 SCIM,您將能夠在組織中配置佈建行為。您將看到以下選項:
手動
即時 (JIT)
SCIM
此外,JIT 和 SCIM 佈建允許您啟用「進階群組對應」。此功能不僅允許您配置佈建,還能決定使用者佈建時的