# 借助 Workload Identity Federation 安全访问 Claude Platform

- 来源：Claude：Blog（网页）
- 发布时间：2026-06-17 00:00
- AIHOT 分数：65
- AIHOT 标记：精选
- AIHOT 链接：https://aihot.virxact.com/items/cmqijhrqi01iosl5wt876piz9
- 原文链接：https://claude.com/blog/workload-identity-federation

## 精选理由

这个功能真正解决了企业在生产环境中用 Claude 的最大痛点，现在团队可以完全抛掉静态密钥，用现成的身份体系接入，安全审计也变得顺手。

## AI 摘要

Workload Identity Federation (WIF) 已在 Claude Platform 上全面可用。WIF 兼容任何 OIDC 身份提供者，覆盖所有 Claude API 端点（包括第一方 SDK 和 Claude Code）。WIF 用短生命期凭证替代静态 API 密钥，并引入服务账户，每个工作负载拥有独立身份、角色和审计日志。Claude Console 提供引导设置流程，支持 Admin API 进行组织管理。API 密钥可并行使用以便逐步迁移。

## 正文

通过 Workload Identity Federation 安全访问 Claude 平台

分类

产品公告

产品

Claude 平台

日期

2026 年 6 月 17 日

阅读时间

5

分钟

https://claude.com/blog/workload-identity-federation

Workload Identity Federation（WIF）现已在 Claude 平台上正式可用。WIF 兼容任何符合 OIDC 标准的身份提供商，并覆盖所有 Claude API 端点，包括通过我们的一阶 SDK 和 Claude Code 访问这些端点的情况。

借助面向工作负载的 WIF 和面向交互式会话的 ant auth login，开发者在基于 Claude 平台构建时，再也不需要处理静态 API 密钥。

Workload Identity Federation 的工作原理

WIF 用请求时颁发的短期、限定范围凭据取代了静态 API 密钥。无论您是运行 GitHub Actions 的两人创业公司，还是拥有详细凭据政策的企业，现在都可以像对栈中其他部分进行身份验证一样，对 Claude 平台进行身份验证。

使用 WIF，不再需要创建、轮换或泄露静态的 Anthropic 凭据。工作负载使用它们已有的身份进行身份验证：AWS IAM 角色、GCP 或 Kubernetes 服务账号、Azure 托管标识、GitHub Actions token、Okta 或其他符合 OIDC 标准的提供商。

我们还在 Claude 平台上引入了服务账号，因此每个工作负载都可以拥有自己的身份、角色和审计追踪，而不是共享的 API 密钥。首先，一个联合规则将外部身份绑定到服务账号。然后，当工作负载请求访问时，Claude 平台验证工作负载的签名 OIDC token，将其声明与您的联合规则进行匹配，并颁发一个受服务账号角色约束的短期访问 token。每次交换和请求都会在您的审计日志中记录到该服务账号名下。

数分钟内设置您的第一个工作负载

Claude Console 提供了引导式设置流程来配置工作负载身份。该设置会验证每一步，并以一条测试命令结束，该命令可确认您的工作负载能够进行身份验证。

在无需静态密钥的情况下运行您的整个组织

WIF 与用于组织管理的 Admin API 兼容。通过细粒度作用域可配置联合规则，以实现最小权限访问。

对于大规模运营的组织，联合配置也完全可通过编程方式完成。新增的 Admin API 端点允许您创建和更新签发方、服务账户及联合规则。

未找到任何项目。

上一页

0/5

下一页

电子书

入门指南

API 密钥可与 WIF 配合使用，因此您可以一次迁移一个工作负载。请阅读每个身份提供商的设置指南，或打开 Claude Console 连接您的第一个工作负载。

常见问题

未找到任何项目。

用 Claude 改变您组织的运作方式

查看定价

联系销售

获取开发者新闻通讯

产品更新、操作指南、社区亮点等内容。每月投递至您的收件箱。
