Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.
JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.
Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie die Schritte in Einmaliges Anmelden (SSO) einrichten bereits abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identitätsanbieter (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.
Schritt 1: Wählen Sie Ihren Bereitstellungsmodus
Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird über den Abschnitt Benutzerbereitstellung in Organisationseinstellungen > Organisation und Zugriff gesteuert.
Bereitstellungsoptionen
Nur Einladung ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.
Just-in-Time (JIT): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.
SCIM-Verzeichnissynchronisierung: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit ihrer eigenen übergeordneten Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit einer Team-Plan-Mutterorganisation verbunden sind.
Übersicht des Bereitstellungsverhaltens
Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:
Modus | Bereitstellung | Rollen- und Sitztyp-Änderungen | Entfernung |
Nur Einladung | Benutzer werden manuell hinzugefügt | Rollen und Sitztypen werden manuell geändert | Benutzer werden manuell entfernt |
Just-in-Time (JIT) | Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt | Rollen und Sitztypen werden manuell geändert | Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden |
JIT + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt | Rollen und Sitztypen werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert | Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis ein Anmeldungsversuch oder eine manuelle Entfernung erfolgt |
SCIM-Verzeichnissynchronisierung | Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer Mutterorganisation verbunden sind. | Rollen und Sitztypen werden manuell geändert | Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt |
SCIM + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit der entsprechenden Rolle nur für die Organisation(en) bereitgestellt, die mit der Mutterorganisation verbunden sind, in der diese Gruppe hinzugefügt wurde. | Rollen- und Sitztyp-Änderungen werden automatisch basierend auf der Gruppenmitgliedschaft propagiert | Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird |
Sowohl JIT als auch SCIM können mit Gruppenzuordnungen aktivieren kombiniert werden, um die Rollen- oder Sitzebenen-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern. Wenn Sie eine dieser Optionen für Ihren Bereitstellungsmodus auswählen, wird Gruppenzuordnungen aktivieren im Abschnitt Benutzerbereitstellung angezeigt:
Verfügbare Rollen und Sitzebenen
Produkt | Rollen | Sitztypen |
Team-Plan | Owner, Admin, User | Premium, Standard |
Seat-basierter Enterprise-Plan | Owner, Admin, User, Benutzerdefinierte Rollen | Premium, Standard |
Nutzungsbasierter Enterprise-Plan (mit zwei Sitztypen) | Owner, Admin, User, Benutzerdefinierte Rollen | Chat, Chat + Claude Code |
Nutzungsbasierter Enterprise-Plan (einzelner Sitztyp) | Inhaber, Admin, Benutzer, benutzerdefinierte Rollen | Enterprise |
Konsole | Admin, Entwickler, eingeschränkter Entwickler, Abrechnung, Claude Code-Benutzer, Benutzer | — |
Informationen zum Kauf von Sitzplätzen oder zur Anpassung der Sitzplatzzuteilung Ihres Plans finden Sie in unseren Leitfäden für Team-Pläne und Enterprise-Pläne.
Schritt 2: SCIM-Verzeichnissynchronisierung einrichten (falls SCIM verwendet wird)
Hinweis: Überspringen Sie diesen Schritt, wenn Sie nur Einladungen oder JIT-Bereitstellung verwenden.
Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identitätsanbieter und Anthropic herstellen, bevor Sie ihn aktivieren.
Navigieren Sie zu Ihren Organisations- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/organization) oder zu Ihren Identitäts- und Zugriffseinstellungen in der Konsole (platform.claude.com/settings/identity)
Klicken Sie im Abschnitt Benutzerbereitstellung auf „SCIM einrichten" (oder „SCIM verwalten") neben SCIM-Verzeichnissynchronisierung.
Folgen Sie dem WorkOS-Einrichtungsleitfaden, um SCIM in Ihrem Identitätsanbieter zu konfigurieren. Sie müssen Werte von WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.
‼️ Wenn Sie den IdP-Gruppenschritt erreichen, halten Sie an, um die Schritte 3 und 4 dieses Leitfadens zusammen mit den anderen Leitfäden zu überprüfen.
Für IdP-spezifische JIT-/SCIM-Einrichtungsanweisungen siehe:
Weitere IdPs finden Sie hier
Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.
Schritt 3: Bereitstellungsmodus konfigurieren und Gruppenzuordnungen aktivieren
Suchen Sie den Abschnitt Benutzerbereitstellung Ihrer Einstellungen.
Wählen Sie Ihre gewählte Option:
Nur Einladung: Neue Mitglieder können nur beitreten, wenn sie von einem vorhandenen Mitglied manuell eingeladen werden. Nur SSO-Zugriff fügt sie nicht zu Ihrer Organisation hinzu.
Just-in-Time (JIT): Ermöglichen Sie Personen mit SSO-Zugriff, beizutreten, wenn sie sich zum ersten Mal anmelden. Jedes neue Mitglied nutzt einen Ihrer verfügbaren Sitzplätze.
SCIM-Verzeichnissynchronisierung: Fügen Sie Mitglieder automatisch hinzu oder entfernen Sie sie, wenn sich Ihr Verzeichnis ändert. Ihre Organisation bleibt immer aktuell.
