{"product_id":"thiet-lap-sso-saml-cho-claude-enterprise-okta-azure-ad-google-workspace","title":"Thiết lập SSO SAML cho Claude Enterprise — Okta, Azure AD, Google Workspace","description":"\n\u003cp\u003eKhi doanh nghiệp triển khai Claude Enterprise cho hàng trăm hoặc hàng nghìn nhân viên, việc quản lý tài khoản riêng lẻ là không khả thi. Single Sign-On (SSO) cho phép nhân viên đăng nhập Claude bằng tài khoản công ty hiện có — một mật khẩu cho tất cả. Bài viết này hướng dẫn bạn thiết lập SSO SAML 2.0 cho Claude Enterprise với ba Identity Provider (IdP) phổ biến nhất: Okta, Azure AD và Google Workspace.\u003c\/p\u003e\n\n\u003ch2\u003eSAML 2.0 là gì và tại sao quan trọng\u003c\/h2\u003e\n\u003cp\u003eSAML (Security Assertion Markup Language) 2.0 là giao thức xác thực chuẩn công nghiệp, cho phép một hệ thống (Identity Provider — IdP) xác nhận danh tính người dùng cho hệ thống khác (Service Provider — SP). Trong trường hợp này:\u003c\/p\u003e\n\u003cul\u003e\n  \u003cli\u003e\n\u003cstrong\u003eIdentity Provider (IdP):\u003c\/strong\u003e Hệ thống quản lý danh tính của bạn — Okta, Azure AD, hoặc Google Workspace\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eService Provider (SP):\u003c\/strong\u003e Claude Enterprise — ứng dụng cần xác thực người dùng\u003c\/li\u003e\n\u003c\/ul\u003e\n\n\u003ch3\u003eLợi ích của SSO SAML cho doanh nghiệp\u003c\/h3\u003e\n\u003cul\u003e\n  \u003cli\u003e\n\u003cstrong\u003eBảo mật:\u003c\/strong\u003e Một điểm xác thực duy nhất, dễ kiểm soát. Khi nhân viên nghỉ việc, vô hiệu hóa tài khoản IdP sẽ tự động khóa truy cập Claude\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eTrải nghiệm người dùng:\u003c\/strong\u003e Nhân viên đăng nhập một lần, truy cập tất cả ứng dụng. Không cần nhớ thêm mật khẩu\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eQuản lý tập trung:\u003c\/strong\u003e IT quản lý quyền truy cập từ một nơi, áp dụng chính sách bảo mật thống nhất\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eTuân thủ:\u003c\/strong\u003e Đáp ứng các yêu cầu về audit trail, access control trong các tiêu chuẩn ISO 27001, SOC 2\u003c\/li\u003e\n\u003c\/ul\u003e\n\n\u003ch3\u003eLuồng xác thực SAML\u003c\/h3\u003e\n\u003cp\u003eQuy trình xác thực SAML diễn ra như sau:\u003c\/p\u003e\n\u003col\u003e\n  \u003cli\u003eNgười dùng truy cập Claude Enterprise (SP)\u003c\/li\u003e\n  \u003cli\u003eClaude chuyển hướng người dùng đến trang đăng nhập của IdP\u003c\/li\u003e\n  \u003cli\u003eNgười dùng đăng nhập trên IdP (Okta\/Azure AD\/Google)\u003c\/li\u003e\n  \u003cli\u003eIdP xác thực và tạo SAML Assertion (chứng nhận danh tính)\u003c\/li\u003e\n  \u003cli\u003eIdP gửi SAML Assertion về Claude\u003c\/li\u003e\n  \u003cli\u003eClaude xác minh SAML Assertion và cho phép truy cập\u003c\/li\u003e\n\u003c\/ol\u003e\n\u003cp\u003eToàn bộ quy trình diễn ra trong vài giây, người dùng hầu như không nhận thấy.\u003c\/p\u003e\n\n\u003ch2\u003eChuẩn bị trước khi thiết lập\u003c\/h2\u003e\n\u003cp\u003eTrước khi bắt đầu cấu hình, bạn cần chuẩn bị:\u003c\/p\u003e\n\u003cul\u003e\n  \u003cli\u003e\n\u003cstrong\u003eTài khoản Claude Enterprise:\u003c\/strong\u003e Liên hệ Anthropic Sales để đăng ký gói Enterprise nếu chưa có\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eQuyền admin:\u003c\/strong\u003e Quyền admin trên cả Claude Enterprise và IdP của bạn\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eThông tin SP từ Claude:\u003c\/strong\u003e Entity ID, ACS URL (Assertion Consumer Service URL), và metadata của Claude\u003c\/li\u003e\n  \u003cli\u003e\n\u003cstrong\u003eChứng