JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.
Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.
Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie die Schritte in Einmaliges Anmelden (SSO) einrichten bereits abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identitätsanbieter (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.
Schritt 1: Wählen Sie Ihren Bereitstellungsmodus
Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird durch die Einstellung Bereitstellungsmodus in Organisation Einstellungen > Identität und Zugriff gesteuert.
Bereitstellungsoptionen
Nur auf Einladung ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.
Automatisch genehmigen (JIT): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.
Mit SCIM synchronisieren: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit ihrer eigenen übergeordneten Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit einer Team-Plan-Mutterorganisation verbunden sind.
Übersicht des Bereitstellungsverhaltens
Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:
Modus | Bereitstellung | Rollen- und Sitztyp-Änderungen | Entfernung |
Nur auf Einladung | Benutzer werden manuell hinzugefügt | Rollen und Sitztypen werden manuell geändert | Benutzer werden manuell entfernt |
Automatisch genehmigen (JIT) | Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt | Rollen und Sitztypen werden manuell geändert | Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden |
JIT + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt | Rollen und Sitztypen werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert | Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis ein Anmeldeversuch oder eine manuelle Entfernung erfolgt |
Mit SCIM synchronisieren | Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer Mutterorganisation verbunden sind. | Rollen und Sitztypen werden manuell geändert | Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt |
SCIM + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit der entsprechenden Rolle nur für die Organisationen bereitgestellt, die mit der Mutterorganisation verbunden sind, in der diese Gruppe hinzugefügt wurde. | Rollen- und Sitztyp-Änderungen werden automatisch basierend auf der Gruppenmitgliedschaft verbreitet | Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird |
Sowohl JIT als auch SCIM können mit Gruppenzuordnungen aktivieren kombiniert werden, um die Rollen- oder Sitzebenen-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern. Wenn Sie eine dieser Optionen für Ihren Bereitstellungsmodus auswählen, wird Gruppenzuordnungen aktivieren in diesem Abschnitt angezeigt:
Verfügbare Rollen und Sitzebenen
Produkt | Rollen | Sitztypen |
Team-Plan / Sitzbasierter Enterprise-Plan | Owner, Admin, User | Premium, Standard |
Nutzungsbasierter Enterprise-Plan (mit zwei Sitztypen) | Owner, Admin, User | Chat, Chat + Claude Code |
Nutzungsbasierter Enterprise-Plan (einzelner Sitztyp) | Owner, Admin, User | Enterprise |
Konsole | Admin, Entwickler, Abrechnung, Claude Code-Benutzer, Benutzer | — |
Informationen zum Kauf von Plätzen oder zur Anpassung der Platzverteilung Ihres Plans finden Sie in unseren Leitfäden für Team-Pläne und Enterprise-Pläne.
Schritt 2: SCIM-Verzeichnissynchronisierung einrichten (falls SCIM verwendet wird)
Hinweis: Überspringen Sie diesen Schritt, wenn Sie nur Einladungen oder JIT-Bereitstellung verwenden.
Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identitätsanbieter und Anthropic herstellen, bevor Sie ihn aktivieren.
Navigieren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/identity) oder Konsole (platform.claude.com/settings/identity)
Klicken Sie im Abschnitt Globale Zugriffseinstellungen auf „SCIM einrichten" (oder „SCIM verwalten") neben Verzeichnissynchronisierung (SCIM).
Folgen Sie dem WorkOS-Einrichtungsleitfaden, um SCIM in Ihrem Identitätsanbieter zu konfigurieren. Sie müssen Werte von WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.
‼️ Wenn Sie den IdP-Gruppenschritt erreichen, halten Sie an, um die Schritte 3 und 4 dieses Leitfadens zusammen mit den anderen Leitfäden zu überprüfen.
Für IdP-spezifische JIT-/SCIM-Einrichtungsanweisungen siehe:
Weitere IdPs finden Sie hier
Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.
Schritt 3: Bereitstellungsmodus konfigurieren und Gruppenzuordnungen aktivieren
Suchen Sie im Abschnitt Globale Zugriffseinstellungen Ihrer Identitäts- und Zugriffseinstellungen nach Bereitstellungsmodus.
Wählen Sie Ihre gewählte Option aus dem Dropdown-Menü:
Nur Einladung: Neue Mitglieder können nur beitreten, wenn sie von einem vorhandenen Mitglied manuell eingeladen werden. Nur SSO-Zugriff fügt sie nicht zu Ihrer Organisation hinzu.
Automatisch genehmigen (JIT): Ermöglichen Sie Personen mit SSO-Zugriff, beizutreten, wenn sie sich zum ersten Mal anmelden. Jedes neue Mitglied nutzt einen Ihrer verfügbaren Plätze.
Mit SCIM synchronisieren: Fügen Sie Mitglieder automatisch hinzu oder entfernen Sie sie, wenn sich Ihr Verzeichnis ändert. Ihre Organisation bleibt immer aktuell.