Wenn Sie „Just-in-Time (JIT)" oder „SCIM-Verzeichnissynchronisierung" ausgewählt haben, klicken Sie NICHT sofort auf „Änderungen speichern
Sobald Sie bestätigt haben, dass alle Benutzer in Ihrem IdP zugewiesen sind, können Sie entweder:
Klicken Sie auf „Änderungen speichern
Aktivieren Sie Gruppenzuordnungen aktivieren und fahren Sie mit Schritt 4 fort.
Wichtig: Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden.
Schritt 4: Konfigurieren Sie Gruppen in Ihrem Identitätsanbieter und ordnen Sie Gruppen Rollen und Sitztypen zu
Erstellen Sie Gruppen in Ihrem IdP für jede Rolle, die Sie zuweisen möchten. Sofern Sie nicht den Single-Seat-Enterprise-Plan nutzen, erstellen Sie auch Gruppen für jeden Sitztyp.
Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B.
anthropic-claude-oderanthropic-console-), um sie leichter zu identifizieren.
Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin-Rolle (Konsole) oder Inhaber-Rolle (Claude) zugeordnet wird.
Kehren Sie zu Ihren Organisations- und Zugriffs- oder Identitäts- und Zugriffseinstellungen in Claude oder Konsole zurück und suchen Sie Benutzerbereitstellung.
Aktivieren Sie Gruppenzuordnungen aktivieren (falls noch nicht geschehen):
Klicken Sie im Abschnitt Gruppenzuordnungen aktivieren neben jeder Rolle auf „Hinzufügen" und wählen Sie die entsprechende Gruppe aus Ihrem IdP in der Dropdown-Liste aus."
Bei Verwendung von Gruppenzuordnungen müssen Sie alle Benutzer einer rollenbasierten Gruppe zuweisen, um sicherzustellen, dass sie ein Konto erhalten. Die Zuweisung von Benutzern zu Sitzebenen-basierten Gruppen ist optional.
Sie können eine IdP-Gruppe der Rolle „Benutzerdefinierte Rollen
Für alle Pläne außer Single-Seat Enterprise: Klicken Sie im Abschnitt Sitzebenen IdP-Gruppen zuweisen (optional) neben jedem Sitztyp auf „Hinzufügen
Für Single-Seat Enterprise: Die Sitztyp-Zuordnung gilt nicht. Alle bereitgestellten Benutzer erhalten automatisch einen Enterprise-Sitzplatz, sofern einer in Ihrer Organisation verfügbar ist.
Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Sitztypen zugeordnet sind.
Klicken Sie auf „Änderungen speichern"."
Hinweis: Microsoft Entra sendet SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden. Sie können überprüfen, welche Benutzer von Ihrem IdP synchronisiert werden, indem Sie auf „SCIM verwalten" klicken und das Verzeichnis anzeigen. Diese Benutzer im Verzeichnis werden in Claude/Konsole bereitgestellt."
Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen werden, bevor Sie Ihre Gruppenzuordnungskonfiguration speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, als Sie SSO aktiviert haben.
Fehlerbehebung
Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?
Stellen Sie sicher, dass Sie genügend Plätze erworben haben und verfügbar sind, um Mitglieder zu Ihrer Organisation hinzuzufügen.
Überprüfen Sie die Anzahl der verfügbaren Plätze in Organisationseinstellungen > Organisation und Zugriff und erwerben Sie bei Bedarf zusätzliche Plätze (siehe unsere Leitfäden für Team-Pläne und Enterprise-Pläne).
Sobald Sie verfügbare Plätze haben, gehen Sie zurück zur Seite „Organisation und Zugriff" und klicken Sie auf „Jetzt synchronisieren" neben Verzeichnissynchronisierung (SCIM). Dies löst eine Synchronisierung aus, um Konten für noch nicht als Mitglieder hinzugefügte Benutzer bereitzustellen.
Benutzer werden nicht mit der korrekten Rolle bereitgestellt
Stellen Sie sicher, dass der Benutzer der korrekten Gruppe in Ihrem IdP zugewiesen ist.
Stellen Sie sicher, dass die Gruppe in Ihren Organisations- und Zugriffseinstellungen der korrekten Rolle zugeordnet ist.
Für JIT: Der Benutzer muss sich abmelden und erneut anmelden, damit Rollenänderungen wirksam werden.
Für SCIM: Klicken Sie auf „Synchronisieren
Ich habe Admin-/Eigentümerzugriff verloren, nachdem ich Gruppenzuordnungen aktiviert habe
Dies geschieht, wenn die Person, die Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Eigentümerrolle zugeordnet ist, wodurch ihre Berechtigungen auf Benutzer herabgestuft werden.
So beheben Sie das Problem:
Option 1: Lassen Sie einen anderen Admin/Eigentümer Ihre Rolle wiederherstellen
Kontaktieren Sie einen anderen Admin oder Eigentümer Ihrer Organisation.
Bitten Sie ihn, zu Organisationseinstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.
Bitten Sie ihn, Ihre Rolle zurück auf Admin oder Eigentümer zu ändern.
Option 2: Beheben Sie das Problem über Ihren Identitätsanbieter
Weisen Sie sich in Ihrem IdP einer Gruppe mit dem korrekten Präfix zu, die einer Admin- oder Eigentümerrolle zugeordnet ist.
Für JIT: Melden Sie sich ab und melden Sie sich erneut an, um den Zugriff wiederzuerlangen.
Für SCIM: Bitten Sie einen anderen Admin oder Eigentümer, in den Organisations- und Zugriffseinstellungen auf „Synchronisieren