chỉ:\u003c\/strong\u003e Claude cung cấp public certificate để IdP xác minh\u003c\/li\u003e\n\u003c\/ul\u003e\n\n\u003ch3\u003eLấy thông tin từ Claude Enterprise Admin Console\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDang nhap Claude Enterprise Admin Console:\n1. Vao Settings \u0026gt; Authentication \u0026gt; SAML SSO\n2. Ghi lai cac thong tin sau:\n   - Entity ID (Audience URI): https:\/\/claude.ai\/saml\/metadata\n   - ACS URL (Reply URL): https:\/\/claude.ai\/saml\/acs\n   - Sign-on URL: https:\/\/claude.ai\/saml\/sso\n   - Metadata URL: https:\/\/claude.ai\/saml\/metadata.xml\n\nLuu y: Cac URL tren la vi du minh hoa.\nLuon lay URL chinh xac tu Admin Console cua ban.\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eThiết lập SSO với Okta\u003c\/h2\u003e\n\u003cp\u003eOkta là IdP phổ biến nhất trong doanh nghiệp công nghệ. Quy trình thiết lập gồm 4 bước chính.\u003c\/p\u003e\n\n\u003ch3\u003eBước 1: Tạo ứng dụng SAML trên Okta\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDang nhap Okta Admin Console:\n1. Vao Applications \u0026gt; Applications \u0026gt; Create App Integration\n2. Chon \"SAML 2.0\" \u0026gt; Next\n3. App name: \"Claude Enterprise\"\n4. App logo: Upload logo Claude (tuy chon)\n5. Click Next\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 2: Cấu hình SAML Settings\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eTrong phan SAML Settings, dien cac truong:\n\nGeneral:\n- Single sign-on URL: [ACS URL tu Claude Admin Console]\n  Check \"Use this for Recipient URL and Destination URL\"\n- Audience URI (SP Entity ID): [Entity ID tu Claude Admin Console]\n- Default RelayState: de trong\n- Name ID format: EmailAddress\n- Application username: Email\n\nAttribute Statements:\n- email | user.email\n- firstName | user.firstName\n- lastName | user.lastName\n- department | user.department (tuy chon)\n\nGroup Attribute Statements:\n- groups | Matches regex: .* (de dong bo nhom)\n\nClick Next \u0026gt; Finish\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 3: Lấy metadata từ Okta\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eSau khi tao ung dung:\n1. Vao tab \"Sign On\" cua ung dung Claude\n2. Click \"View SAML setup instructions\" hoac\n3. Copy \"Metadata URL\" — URL nay co dang:\n   https:\/\/your-domain.okta.com\/app\/xxx\/sso\/saml\/metadata\n\nCac thong tin can thiet:\n- IdP Single Sign-On URL\n- IdP Issuer (Entity ID)\n- X.509 Certificate (download file .cert)\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 4: Cấu hình trên Claude Enterprise\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eQuay lai Claude Enterprise Admin Console:\n1. Vao Settings \u0026gt; Authentication \u0026gt; SAML SSO\n2. Chon \"Configure manually\" hoac \"Upload metadata\"\n\nNeu cau hinh thu cong:\n- IdP Entity ID: [Dan tu Okta]\n- IdP SSO URL: [Dan tu Okta]\n- IdP Certificate: [Upload file .cert tu Okta]\n\nNeu upload metadata:\n- Dan Metadata URL tu Okta hoac upload file metadata.xml\n\n3. Click \"Save\" \u0026gt; \"Test Connection\"\n4. Neu test thanh cong, click \"Enable SSO\"\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eGán người dùng trên Okta\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDe nhan vien truy cap Claude:\n1. Trong Okta, vao ung dung Claude Enterprise\n2. Tab \"Assignments\"\n3. Click \"Assign\" \u0026gt; Chon \"Assign to Groups\" hoac \"Assign to People\"\n4. Chon nhom hoac nguoi dung can truy cap\n5. Click \"Save and Go Back\"\n\nBest practice:\n- Tao nhom Okta \"Claude-Users\" va \"Claude-Admins\"\n- Gan nhom thay vi ca nhan de de quan ly\n- Dung nhom de phan quyen trong Claude (user vs. admin)\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eThiết lập SSO với Azure AD (Microsoft Entra ID)\u003c\/h2\u003e\n\u003cp\u003eAzure AD (nay là Microsoft Entra ID) là IdP phổ biến với các doanh nghiệp sử dụng Microsoft 365. Quy trình tương tự Okta nhưng giao diện khác.