工作负载身份联合(Workload Identity Federation,简称WIF)现已在Claude平台全面上线。WIF兼容任何符合OIDC标准的身份提供商,支持访问所有Claude API端点,包括通过官方SDK和Claude Code访问时。

借助WIF进行工作负载身份认证,以及针对交互式会话使用的ant auth login,开发者在使用Claude平台时无需再管理静态API密钥。

工作负载身份联合的工作原理

WIF用短期、范围限定的凭证替代了静态API密钥,这些凭证在请求时动态签发。无论是两人创业团队使用GitHub Actions,还是拥有复杂凭证策略的企业,都可以用与现有技术栈相同的方式认证Claude平台。

通过WIF,无需创建、轮换或担心泄露静态Anthropic凭证。工作负载使用已有身份进行认证:AWS IAM角色、GCP或Kubernetes服务账户、Azure托管身份、GitHub Actions令牌、Okta或其他符合OIDC的身份提供商。

我们还在Claude平台引入了服务账户,每个工作负载都可以拥有独立身份、角色和审计记录,取代共享API密钥。首先,联合规则将外部身份绑定到服务账户。随后,当工作负载请求访问时,Claude平台验证工作负载签名的OIDC令牌,依据联合规则匹配声明,并签发受服务账户角色限制的短期访问令牌。所有交换和请求都会在审计日志中记录到对应服务账户。

几分钟内完成首个工作负载配置

Claude控制台提供引导式配置流程,帮助设置工作负载身份。配置过程会验证每一步,最后通过测试命令确认工作负载能够成功认证。

Claude控制台工作负载身份配置界面

让整个组织无静态密钥运行

WIF兼容用于组织管理的管理API。联合规则支持通过细粒度权限范围实现最小权限访问。

联合配置也支持完全编程化,适合大规模组织使用。新增的管理API端点允许创建和更新发行者、服务账户及联合规则。