![[Claude] 会社ドメインで個人プランを使っているときにSSOをドメインで必須化したらどうなるか試してみた](https://images.ctfassets.net/ct0aopd36mqt/3KBTm8tdpO9RJJuaVvVzod/a9964bb03097b448b2327edc6920bf9f/Claude.png?w=3840&fm=webp)
[Claude] 会社ドメインで個人プランを使っているときにSSOをドメインで必須化したらどうなるか試してみた
こんにちは、最近はClaude周りの支援もやっているまるとです。
Claude(生成AIツール全般)、便利ですよね。
既に個人・組織で使っている方も、これから導入しようと考えている方も多いのではないでしょうか。
さて、Claudeの組織向けプランでTeam/Enterpriseがあります。
組織向けプランは基本的に組織のドメインなどを使います。また、ドメインに対してSSO認証を必須化して、IdPのポリシーを適用させる、という使い方もできます。
ここで、一つ気になる点がでてきます。
Claude個人プランを組織などのドメインを使っていて、SSOを必須化したらどうなるのか
...ということで早速試してみました。
先に結論
考慮は必要だけど、個人アカウントにアクセスは提供できる
- Team/Enterpriseにもアクセス権がある場合
- 個人プランと組織プランの切替ができる
- 個人向けプラン(Free/Pro/Max)にしかアクセス権がない場合
- IdP側でSSOできるように割り当てすれば、個人向けプランにログインできる
やってみよう!
やってみたほうがわかりやすいのでやってみました。
SSOの設定は以下を参考にやります。(Entra ID以外でも、基本はClaude組織設定のSSOの画面通りにやればできます。)
前提として、Entra IDにおいてSSOにエンタープライズアプリケーションの割り当てが必要な場合、ユーザ/グループに割り当てを行っておきます。
設定が諸々完了したら、Claude組織設定の「組織とアクセス」ページから「ClaudeにSSOを必須にする」を有効にします。
それではログインしてみましょう。
Team/Enterpriseにもアクセス権があるパターン
個人プランに加えて、TeamまたはEnterpriseなどの組織向けプランに割り当てがある場合、個人向けプランと組織向けプランが切り替えられる形になりました。
(自分の名前をクリックすると、テナントの切替ができる)
Team/Enterpriseに割り当てがなく、個人プランしかない場合
本題です。会社のドメインなどを使っていて、個人プランしか無い状態でSSOを必須化されたら、個人プランにアクセスできるのか。
結果は普通に個人プランにアクセスできました。
Claudeはメールアドレスでアカウントを判定しているため、SSOを必須化した場合で組織プランに割り当てがなくても問題なくログインできます。
考慮すべきこと
では、個人プラン使っているユーザもSSOさえできれば問題ないから、全体的にSSOをできるようしよう!というケースもあると思いますが、考慮しないといけないことがあります。
Claude組織向けプランでは、ユーザのプロビジョニング方法でJIT(Just-In-Time)とSCIM(Enterpriseのみ対応)があります。
管理者がメールアドレスを指定して、Claude組織設定から個別に割り当てる「招待制」であれば問題は発生しませんが、JITとSCIMの場合、ユーザが組織に自動で割り当てられてしまう問題があります。
特にEnterpriseでは、組織に割り当てられる人数の上限として購入したシート数のみという制約があります。(これはシートを割り当てない場合でも、検証時点では購入シート数が招待できるユーザの上限でした。)
SCIMディレクトリ同期が有効になっている場合、Identity ProviderのAnthropicアプリに割り当てられたメンバーは、プランの総シート数まで自動的にプロビジョニングされます。
そのため、Team/EnterpriseでJIT/SCIMによるユーザプロビジョニングを利用している場合、全体にSSOができるよう割り当てを行うと、自動で組織に割り当てられ、意図せず組織向けプランの購入シート数上限に達してしまう事象が発生します。
どうするか
現状の調査
まず、現状を調べるのが重要です。
Claude組織設定で認証済みドメインに対して、プランの利用状況などを確認できるようになっています。
確認するには、組織設定の「組織とアクセス」にある「ドメインメンバーシップ」をクリックします。
これをクリックすると個人向けプランやAPI利用(Console)を含め、どのくらいのユーザがいるのかが可視化されます。
特に、CSVとしてデータをダウンロードすると、どのメールアドレスで使われているかまで特定できます。
これにより誰が個人向けプランを利用しているか特定可能となります。
移行方針の検討
前提として組織/会社として利用する場合は、統制等の観点から個人プランではなく、組織向けプランを利用することを推奨します。
これは組織向けプランの場合、標準でモデルの学習に利用されない状態となっています。個人向けプランの場合、明示的にオプトアウトを設定する必要があります。
また、業務情報を個人向けプランに入れた場合、退職時や異動時のアカウントの回収が困難となります。
Enterpriseの場合
Enterpriseプランの場合、個人向けプランからEnterpriseに強制的に移行させる機能があります。
こちらを使うことで30日以内にデータ含め移行するか、個人向けプランを廃止し、新規でEnterpriseのみを使用するかが利用者に通知されます。
移行が完了したら、IdP側でSSOできるユーザ/グループを割り当てることで、必要なユーザのみにClaudeを提供することができます。
Teamの場合
強制的な移行ができないTeamの場合は考慮が必要です。
まず、ドメインを利用した新規の個人アカウントが作成されないように、「組織の作成を制限」を有効にすることを検討します。
ここからは組織の方針にもよって変わってきますが、既に利用しているユーザを「現状の調査」で特定し、Teamプランに移行を求めていきます。
なお、強制的に移行させる、という手段ができないため、利用ユーザに対して自発的な移行を要求する形になります。
他の手段として、TeamではStandardまたはPremiumシートを割り当てないことにより、購入シート数の上限を超えてメンバーを組織に割り当てることができます。
(招待時はStandardまたはPremiumに割り当てる必要があるため、参加後に手動で「未割り当て」に変更する必要があります)
そのため、個人向けプランの廃止&移行が完了するまでは招待制で既存ユーザを割り当てつつ、移行が完了したらJITに切り替える方法もあります。
個人プランへのSSOはできるようにしつつ、Team/Enterpriseを割り当てない場合
諸事情により個人プランへのアクセスは提供しつつ、組織プランのアクセス権を提供したくない場合、JIT/SCIMではなく招待制を選択する必要があります。
組織プランが必要なユーザのみを個別にメールアドレス指定で招待しつつ、IdP側でSSOができるようにアプリケーションの割り当てを行います。
ただ、この手法ではClaudeとIdP側でユーザが二重管理になる、ユーザが多い場合に運用負荷が上がってしまうため、基本は組織プランに移行を求めていくことが推奨です。
終わりに
今までは個人レベルのAI活用から、組織レベルの活用にどんどんシフトしています。
シフトしていくにあたり、個人プランの扱いをどうするか、移行をどうするか検討が必要になっていきます。
ただ、「移行方針の検討」章でもお伝えしたとおり、統制等の観点やモデルへの学習がデフォルトでオフ、という観点から組織での利用の際は個人プランを利用しないことをまずは検討してください。
この記事が少しでもお役に立てば幸いです。
以上、まるとでした。