\u003c\/p\u003e\n\n\u003ch3\u003eBước 1: Tạo Enterprise Application\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDang nhap Azure Portal (portal.azure.com):\n1. Vao Microsoft Entra ID \u0026gt; Enterprise Applications\n2. Click \"New application\" \u0026gt; \"Create your own application\"\n3. Ten: \"Claude Enterprise\"\n4. Chon \"Integrate any other application you don't find\n   in the gallery (Non-gallery)\"\n5. Click \"Create\"\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 2: Cấu hình SAML\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eTrong ung dung Claude Enterprise:\n1. Vao \"Single sign-on\" \u0026gt; Chon \"SAML\"\n\nPhan 1 — Basic SAML Configuration:\n- Identifier (Entity ID): [Entity ID tu Claude]\n- Reply URL (ACS URL): [ACS URL tu Claude]\n- Sign on URL: [Sign-on URL tu Claude]\n- Relay State: de trong\n- Logout URL: de trong hoac dien neu co\n\nPhan 2 — Attributes and Claims:\nClick \"Edit\" \u0026gt; Cau hinh:\n- Unique User Identifier (Name ID): user.userprincipalname\n  Format: Email address\n- email: user.mail\n- givenname: user.givenname\n- surname: user.surname\n- department: user.department (tuy chon)\n\nPhan 3 — SAML Certificates:\n- Download \"Certificate (Base64)\" hoac \"Federation Metadata XML\"\n\nPhan 4 — Set up Claude Enterprise:\n- Copy \"Login URL\" (IdP SSO URL)\n- Copy \"Azure AD Identifier\" (IdP Entity ID)\n- Copy \"Logout URL\" (tuy chon)\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 3: Gán người dùng và nhóm\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eTrong ung dung Claude Enterprise tren Azure:\n1. Vao \"Users and groups\"\n2. Click \"Add user\/group\"\n3. Chon nhom Azure AD (vi du: \"All Employees\" hoac\n   nhom rieng \"Claude-Users\")\n4. Gan role neu can (User \/ Admin)\n5. Click \"Assign\"\n\nLuu y:\n- Can Azure AD Premium P1 tro len de gan nhom\n- Voi goi Free, chi co the gan tung nguoi dung\n- Nen dung Dynamic Groups de tu dong them nhan vien moi\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eCấu hình trên Claude Enterprise\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eQuay lai Claude Enterprise Admin Console:\n1. Vao Settings \u0026gt; Authentication \u0026gt; SAML SSO\n2. Nhap:\n   - IdP Entity ID: [Azure AD Identifier]\n   - IdP SSO URL: [Login URL]\n   - IdP Certificate: [Upload file .cer tu Azure]\n\n   Hoac: Upload file Federation Metadata XML\n\n3. Test Connection \u0026gt; Enable SSO\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eThiết lập SSO với Google Workspace\u003c\/h2\u003e\n\u003cp\u003eGoogle Workspace là lựa chọn phổ biến với startup và doanh nghiệp vừa và nhỏ tại Việt Nam. Cấu hình SAML trên Google Workspace hơi khác với Okta và Azure.