Thiết lập SSO SAML cho Claude Enterprise — Okta, Azure AD, Google Workspace

Khi doanh nghiệp triển khai Claude Enterprise cho hàng trăm hoặc hàng nghìn nhân viên, việc quản lý tài khoản riêng lẻ là không khả thi. Single Sign-On (SSO) cho phép nhân viên đăng nhập Claude bằng tài khoản công ty hiện có — một mật khẩu cho tất cả. Bài viết này hướng dẫn bạn thiết lập SSO SAML 2.0 cho Claude Enterprise với ba Identity Provider (IdP) phổ biến nhất: Okta, Azure AD và Google Workspace.

SAML 2.0 là gì và tại sao quan trọng

SAML (Security Assertion Markup Language) 2.0 là giao thức xác thực chuẩn công nghiệp, cho phép một hệ thống (Identity Provider — IdP) xác nhận danh tính người dùng cho hệ thống khác (Service Provider — SP). Trong trường hợp này:

• Identity Provider (IdP): Hệ thống quản lý danh tính của bạn — Okta, Azure AD, hoặc Google Workspace
• Service Provider (SP): Claude Enterprise — ứng dụng cần xác thực người dùng

Lợi ích của SSO SAML cho doanh nghiệp

• Bảo mật: Một điểm xác thực duy nhất, dễ kiểm soát. Khi nhân viên nghỉ việc, vô hiệu hóa tài khoản IdP sẽ tự động khóa truy cập Claude
• Trải nghiệm người dùng: Nhân viên đăng nhập một lần, truy cập tất cả ứng dụng. Không cần nhớ thêm mật khẩu
• Quản lý tập trung: IT quản lý quyền truy cập từ một nơi, áp dụng chính sách bảo mật thống nhất
• Tuân thủ: Đáp ứng các yêu cầu về audit trail, access control trong các tiêu chuẩn ISO 27001, SOC 2

Luồng xác thực SAML

Quy trình xác thực SAML diễn ra như sau:

1. Người dùng truy cập Claude Enterprise (SP)
2. Claude chuyển hướng người dùng đến trang đăng nhập của IdP
3. Người dùng đăng nhập trên IdP (Okta/Azure AD/Google)
4. IdP xác thực và tạo SAML Assertion (chứng nhận danh tính)
5. IdP gửi SAML Assertion về Claude
6. Claude xác minh SAML Assertion và cho phép truy cập

Toàn bộ quy trình diễn ra trong vài giây, người dùng hầu như không nhận thấy.

Chuẩn bị trước khi thiết lập

Trước khi bắt đầu cấu hình, bạn cần chuẩn bị:

• Tài khoản Claude Enterprise: Liên hệ Anthropic Sales để đăng ký gói Enterprise nếu chưa có
• Quyền admin: Quyền admin trên cả Claude Enterprise và IdP của bạn
• Thông tin SP từ Claude: Entity ID, ACS URL (Assertion Consumer Service URL), và metadata của Claude
• Chứng chỉ: Claude cung cấp public certificate để IdP xác minh

Lấy thông tin từ Claude Enterprise Admin Console

Dang nhap Claude Enterprise Admin Console:
1. Vao Settings > Authentication > SAML SSO
2. Ghi lai cac thong tin sau:
   - Entity ID (Audience URI): https://claude.ai/saml/metadata
   - ACS URL (Reply URL): https://claude.ai/saml/acs
   - Sign-on URL: https://claude.ai/saml/sso
   - Metadata URL: https://claude.ai/saml/metadata.xml

Luu y: Cac URL tren la vi du minh hoa.
Luon lay URL chinh xac tu Admin Console cua ban.

Thiết lập SSO với Okta

Okta là IdP phổ biến nhất trong doanh nghiệp công nghệ. Quy trình thiết lập gồm 4 bước chính.

