本記事では、OneLogin から Claude へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Claudeが Teamプラン、Enterpriseプラン、または Consoleオーガニゼーション であること*1
- Team、Enterpriseの場合:Owner または Primary Owner であること
- Consoleの場合:Admin である必要があります
- ドメイン検証が完了していること*2
*1 シングルサインオン(SSO)の設定「ステップ1:前提条件と重要な考慮事項を確認する」参照
*2 シングルサインオン(SSO)の設定「ステップ2:ドメインを検証する」参照
SAML連携の設定
1. Claude側の設定(前半)
- Claude内の オーガニゼーションとアクセス 設定(claude.ai/admin-settings/organization)またはConsole内の アイデンティティとアクセス 設定(platform.claude.com/settings/identity)に移動します
- 認証 セクションで[SSOを設定](または[SSOを管理])をクリックします
- WorkOS Dashboard にログインします
- 左側のナビゲーションバーから Organizations タブを開きます
- SSO Connection > Identity Provider > Manually Configure Connection をクリックします
- Identity Providerのプルダウンメニューから OneLogin SAML を選択し、任意の表示名を入力します
例)OneLogin Connection
- Service Provider Details > SP Entity ID をクリップボードへコピーします
- Service Provider Details > ACS URL をクリップボードへコピーします
2. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
SAML Custom Connector (Advanced) と検索し、該当コネクタを選択します
- 任意の Display Name を入力します
例)Claude
- 任意のアイコンをアップロードします
- [Save]をクリックします
-
Configuration タブを開きます
-
1. Claude側の設定(前半)で取得した値を、以下の通りに入力します
項目 入力値 Audience (Entity ID)
1. Claude側の設定(前半)手順7 でコピーした SP Entity ID
例)https://auth.workos.com/AAAbbbCCCddd000Recipient
1. Claude側の設定(前半)手順8 でコピーした ACS URL
例)https://auth.workos.com/sso/saml/acs/AAAbbbCCCddd000ACS (Customer) URL Validator*
1. Claude側の設定(前半)手順8 でコピーした ACS URL の正規表現
例)^https:\/\/auth\.workos\.com\/sso\/saml\/acs\/AAAbbbCCCddd000$ACS (Customer) URL*
1. Claude側の設定(前半)手順8 でコピーした ACS URL
例)https://auth.workos.com/sso/saml/acs/AAAbbbCCCddd000Login URL
https://claude.ai
-
SAML signature element を Assertion に変更します
-
Parameters タブに移動し、[+]をクリックします
-
Field name に email と入力後、Include in SAML assertion にチェックを入れ、[Save]をクリックします
-
Value から Email を選択し、[Save]をクリックします
-
同様にして、ラメータを以下の通りに追加します
SAML Custom Connector (Advanced) Field Value firstName
First Name
id
UUID
lastName
Last Name
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、アプリケーションを割り当てるロールを選択し、[Save]をクリックします
- More Actions > SAML Metadata を選択します
3. Claude側の設定(後半)
- SSO Connection > Identity Provider Configuration >[Edit Metadata Configuration]をクリックします
- 2. OneLogin側の設定 手順17でダウンロードした、SAML Metadata を選択します
- [Save Metadata Configuration]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行った管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。
- OneLoginに対象ユーザーでログインし、設定した Claude を選択します
- SAML認証が完了し、Claudeに遷移することを確認します
SAML SSOの動作確認は以上です。
SAML SSOの強制化
- Claude内の オーガニゼーションとアクセス 設定(claude.ai/admin-settings/organization)またはConsole内の アイデンティティとアクセス 設定(platform.claude.com/settings/identity)に移動します
-
認証 セクションで ConsoleにSSOを必須にする および/または ClaudeにSSOを必須にする を有効にします
※ SSOが必須の場合、ユーザーはClaude/Consoleアカウントにログインするために[SSOで続行]オプションを使用する必要があります。SSOが必須でない場合、[SSOで続行]または[メールで続行]を選択するオプションがあります。 - SSO が強制化されていることを確認します
SAML SSOの強制化は以上です。
SAML SSOの無効化
- Claude内の オーガニゼーションとアクセス 設定(claude.ai/admin-settings/organization)またはConsole内の アイデンティティとアクセス 設定(platform.claude.com/settings/identity)に移動します
- 認証 セクションで[SSOを設定](または[SSOを管理])をクリックします
[接続をリセット]をクリックします
※ すべてのユーザーのセッションが終了し、メールログインリンク経由で再度サインインする必要があります- SSO が無効になっていることを確認します
SAML SSOの無効化は以上です。