\u003c\/p\u003e\n\n\u003ch3\u003eBước 1: Tạo ứng dụng SAML tùy chỉnh\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDang nhap Google Admin Console (admin.google.com):\n1. Vao Apps \u0026gt; Web and mobile apps\n2. Click \"Add app\" \u0026gt; \"Add custom SAML app\"\n3. App name: \"Claude Enterprise\"\n4. Mau hinh: Upload logo Claude (tuy chon)\n5. Click \"Continue\"\n\nTrang Google IdP Information:\n- Copy hoac download:\n  - SSO URL\n  - Entity ID\n  - Certificate (download file .pem)\n- Click \"Continue\"\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 2: Cấu hình Service Provider Details\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eDien thong tin Service Provider:\n- ACS URL: [ACS URL tu Claude Admin Console]\n- Entity ID: [Entity ID tu Claude Admin Console]\n- Start URL: de trong\n- Signed response: Check\n- Name ID format: EMAIL\n- Name ID: Basic Information \u0026gt; Primary email\n\nClick \"Continue\"\n\nAttribute mapping:\n- email -\u0026gt; Basic Information \u0026gt; Primary email\n- firstName -\u0026gt; Basic Information \u0026gt; First name\n- lastName -\u0026gt; Basic Information \u0026gt; Last name\n- department -\u0026gt; Employee Details \u0026gt; Department (tuy chon)\n\nClick \"Finish\"\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eBước 3: Bật ứng dụng cho người dùng\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eSau khi tao ung dung:\n1. Click vao ung dung \"Claude Enterprise\"\n2. Click \"User access\"\n3. Chon:\n   - \"ON for everyone\" — tat ca nguoi dung trong to chuc\n   - Hoac chon tung Organizational Unit (OU) cu the\n\n4. Click \"Save\"\n\nLuu y:\n- Google Workspace khong co khai niem \"groups\" cho SAML\n  nhu Okta\/Azure. Dung OU de phan quyen\n- Thay doi co the mat 24 gio de co hieu luc voi tat ca\n  nguoi dung\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eCấu hình trên Claude Enterprise\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eQuay lai Claude Enterprise Admin Console:\n1. Vao Settings \u0026gt; Authentication \u0026gt; SAML SSO\n2. Nhap:\n   - IdP Entity ID: [Entity ID tu Google]\n   - IdP SSO URL: [SSO URL tu Google]\n   - IdP Certificate: [Upload file .pem tu Google]\n3. Test Connection \u0026gt; Enable SSO\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eAttribute Mapping chi tiết\u003c\/h2\u003e\n\u003cp\u003eAttribute mapping xác định thông tin nào từ IdP được gửi sang Claude. Đây là bước quan trọng để đảm bảo Claude nhận đúng thông tin người dùng.\u003c\/p\u003e\n\n\u003ch3\u003eCác attribute bắt buộc\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eCac attribute SAML bat buoc cho Claude Enterprise:\n\n1. NameID (bat buoc):\n   - Format: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress\n   - Gia tri: Email cong ty cua nguoi dung\n   - Vi du: nguyen.van.a@company.com\n\n2. email (bat buoc):\n   - Attribute name: email\n   - Gia tri: Email chinh cua nguoi dung\n\n3. firstName (khuyen nghi):\n   - Attribute name: firstName hoac givenName\n   - Gia tri: Ten nguoi dung\n\n4. lastName (khuyen nghi):\n   - Attribute name: lastName hoac surname\n   - Gia tri: Ho nguoi dung\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eCác attribute tùy chọn cho phân quyền\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eAttribute tuy chon de phan quyen trong Claude:\n\n5. department:\n   - Dung de phan quyen theo phong ban\n   - Vi du: Engineering, Marketing, Finance\n\n6. groups:\n   - Danh sach nhom cua nguoi dung\n   - Dung de map voi roles trong Claude\n   - Vi du: Claude-Admins, Claude-PowerUsers, Claude-BasicUsers\n\n7. role:\n   - Role truc tiep tu IdP\n   - Vi du: admin, user, viewer\n\nCau hinh trong Claude Admin Console:\nSettings \u0026gt; Authentication \u0026gt; Attribute Mapping\nMap tung attribute tu IdP sang truong tuong ung trong Claude.\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eĐồng bộ nhóm (Group Sync)\u003c\/h2\u003e\n\u003cp\u003eGroup sync cho phép tự động phân quyền trong Claude dựa trên nhóm người dùng từ IdP. Khi nhân viên được thêm vào hoặc xóa khỏi nhóm trên IdP, quyền trong Claude tự động cập nhật.