Wenn Sie „Automatisch genehmigen (JIT)" oder „Mit SCIM synchronisieren" ausgewählt haben, klicken Sie NICHT sofort auf „Änderungen speichern
Nachdem Sie bestätigt haben, dass alle Benutzer in Ihrem IdP zugewiesen sind, können Sie entweder:
Klicken Sie auf „Änderungen speichern
Aktivieren Sie Gruppenzuordnungen aktivieren und fahren Sie mit Schritt 4 fort.
Wichtig: Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden.
Schritt 4: Konfigurieren Sie Gruppen in Ihrem Identitätsanbieter und ordnen Sie Gruppen Rollen und Platztypen zu
Erstellen Sie Gruppen in Ihrem IdP für jede Rolle, die Sie zuweisen möchten. Erstellen Sie auch Gruppen für jeden Platztyp, es sei denn, Sie nutzen den Single-Seat-Enterprise-Plan.
Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B.
anthropic-claude-oderanthropic-console-), um sie leichter zu identifizieren.
Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin-Rolle (Konsole) oder Owner-Rolle (Claude) zugeordnet wird.
Kehren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude oder Konsole zurück und suchen Sie nach Bereitstellungsmodus.
Aktivieren Sie Gruppenzuordnungen aktivieren (falls noch nicht geschehen):
Klicken Sie im Abschnitt Gruppenzuordnungen aktivieren neben jeder Rolle auf „Hinzufügen" und wählen Sie die entsprechende Gruppe aus Ihrem IdP im Dropdown-Menü aus."
Hinweis: Bei Verwendung von Gruppenzuordnungen müssen Sie alle Benutzer einer rollenbasierten Gruppe zuweisen, um sicherzustellen, dass sie ein Konto erhalten. Das Zuweisen von Benutzern zu Gruppen basierend auf Platzebenen ist optional.
Für alle Pläne außer Single-Seat Enterprise: Klicken Sie im Abschnitt Platzebenen IdP-Gruppen zuweisen (optional) neben jedem Platztyp auf „Hinzufügen
Für Single-Seat Enterprise: Die Zuordnung von Platztypen gilt nicht. Alle bereitgestellten Benutzer erhalten automatisch einen Enterprise-Platz, sofern einer in Ihrer Organisation verfügbar ist.
Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Platztypen zugeordnet sind.
Klicken Sie auf „Änderungen speichern"."
Hinweis: Microsoft Entra sendet SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden. Sie können überprüfen, welche Benutzer von Ihrem IdP synchronisiert werden, indem Sie auf „SCIM verwalten" klicken und das Verzeichnis anzeigen. Diese Benutzer im Verzeichnis werden in Claude/Konsole bereitgestellt."
Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen werden, bevor Sie Ihre Gruppenzuordnungskonfiguration speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, als Sie SSO aktiviert haben.
Fehlerbehebung
Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?
Überprüfen Sie, ob Sie genug Plätze gekauft und verfügbar haben, um Mitglieder zu Ihrer Organisation hinzuzufügen.
Überprüfen Sie die Anzahl der verfügbaren Plätze, die in Organisation Einstellungen > Abrechnung angezeigt werden, und kaufen Sie bei Bedarf zusätzliche Plätze (siehe unsere Leitfäden für Team-Pläne und Enterprise-Pläne).
Sobald Sie verfügbare Plätze haben, gehen Sie zurück zur Seite „Identität und Zugriff" und klicken Sie neben Verzeichnissynchronisierung (SCIM) auf „Jetzt synchronisieren". Dies löst eine Synchronisierung aus, um Konten für diese Benutzer bereitzustellen, die noch nicht als Mitglieder hinzugefügt wurden.
Benutzer werden nicht mit der richtigen Rolle bereitgestellt
Überprüfen Sie, dass der Benutzer der richtigen Gruppe in Ihrem IdP zugewiesen ist.
Überprüfen Sie, dass die Gruppe der richtigen Rolle in Ihren Identitäts- und Zugriffseinstellungen zugeordnet ist.
Für JIT: Der Benutzer muss sich abmelden und erneut anmelden, damit Rollenänderungen wirksam werden.
Für SCIM: Klicken Sie auf „Jetzt synchronisieren
Ich habe Admin-/Eigentümerzugriff nach Aktivierung von Gruppenzuordnungen verloren
Dies geschieht, wenn die Person, die Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Eigentümerrolle zugeordnet ist, wodurch ihre Berechtigungen auf Benutzer herabgestuft werden.
So beheben Sie das Problem:
Option 1: Lassen Sie einen anderen Admin/Eigentümer Ihre Rolle wiederherstellen
Kontaktieren Sie einen anderen Admin oder Eigentümer Ihrer Organisation.
Bitten Sie ihn, zu Organisationseinstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.
Bitten Sie ihn, Ihre Rolle auf Admin oder Eigentümer zurückzuändern.
Option 2: Behebung über Ihren Identitätsanbieter
Weisen Sie sich in Ihrem IdP einer Gruppe mit dem richtigen Präfix zu, die einer Admin- oder Eigentümerrolle zugeordnet ist.
Für JIT: Melden Sie sich ab und erneut an, um den Zugriff wiederherzustellen.
Für SCIM: Bitten Sie einen anderen Admin oder Eigentümer, in den Identitäts- und Zugriffseinstellungen auf „Jetzt synchronisieren