developersIO
Claude EnterpriseとEntra IDをSSO連携してみた

Claude EnterpriseとEntra IDをSSO連携してみた

ClaudeMicrosoft Entra ID
2026.04.07

はじめに

Claude Enterprise(以下、Enterpriseプラン)を組織で導入する際、セキュリティ要件としてシングルサインオン(SSO)の設定が求められるケースは多いです。
SSOを有効にすることで、ユーザーは普段使い慣れたIDプロバイダー(IdP)の認証情報でClaudeにログインでき、管理者側ではアクセス制御を一元管理できます。

Claude EnterpriseのSSO機能はWorkOSを基盤としており、SAML 2.0による連携がサポートされています。
今回はMicrosoft Entra ID(旧Azure AD)をIdPとして、SAML連携によるSSOを設定してみました。

https://support.claude.com/ja/articles/13132885

やってみた

前提条件

  • Claude EnterpriseプランまたはTeamプランが有効であること
  • Claudeの組織でOwnerまたはPrimary Ownerの権限を持っていること
  • Microsoft Entra IDの管理者権限を持っていること
  • 使用するドメインのDNS設定にアクセスできること
  • Entra IDのユーザーにメール アドレスが設定されていること(SAMLクレームで使用するため)

ドメインの検証

Claude側でドメインを検証します。
Claude組織設定のIDとアクセス管理を開きます。
ドメインセクションで検証したいドメインを追加し、検証をクリックします。

2026-04-07-034.png

Verify your organization domain画面が表示されるので、検証するドメインを入力してContinueをクリックします。

2026-04-07-036.png

TXTレコードの情報が表示されます。
表示されたHost / NameValueをドメインのDNS設定にTXTレコードとして追加します。

2026-04-07-037.png

今回はRoute 53でTXTレコードを作成しました。
レコードタイプはTXTを選択し、レコード名と値をウィザードの表示通りに入力します。

2026-04-07-464.png

DNS反映後しばらくしてDomain verifiedが表示されればドメイン検証は完了です。

2026-04-07-039.png

Claudeの組織設定上でも認証済みになっています。

2026-04-07-040.png

SSOの設定

IDとアクセスページの組織アクセスセクションでSSO設定をクリックします。

2026-04-07-040.png

IDプロバイダーの選択画面が表示されるので、Entra ID (Azure AD) SAMLを選択します。

2026-04-07-041.png

以下のようにセットアップウィザードが起動します。

2026-04-07-042.png

以降はウィザードの各ステップに従い、Claude側とEntra ID側を行き来しながら設定を進めます。

エンタープライズアプリケーションの作成

Microsoft Entra管理センターにログインし、Entra ID > エンタープライズ アプリケーションを開きます。
新しいアプリケーションをクリックします。

2026-04-07-044.png

独自のアプリケーションの作成を選択し、以下を設定して作成をクリックします。

  • アプリ名: Anthropic(任意の名前)
  • ギャラリーにない他のアプリケーションを統合する(ギャラリー以外)を選択

2026-04-07-046.png

アプリケーションが作成されました。

2026-04-07-047.png

基本的なSAML構成

作成したアプリケーションのシングル サインオンタブを選択し、SAMLをクリックします。

2026-04-07-052.png

基本的な SAML 構成の編集アイコンをクリックします。

2026-04-07-053.png

ウィザードに表示されているIdentifier (Entity ID)Reply URL (Assertion Consumer Service URL)をコピーし、Entra ID側に貼り付けて保存します。

Capture-2026-04-07-123154.png

2026-04-07-054.png

属性とクレームの設定

Entra IDの属性とクレームで以下のクレームが設定されていることを確認します。

Capture-2026-04-07-123211.png

2026-04-07-086.png

デフォルト設定のままで問題なさそうなので、そのまま先に進みます。

ユーザーの割り当て

SSOでログインさせるユーザーまたはグループをアプリケーションに割り当てます。
ユーザーとグループタブからユーザーまたはグループの追加をクリックします。

2026-04-07-065.png

対象のユーザーまたはグループを選択し、割り当てをクリックします。

2026-04-07-066.png

2026-04-07-067.png

アプリケーションロゴの設定

ウィザードではAnthropicのロゴをダウンロードしてアプリケーションに設定する手順が案内されます。
ロゴを設定するとEntra IDのMy Appsポータルでユーザーがアプリを識別しやすくなります。

Capture-2026-04-07-123228.png

プロパティタブのロゴフィールドからダウンロードしたロゴをアップロードして保存します。

2026-04-07-070.png

2026-04-07-071.png

IdPメタデータURLの設定

Entra IDのシングル サインオンタブに戻り、SAML 証明書セクションのアプリのフェデレーション メタデータ URLをコピーします。

2026-04-07-076.png

ウィザードのIdentity provider metadata URLフィールドに貼り付けます。

Capture-2026-04-07-123128.png

SSO接続のテスト

すべてのステップが完了すると、SSO接続のテスト画面が表示されます。
Continue to sign-inをクリックします。

2026-04-07-078.png

Entra IDのサインイン画面にリダイレクトされるので、割り当て済みのユーザーでログインします。

alt text

認証が成功するとClaudeの組織設定にリダイレクトします。

2026-04-07-085.png

組織アクセスからシングルサインオンの管理へ進むと、以下のようにConnection activatedと表示されているはずです。

2026-04-07-084.png

これにてSSOの設定は完了です。
今回は割愛しますがSSOの各種設定が完了すると、SSOの強制やSCIMなどが設定できるようになります。

2026-04-07-085.png

まとめ

Claude EnterpriseとMicrosoft Entra IDをSAML連携し、SSOを設定する方法を試しました。
Claude側からWorkOSのセットアップウィザードが起動し、Entra ID側で行うべき操作をステップごとにガイドしてくれるため、指示に従うことでスムーズに設定できます。
今後はSCIMによる自動プロビジョニングやグループマッピングによるロール割り当ても試してみたいと思います。
どなたかの参考になれば幸いです。

この記事をシェアする

関連記事

Splunk Cloud と Microsoft Entra ID のSAML認証をやってみる
酒井剛
2025.02.07
Amazon Cognitoで試す Google Social Login と Google Workspace SAML SSO のセットアップ比較
小渕ヒューゴ
2026.03.13
Okta から Google Workspace への SSO を実装する
村田一紘
2025.11.07
OktaでSalesforceをSAML連携させてシングルサインオン(SSO)してみた #okta
きだぱん
2025.11.18