Bước 1: Tạo ứng dụng SAML trên Okta

Dang nhap Okta Admin Console:
1. Vao Applications > Applications > Create App Integration
2. Chon "SAML 2.0" > Next
3. App name: "Claude Enterprise"
4. App logo: Upload logo Claude (tuy chon)
5. Click Next

Bước 2: Cấu hình SAML Settings

Trong phan SAML Settings, dien cac truong:

General:
- Single sign-on URL: [ACS URL tu Claude Admin Console]
  Check "Use this for Recipient URL and Destination URL"
- Audience URI (SP Entity ID): [Entity ID tu Claude Admin Console]
- Default RelayState: de trong
- Name ID format: EmailAddress
- Application username: Email

Attribute Statements:
- email | user.email
- firstName | user.firstName
- lastName | user.lastName
- department | user.department (tuy chon)

Group Attribute Statements:
- groups | Matches regex: .* (de dong bo nhom)

Click Next > Finish

Bước 3: Lấy metadata từ Okta

Sau khi tao ung dung:
1. Vao tab "Sign On" cua ung dung Claude
2. Click "View SAML setup instructions" hoac
3. Copy "Metadata URL" — URL nay co dang:
   https://your-domain.okta.com/app/xxx/sso/saml/metadata

Cac thong tin can thiet:
- IdP Single Sign-On URL
- IdP Issuer (Entity ID)
- X.509 Certificate (download file .cert)

Bước 4: Cấu hình trên Claude Enterprise

Quay lai Claude Enterprise Admin Console:
1. Vao Settings > Authentication > SAML SSO
2. Chon "Configure manually" hoac "Upload metadata"

Neu cau hinh thu cong:
- IdP Entity ID: [Dan tu Okta]
- IdP SSO URL: [Dan tu Okta]
- IdP Certificate: [Upload file .cert tu Okta]

Neu upload metadata:
- Dan Metadata URL tu Okta hoac upload file metadata.xml

3. Click "Save" > "Test Connection"
4. Neu test thanh cong, click "Enable SSO"

Gán người dùng trên Okta

De nhan vien truy cap Claude:
1. Trong Okta, vao ung dung Claude Enterprise
2. Tab "Assignments"
3. Click "Assign" > Chon "Assign to Groups" hoac "Assign to People"
4. Chon nhom hoac nguoi dung can truy cap
5. Click "Save and Go Back"

Best practice:
- Tao nhom Okta "Claude-Users" va "Claude-Admins"
- Gan nhom thay vi ca nhan de de quan ly
- Dung nhom de phan quyen trong Claude (user vs. admin)

Thiết lập SSO với Azure AD (Microsoft Entra ID)

Azure AD (nay là Microsoft Entra ID) là IdP phổ biến với các doanh nghiệp sử dụng Microsoft 365. Quy trình tương tự Okta nhưng giao diện khác.

Bước 1: Tạo Enterprise Application

Dang nhap Azure Portal (portal.azure.com):
1. Vao Microsoft Entra ID > Enterprise Applications
2. Click "New application" > "Create your own application"
3. Ten: "Claude Enterprise"
4. Chon "Integrate any other application you don't find
   in the gallery (Non-gallery)"
5. Click "Create"

Bước 2: Cấu hình SAML

Trong ung dung Claude Enterprise:
1. Vao "Single sign-on" > Chon "SAML"

Phan 1 — Basic SAML Configuration:
- Identifier (Entity ID): [Entity ID tu Claude]
- Reply URL (ACS URL): [ACS URL tu Claude]
- Sign on URL: [Sign-on URL tu Claude]
- Relay State: de trong
- Logout URL: de trong hoac dien neu co

Phan 2 — Attributes and Claims:
Click "Edit" > Cau hinh:
- Unique User Identifier (Name ID): user.userprincipalname
  Format: Email address
- email: user.mail
- givenname: user.givenname
- surname: user.surname
- department: user.department (tuy chon)

Phan 3 — SAML Certificates:
- Download "Certificate (Base64)" hoac "Federation Metadata XML"

