借助 Workload Identity Federation 安全访问 Claude Platform
阅读原文· claude.com这个功能真正解决了企业在生产环境中用 Claude 的最大痛点,现在团队可以完全抛掉静态密钥,用现成的身份体系接入,安全审计也变得顺手。
Workload Identity Federation (WIF) 已在 Claude Platform 上全面可用。WIF 兼容任何 OIDC 身份提供者,覆盖所有 Claude API 端点(包括第一方 SDK 和 Claude Code)。WIF 用短生命期凭证替代静态 API 密钥,并引入服务账户,每个工作负载拥有独立身份、角色和审计日志。Claude Console 提供引导设置流程,支持 Admin API 进行组织管理。API 密钥可并行使用以便逐步迁移。
通过 Workload Identity Federation 安全访问 Claude 平台
- 分类产品公告
- 产品Claude 平台
- 日期2026 年 6 月 17 日
- 阅读时间5分钟
- https://claude.com/blog/workload-identity-federation
Workload Identity Federation(WIF)现已在 Claude 平台上正式可用。WIF 兼容任何符合 OIDC 标准的身份提供商,并覆盖所有 Claude API 端点,包括通过我们的一阶 SDK 和 Claude Code 访问这些端点的情况。
借助面向工作负载的 WIF 和面向交互式会话的 ant auth login,开发者在基于 Claude 平台构建时,再也不需要处理静态 API 密钥。
Workload Identity Federation 的工作原理
WIF 用请求时颁发的短期、限定范围凭据取代了静态 API 密钥。无论您是运行 GitHub Actions 的两人创业公司,还是拥有详细凭据政策的企业,现在都可以像对栈中其他部分进行身份验证一样,对 Claude 平台进行身份验证。
使用 WIF,不再需要创建、轮换或泄露静态的 Anthropic 凭据。工作负载使用它们已有的身份进行身份验证:AWS IAM 角色、GCP 或 Kubernetes 服务账号、Azure 托管标识、GitHub Actions token、Okta 或其他符合 OIDC 标准的提供商。
我们还在 Claude 平台上引入了服务账号,因此每个工作负载都可以拥有自己的身份、角色和审计追踪,而不是共享的 API 密钥。首先,一个联合规则将外部身份绑定到服务账号。然后,当工作负载请求访问时,Claude 平台验证工作负载的签名 OIDC token,将其声明与您的联合规则进行匹配,并颁发一个受服务账号角色约束的短期访问 token。每次交换和请求都会在您的审计日志中记录到该服务账号名下。
数分钟内设置您的第一个工作负载
Claude Console 提供了引导式设置流程来配置工作负载身份。该设置会验证每一步,并以一条测试命令结束,该命令可确认您的工作负载能够进行身份验证。

在无需静态密钥的情况下运行您的整个组织
WIF 与用于组织管理的 Admin API 兼容。通过细粒度作用域可配置联合规则,以实现最小权限访问。
对于大规模运营的组织,联合配置也完全可通过编程方式完成。新增的 Admin API 端点允许您创建和更新签发方、服务账户及联合规则。
入门指南
API 密钥可与 WIF 配合使用,因此您可以一次迁移一个工作负载。请阅读每个身份提供商的设置指南,或打开 Claude Console 连接您的第一个工作负载。
常见问题
用 Claude 改变您组织的运作方式
获取开发者新闻通讯
产品更新、操作指南、社区亮点等内容。每月投递至您的收件箱。