\u003c\/p\u003e\n\n\u003ch3\u003eThiết lập Group Sync\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eCau hinh Group Sync trong Claude Enterprise:\n\n1. Vao Settings \u0026gt; Authentication \u0026gt; Group Sync\n2. Enable Group Sync\n3. Map nhom IdP voi role Claude:\n\n   Nhom IdP              | Role Claude\n   ----------------------|------------------\n   Claude-Admins         | Organization Admin\n   Claude-PowerUsers     | Power User (API access)\n   Claude-BasicUsers     | Standard User\n   Claude-ReadOnly       | Read-only User\n\n4. Chon hanh vi khi nguoi dung khong thuoc nhom nao:\n   - Block access (khuyen nghi)\n   - Assign default role\n\n5. Chon tan suat dong bo:\n   - Real-time (moi lan dang nhap)\n   - Periodic (moi 1-4 gio)\n\n6. Save va test\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eXử lý lỗi thường gặp\u003c\/h2\u003e\n\u003cp\u003eSSO SAML là cấu hình phức tạp và có nhiều điểm có thể sai. Dưới đây là các lỗi thường gặp và cách xử lý.\u003c\/p\u003e\n\n\u003ch3\u003eLỗi \"Invalid SAML Response\"\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eNguyen nhan thuong gap:\n1. ACS URL sai: Kiem tra ACS URL tren IdP co khop voi\n   Claude Admin Console khong\n2. Entity ID sai: So sanh Entity ID tren ca hai phia\n3. Certificate het han: Kiem tra ngay het han cua certificate\n4. Dong ho lech: May chu IdP va Claude lech gio qua 5 phut\n\nCach debug:\n- Dung SAML Tracer (Chrome extension) de xem SAML Response\n- Kiem tra Response co duoc ky (signed) dung khong\n- Kiem tra NameID format co dung EmailAddress khong\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eLỗi \"User not found\" hoặc \"User not authorized\"\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eNguyen nhan thuong gap:\n1. Nguoi dung chua duoc gan vao ung dung tren IdP\n2. Email trong SAML Response khong khop voi email tren Claude\n3. Group mapping chua dung — nguoi dung thuoc nhom khong\n   duoc phep truy cap\n\nCach xu ly:\n- Kiem tra nguoi dung da duoc assign tren IdP chua\n- Kiem tra NameID (email) co dung format khong\n- Kiem tra group sync co hoat dong khong\n- Thu dang nhap bang tai khoan admin de xac nhan he thong\n  hoat dong\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eLỗi \"Certificate validation failed\"\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eNguyen nhan thuong gap:\n1. Upload sai certificate (upload cert cua SP thay vi IdP)\n2. Certificate het han\n3. Certificate khong dung format (can Base64 \/ PEM)\n\nCach xu ly:\n1. Download lai certificate tu IdP\n2. Dam bao dung format:\n   - Okta: Download tu tab \"Sign On\"\n   - Azure: Download \"Certificate (Base64)\" tu SAML config\n   - Google: Download tu trang Google IdP Information\n3. Kiem tra ngay het han:\n   openssl x509 -in cert.pem -noout -dates\n4. Upload lai certificate tren Claude Admin Console\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eCông cụ debug SAML\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eCac cong cu huu ich de debug van de SAML:\n\n1. SAML Tracer (Chrome Extension):\n   - Bat extension \u0026gt; Dang nhap Claude\n   - Xem SAML Request va Response chi tiet\n   - Kiem tra attribute, signature, certificate\n\n2. SAML Developer Tools (samltool.com):\n   - Decode SAML Response\n   - Validate XML Signature\n   - Kiem tra certificate\n\n3. IdP Debug Logs:\n   - Okta: System Log \u0026gt; Filter \"Claude\"\n   - Azure: Sign-in logs \u0026gt; Filter by application\n   - Google: Admin Console \u0026gt; Reports \u0026gt; SAML\n\n4. Claude Admin Console:\n   - Settings \u0026gt; Authentication \u0026gt; SSO Logs\n   - Xem chi tiet tung lan dang nhap that bai\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eBảo mật nâng cao\u003c\/h2\u003e\n\u003cp\u003eSau khi SSO hoạt động, bạn nên áp dụng các biện pháp bảo mật bổ sung.