Phan 4 — Set up Claude Enterprise:
- Copy "Login URL" (IdP SSO URL)
- Copy "Azure AD Identifier" (IdP Entity ID)
- Copy "Logout URL" (tuy chon)

Bước 3: Gán người dùng và nhóm

Trong ung dung Claude Enterprise tren Azure:
1. Vao "Users and groups"
2. Click "Add user/group"
3. Chon nhom Azure AD (vi du: "All Employees" hoac
   nhom rieng "Claude-Users")
4. Gan role neu can (User / Admin)
5. Click "Assign"

Luu y:
- Can Azure AD Premium P1 tro len de gan nhom
- Voi goi Free, chi co the gan tung nguoi dung
- Nen dung Dynamic Groups de tu dong them nhan vien moi

Cấu hình trên Claude Enterprise

Quay lai Claude Enterprise Admin Console:
1. Vao Settings > Authentication > SAML SSO
2. Nhap:
   - IdP Entity ID: [Azure AD Identifier]
   - IdP SSO URL: [Login URL]
   - IdP Certificate: [Upload file .cer tu Azure]

   Hoac: Upload file Federation Metadata XML

3. Test Connection > Enable SSO

Thiết lập SSO với Google Workspace

Google Workspace là lựa chọn phổ biến với startup và doanh nghiệp vừa và nhỏ tại Việt Nam. Cấu hình SAML trên Google Workspace hơi khác với Okta và Azure.

Bước 1: Tạo ứng dụng SAML tùy chỉnh

Dang nhap Google Admin Console (admin.google.com):
1. Vao Apps > Web and mobile apps
2. Click "Add app" > "Add custom SAML app"
3. App name: "Claude Enterprise"
4. Mau hinh: Upload logo Claude (tuy chon)
5. Click "Continue"

Trang Google IdP Information:
- Copy hoac download:
  - SSO URL
  - Entity ID
  - Certificate (download file .pem)
- Click "Continue"

Bước 2: Cấu hình Service Provider Details

Dien thong tin Service Provider:
- ACS URL: [ACS URL tu Claude Admin Console]
- Entity ID: [Entity ID tu Claude Admin Console]
- Start URL: de trong
- Signed response: Check
- Name ID format: EMAIL
- Name ID: Basic Information > Primary email

Click "Continue"

Attribute mapping:
- email -> Basic Information > Primary email
- firstName -> Basic Information > First name
- lastName -> Basic Information > Last name
- department -> Employee Details > Department (tuy chon)

Click "Finish"

Bước 3: Bật ứng dụng cho người dùng

Sau khi tao ung dung:
1. Click vao ung dung "Claude Enterprise"
2. Click "User access"
3. Chon:
   - "ON for everyone" — tat ca nguoi dung trong to chuc
   - Hoac chon tung Organizational Unit (OU) cu the

4. Click "Save"

Luu y:
- Google Workspace khong co khai niem "groups" cho SAML
  nhu Okta/Azure. Dung OU de phan quyen
- Thay doi co the mat 24 gio de co hieu luc voi tat ca
  nguoi dung

Cấu hình trên Claude Enterprise

Quay lai Claude Enterprise Admin Console:
1. Vao Settings > Authentication > SAML SSO
2. Nhap:
   - IdP Entity ID: [Entity ID tu Google]
   - IdP SSO URL: [SSO URL tu Google]
   - IdP Certificate: [Upload file .pem tu Google]
3. Test Connection > Enable SSO

Attribute Mapping chi tiết

Attribute mapping xác định thông tin nào từ IdP được gửi sang Claude. Đây là bước quan trọng để đảm bảo Claude nhận đúng thông tin người dùng.

