JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.
Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.
Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie bereits die Schritte in Einrichten von Single Sign-On (SSO) abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identity Provider (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.
Schritt 1: Wählen Sie Ihren Bereitstellungsmodus
Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird durch die Einstellung Bereitstellungsmodus in Ihren Identitäts- und Zugriffseinstellungen gesteuert.
Bereitstellungsoptionen
Manuell ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.
JIT (Just-in-Time): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.
SCIM: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit ihrer eigenen übergeordneten Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit einer Team-Plan-Mutterorganisation verbunden sind.
Übersicht des Bereitstellungsverhaltens
Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:
Modus | Bereitstellung | Rollen- und Seat-Tier-Änderungen | Entfernung |
Manuell | Benutzer werden manuell hinzugefügt | Rollen und Seat-Tiers werden manuell geändert | Benutzer werden manuell entfernt |
JIT | Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt | Rollen und Seat-Tiers werden manuell geändert | Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden |
JIT + erweiterte Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt | Rollen und Seat-Tiers werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert | Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis zur Anmeldung oder manuellen Entfernung |
SCIM | Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer Mutterorganisation verbunden sind. | Rollen und Seat-Tiers werden manuell geändert | Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt |
SCIM + erweiterte Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit entsprechenden Rollen bereitgestellt | Rollen- und Seat-Tier-Änderungen werden automatisch basierend auf der Gruppenmitgliedschaft propagiert | Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird |
Sowohl JIT als auch SCIM können mit erweiterten Gruppenzuordnungen kombiniert werden, um die Rollen- oder Seat-Tier-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern.
Verfügbare Rollen und Seat-Tiers
Produkt | Rollen | Seat-Tiers |
Claude (Team/Enterprise) | Owner, Admin, User | Premium, Standard |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Detaillierte Anweisungen zum Hinzufügen und Entfernen von Mitgliedern finden Sie unter Kauf und Verwaltung von Seats.
Schritt 2: Richten Sie SCIM-Verzeichnissynchronisierung ein (bei Verwendung von SCIM)
Hinweis: Überspringen Sie diesen Schritt, wenn Sie manuelle oder JIT-Bereitstellung verwenden.
Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identity Provider und Anthropic herstellen, bevor Sie es aktivieren.
Navigieren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity)
Klicken Sie im Abschnitt „Globale SSO-Konfiguration" auf „SCIM einrichten" (oder „SCIM verwalten") neben „Verzeichnissynchronisierung (SCIM)".
Folgen Sie dem WorkOS-Setup-Leitfaden, um SCIM in Ihrem Identity Provider zu konfigurieren. Sie müssen Werte aus WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.
‼️ Wenn Sie den IdP-Gruppenschritt erreichen, halten Sie an, um die Schritte 3 und 4 dieser Anleitung zusammen mit den anderen Anleitungen zu überprüfen.
Für IdP-spezifische JIT-/SCIM-Setup-Anweisungen siehe:
Weitere IdPs finden Sie hier
Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.
Schritt 3: Konfigurieren Sie den Bereitstellungsmodus und erweiterte Gruppenzuordnungen
Suchen Sie im Abschnitt Organisations-SSO-Konfiguration Ihrer Identitäts- und Zugriffseinstellungen nach Bereitstellungsmodus.
Wählen Sie Ihre gewählte Option aus dem Dropdown-Menü („Just in time (JIT)" oder „Verzeichnissynchronisierung (SCIM)").
Aktivieren Sie Erweiterte Gruppenzuordnungen, falls verwendet.
Wichtig: Klicken Sie NICHT auf „Änderungen speichern". Sie müssen zunächst sicherstellen, dass alle Benutzer Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sind. Für erweiterte Gruppenzuordnungen müssen Benutzer auch den entsprechenden Gruppen zugewiesen sein (Schritte 4 und 5). Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden.
Wenn Sie keine erweiterten Gruppenzuordnungen verwenden: Stellen Sie sicher, dass alle Benutzer Ihrer Anthropic-Anwendung in Ihrem IdP für die SCIM-Bereitstellung zugewiesen sind, und klicken Sie dann auf „Änderungen speichern", um Ihr Setup abzuschließen.