\u003c\/p\u003e\n\n\u003ch3\u003eBắt buộc MFA qua IdP\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eCau hinh MFA tren IdP (ap dung cho Claude va tat ca ung dung):\n\nOkta:\n1. Security \u0026gt; Multifactor \u0026gt; Factor types\n2. Enable: Okta Verify, Google Authenticator, FIDO2\n3. Tao Sign-on Policy cho ung dung Claude:\n   - Require MFA every login hoac every 24 hours\n\nAzure AD:\n1. Security \u0026gt; Conditional Access \u0026gt; New policy\n2. Users: All users (hoac nhom cu the)\n3. Cloud apps: Claude Enterprise\n4. Grant: Require MFA\n5. Enable policy\n\nGoogle Workspace:\n1. Security \u0026gt; 2-Step Verification\n2. Enforce 2-step verification cho OU su dung Claude\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eChính sách truy cập có điều kiện\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eThiet lap Conditional Access Policy (Azure AD \/ Okta):\n\n1. Chi cho phep dang nhap tu:\n   - Mang cong ty (IP range whitelist)\n   - Thiet bi da dang ky (Intune \/ Jamf managed)\n   - Quoc gia cu the (Viet Nam, cac nuoc co van phong)\n\n2. Yeu cau bao mat tang cuong khi:\n   - Dang nhap tu thiet bi moi: Yeu cau MFA + admin approval\n   - Dang nhap ngoai gio lam viec: Yeu cau MFA\n   - Dang nhap tu IP la: Block hoac yeu cau xac minh\n\n3. Tu dong khoa khi:\n   - 5 lan dang nhap that bai lien tiep\n   - Phat hien hanh vi bat thuong (impossible travel)\n   - Tai khoan bi compromise tren IdP\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch3\u003eKiểm tra bảo mật định kỳ\u003c\/h3\u003e\n\u003cpre\u003e\u003ccode\u003eChecklist kiem tra bao mat SSO hang quy:\n\n1. CERTIFICATE:\n   [ ] Certificate con hieu luc (kiem tra ngay het han)\n   [ ] Da len ke hoach rotate certificate truoc khi het han\n\n2. TRUY CAP:\n   [ ] Review danh sach nguoi dung co quyen truy cap\n   [ ] Xoa tai khoan nhan vien da nghi viec\n   [ ] Kiem tra quyen admin co phu hop khong\n\n3. LOGS:\n   [ ] Review authentication logs 30 ngay gan nhat\n   [ ] Co login bat thuong khong? (gio la, IP la, nhieu lan fail)\n   [ ] SAML Response co bi loi thuong xuyen khong?\n\n4. CHINH SACH:\n   [ ] MFA van duoc enforce\n   [ ] Conditional Access policies van hoat dong\n   [ ] Session timeout phu hop (khuyen nghi 8-12 gio)\n\n5. BACKUP:\n   [ ] Co phuong an dang nhap du phong khi IdP gap su co\n   [ ] IT admin co the bypass SSO trong truong hop khan cap\u003c\/code\u003e\u003c\/pre\u003e\n\n\u003ch2\u003eBước tiếp theo\u003c\/h2\u003e\n\u003cp\u003eBạn đã có hướng dẫn đầy đủ để thiết lập SSO SAML cho Claude Enterprise với Okta, Azure AD và Google Workspace. Hãy bắt đầu với IdP mà tổ chức bạn đang sử dụng, làm theo từng bước, và đặc biệt chú ý phần xử lý lỗi. Khám phá thêm các hướng dẫn Enterprise tại \u003ca href=\"\/collections\/ung-dung\"\u003eThư viện Ứng dụng Claude\u003c\/a\u003e.\u003c\/p\u003e\n","brand":"Minh Tuấn","offers":[{"title":"Default Title","offer_id":47730157682900,"sku":null,"price":0.0,"currency_code":"VND","in_stock":true}],"thumbnail_url":"\/\/cdn.shopify.com\/s\/files\/1\/0821\/0264\/9044\/files\/thiet-lap-sso-saml-cho-claude-enterprise-okta-azure-ad-google-workspace.jpg?v=1774718274","url":"https:\/\/claude.vn\/products\/thiet-lap-sso-saml-cho-claude-enterprise-okta-azure-ad-google-workspace","provider":"CLAUDE.VN","version":"1.0","type":"link"}