Các attribute bắt buộc

Cac attribute SAML bat buoc cho Claude Enterprise:

1. NameID (bat buoc):
   - Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
   - Gia tri: Email cong ty cua nguoi dung
   - Vi du: nguyen.van.a@company.com

2. email (bat buoc):
   - Attribute name: email
   - Gia tri: Email chinh cua nguoi dung

3. firstName (khuyen nghi):
   - Attribute name: firstName hoac givenName
   - Gia tri: Ten nguoi dung

4. lastName (khuyen nghi):
   - Attribute name: lastName hoac surname
   - Gia tri: Ho nguoi dung

Các attribute tùy chọn cho phân quyền

Attribute tuy chon de phan quyen trong Claude:

5. department:
   - Dung de phan quyen theo phong ban
   - Vi du: Engineering, Marketing, Finance

6. groups:
   - Danh sach nhom cua nguoi dung
   - Dung de map voi roles trong Claude
   - Vi du: Claude-Admins, Claude-PowerUsers, Claude-BasicUsers

7. role:
   - Role truc tiep tu IdP
   - Vi du: admin, user, viewer

Cau hinh trong Claude Admin Console:
Settings > Authentication > Attribute Mapping
Map tung attribute tu IdP sang truong tuong ung trong Claude.

Đồng bộ nhóm (Group Sync)

Group sync cho phép tự động phân quyền trong Claude dựa trên nhóm người dùng từ IdP. Khi nhân viên được thêm vào hoặc xóa khỏi nhóm trên IdP, quyền trong Claude tự động cập nhật.

Thiết lập Group Sync

Cau hinh Group Sync trong Claude Enterprise:

1. Vao Settings > Authentication > Group Sync
2. Enable Group Sync
3. Map nhom IdP voi role Claude:

   Nhom IdP              | Role Claude
   ----------------------|------------------
   Claude-Admins         | Organization Admin
   Claude-PowerUsers     | Power User (API access)
   Claude-BasicUsers     | Standard User
   Claude-ReadOnly       | Read-only User

4. Chon hanh vi khi nguoi dung khong thuoc nhom nao:
   - Block access (khuyen nghi)
   - Assign default role

5. Chon tan suat dong bo:
   - Real-time (moi lan dang nhap)
   - Periodic (moi 1-4 gio)

6. Save va test

Xử lý lỗi thường gặp

SSO SAML là cấu hình phức tạp và có nhiều điểm có thể sai. Dưới đây là các lỗi thường gặp và cách xử lý.

Lỗi "Invalid SAML Response"

Nguyen nhan thuong gap:
1. ACS URL sai: Kiem tra ACS URL tren IdP co khop voi
   Claude Admin Console khong
2. Entity ID sai: So sanh Entity ID tren ca hai phia
3. Certificate het han: Kiem tra ngay het han cua certificate
4. Dong ho lech: May chu IdP va Claude lech gio qua 5 phut

Cach debug:
- Dung SAML Tracer (Chrome extension) de xem SAML Response
- Kiem tra Response co duoc ky (signed) dung khong
- Kiem tra NameID format co dung EmailAddress khong

Lỗi "User not found" hoặc "User not authorized"

Nguyen nhan thuong gap:
1. Nguoi dung chua duoc gan vao ung dung tren IdP
2. Email trong SAML Response khong khop voi email tren Claude
3. Group mapping chua dung — nguoi dung thuoc nhom khong
   duoc phep truy cap

Cach xu ly:
- Kiem tra nguoi dung da duoc assign tren IdP chua
- Kiem tra NameID (email) co dung format khong
- Kiem tra group sync co hoat dong khong
- Thu dang nhap bang tai khoan admin de xac nhan he thong
  hoat dong

Lỗi "Certificate validation failed"

Nguyen nhan thuong gap:
1. Upload sai certificate (upload cert cua SP thay vi IdP)
2. Certificate het han
3. Certificate khong dung format (can Base64 / PEM)

Cach xu ly:
1. Download lai certificate tu IdP
2. Dam bao dung format:
   - Okta: Download tu tab "Sign On"
   - Azure: Download "Certificate (Base64)" tu SAML config
   - Google: Download tu trang Google IdP Information
3. Kiem tra ngay het han:
   openssl x509 -in cert.pem -noout -dates
4. Upload lai certificate tren Claude Admin Console