Schritt 4: Konfigurieren Sie Gruppen und weisen Sie Benutzer in Ihrem Identity Provider für erweiterte Gruppenzuordnungen zu
Erstellen Sie Gruppen in Ihrem IdP für jede Rolle und jeden Seat-Tier, den Sie zuweisen möchten.
Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B.
anthropic-claude-oderanthropic-console-), um sie leichter zu identifizieren.
Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin- (Console) oder Owner- (Claude) Rolle zugeordnet wird.
Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen sein, bevor Sie Ihre Konfiguration für erweiterte Gruppenzuordnungen im nächsten Schritt speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, von als Sie SSO aktiviert haben.
Schritt 5: Ordnen Sie Gruppen Rollen und Seat-Tiers zu
Kehren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude oder Console zurück, und aktivieren Sie Erweiterte Gruppenzuordnungen (falls noch nicht geschehen).
Klicken Sie im Abschnitt Rollenzuordnungen auf „Hinzufügen" neben jeder Rolle und wählen Sie die entsprechende Gruppe aus Ihrem IdP im Dropdown-Menü aus.
Für Claude-Organisationen: Klicken Sie im Abschnitt Seat-Tier-Zuordnungen auf „Hinzufügen" neben jedem Tier (Premium, Standard) und wählen Sie die entsprechende Gruppe aus. Wenn ein Benutzer nicht einer Seat-Tier-Gruppe zugewiesen ist, wird er standardmäßig dem höchsten verfügbaren Tier zugewiesen.
Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Seat-Tiers zugeordnet sind.
Klicken Sie auf „Änderungen speichern".
Hinweis: Microsoft Entra überträgt SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden.
Fehlerbehebung
Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?
Überprüfen Sie, dass Sie genug Seats gekauft und verfügbar haben, um Mitglieder zu Ihrer Organisation hinzuzufügen.
Überprüfen Sie die auf der Organisationsseite angezeigten „Gesamtsitze". Falls erforderlich, kaufen Sie zusätzliche Seats.
Sobald Sie verfügbare Seats haben, gehen Sie zurück zur Seite „Identitäts- und Zugriff" und klicken Sie auf „Jetzt synchronisieren" neben Verzeichnissynchronisierung (SCIM). Dies löst eine Synchronisierung aus, um Konten für diese Benutzer bereitzustellen, die noch nicht als Mitglieder hinzugefügt wurden.
Benutzer werden nicht mit der richtigen Rolle bereitgestellt
Überprüfen Sie, dass der Benutzer der richtigen Gruppe in Ihrem IdP zugewiesen ist.
Überprüfen Sie, dass die Gruppe der richtigen Rolle in Ihren Identitäts- und Zugriffseinstellungen zugeordnet ist.
Für JIT: Der Benutzer muss sich abmelden und wieder anmelden, damit Rollenänderungen wirksam werden.
Für SCIM: Klicken Sie auf „Jetzt synchronisieren", um eine sofortige Synchronisierung auszulösen, oder warten Sie auf den automatischen Synchronisierungszyklus.
Ich habe Admin-/Owner-Zugriff verloren, nachdem ich erweiterte Gruppenzuordnungen aktiviert habe
Dies geschieht, wenn die Person, die erweiterte Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Owner-Rolle zugeordnet ist, was dazu führt, dass ihre Berechtigungen auf Benutzer herabgestuft werden. Um dies zu beheben:
Option 1: Lassen Sie einen anderen Admin/Owner Ihre Rolle wiederherstellen
Kontaktieren Sie einen anderen Admin oder Owner Ihrer Organisation.
Bitten Sie ihn, zu Admin-Einstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.
Bitten Sie ihn, Ihre Rolle zurück zu Admin oder Owner zu ändern.
Option 2: Beheben Sie das Problem über Ihren Identity Provider
Weisen Sie sich in Ihrem IdP einer Gruppe mit dem richtigen Präfix zu, die einer Admin- oder Owner-Rolle zugeordnet ist.
Für JIT: Melden Sie sich ab und wieder an, um Zugriff wiederzuerlangen.
Für SCIM: Bitten Sie einen anderen Admin oder Owner, in den Identitäts- und Zugriffseinstellungen auf „Jetzt synchronisieren" zu klicken, oder warten Sie auf den automatischen Synchronisierungszyklus.