Công cụ debug SAML

Cac cong cu huu ich de debug van de SAML:

1. SAML Tracer (Chrome Extension):
   - Bat extension > Dang nhap Claude
   - Xem SAML Request va Response chi tiet
   - Kiem tra attribute, signature, certificate

2. SAML Developer Tools (samltool.com):
   - Decode SAML Response
   - Validate XML Signature
   - Kiem tra certificate

3. IdP Debug Logs:
   - Okta: System Log > Filter "Claude"
   - Azure: Sign-in logs > Filter by application
   - Google: Admin Console > Reports > SAML

4. Claude Admin Console:
   - Settings > Authentication > SSO Logs
   - Xem chi tiet tung lan dang nhap that bai

Bảo mật nâng cao

Sau khi SSO hoạt động, bạn nên áp dụng các biện pháp bảo mật bổ sung.

Bắt buộc MFA qua IdP

Cau hinh MFA tren IdP (ap dung cho Claude va tat ca ung dung):

Okta:
1. Security > Multifactor > Factor types
2. Enable: Okta Verify, Google Authenticator, FIDO2
3. Tao Sign-on Policy cho ung dung Claude:
   - Require MFA every login hoac every 24 hours

Azure AD:
1. Security > Conditional Access > New policy
2. Users: All users (hoac nhom cu the)
3. Cloud apps: Claude Enterprise
4. Grant: Require MFA
5. Enable policy

Google Workspace:
1. Security > 2-Step Verification
2. Enforce 2-step verification cho OU su dung Claude

Chính sách truy cập có điều kiện

Thiet lap Conditional Access Policy (Azure AD / Okta):

1. Chi cho phep dang nhap tu:
   - Mang cong ty (IP range whitelist)
   - Thiet bi da dang ky (Intune / Jamf managed)
   - Quoc gia cu the (Viet Nam, cac nuoc co van phong)

2. Yeu cau bao mat tang cuong khi:
   - Dang nhap tu thiet bi moi: Yeu cau MFA + admin approval
   - Dang nhap ngoai gio lam viec: Yeu cau MFA
   - Dang nhap tu IP la: Block hoac yeu cau xac minh

3. Tu dong khoa khi:
   - 5 lan dang nhap that bai lien tiep
   - Phat hien hanh vi bat thuong (impossible travel)
   - Tai khoan bi compromise tren IdP

Kiểm tra bảo mật định kỳ

Checklist kiem tra bao mat SSO hang quy:

1. CERTIFICATE:
   [ ] Certificate con hieu luc (kiem tra ngay het han)
   [ ] Da len ke hoach rotate certificate truoc khi het han

2. TRUY CAP:
   [ ] Review danh sach nguoi dung co quyen truy cap
   [ ] Xoa tai khoan nhan vien da nghi viec
   [ ] Kiem tra quyen admin co phu hop khong

3. LOGS:
   [ ] Review authentication logs 30 ngay gan nhat
   [ ] Co login bat thuong khong? (gio la, IP la, nhieu lan fail)
   [ ] SAML Response co bi loi thuong xuyen khong?

4. CHINH SACH:
   [ ] MFA van duoc enforce
   [ ] Conditional Access policies van hoat dong
   [ ] Session timeout phu hop (khuyen nghi 8-12 gio)

5. BACKUP:
   [ ] Co phuong an dang nhap du phong khi IdP gap su co
   [ ] IT admin co the bypass SSO trong truong hop khan cap

Bước tiếp theo

Bạn đã có hướng dẫn đầy đủ để thiết lập SSO SAML cho Claude Enterprise với Okta, Azure AD và Google Workspace. Hãy bắt đầu với IdP mà tổ chức bạn đang sử dụng, làm theo từng bước, và đặc biệt chú ý phần xử lý lỗi. Khám phá thêm các hướng dẫn Enterprise tại Thư viện Ứng dụng Claude.