Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.
JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.
Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie die Schritte in Einmaliges Anmelden (SSO) einrichten bereits abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identitätsanbieter (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.
Schritt 1: Wählen Sie Ihren Bereitstellungsmodus
Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird über den Abschnitt Benutzerbereitstellung in Organisationseinstellungen > Organisation und Zugriff gesteuert.
Bereitstellungsoptionen
Nur Einladung ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.
Just-in-Time (JIT): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.
SCIM-Verzeichnissynchronisierung: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit eigener übergeordneter Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit einer Team-Plan-Mutterorganisation verbunden sind.
Übersicht des Bereitstellungsverhaltens
Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:
Modus | Bereitstellung | Rollen- und Sitzplatztyp-Änderungen | Entfernung |
Nur Einladung | Benutzer werden manuell hinzugefügt | Rollen und Sitzplatztypen werden manuell geändert | Benutzer werden manuell entfernt |
Just-in-Time (JIT) | Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt | Rollen und Sitzplatztypen werden manuell geändert | Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden |
JIT + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt | Rollen und Sitzplatztypen werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert | Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis ein Anmeldungsversuch oder eine manuelle Entfernung erfolgt |
SCIM-Verzeichnissynchronisierung | Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer Mutterorganisation verbunden sind. | Rollen und Sitzplatztypen werden manuell geändert | Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt |
SCIM + Gruppenzuordnungen | Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit der entsprechenden Rolle nur für die Organisation(en) bereitgestellt, die mit der Mutterorganisation verbunden sind, in der diese Gruppe hinzugefügt wurde. | Rollen- und Sitzplatztyp-Änderungen werden automatisch basierend auf der Gruppenmitgliedschaft propagiert | Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird |
Sowohl JIT als auch SCIM können mit Gruppenzuordnungen aktivieren kombiniert werden, um die Rollen- oder Sitzplatz-Tier-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern. Wenn Sie eine dieser Optionen für Ihren Bereitstellungsmodus auswählen, wird Gruppenzuordnungen aktivieren im Abschnitt Benutzerbereitstellung angezeigt:
Verfügbare Rollen und Sitzplatz-Tiers
Produkt | Rollen | Sitzplatztypen |
Team-Plan | Owner, Admin, User | Premium, Standard |
Seat-basierter Enterprise-Plan | Owner, Admin, User, Custom | Premium, Standard |
Nutzungsbasierter Enterprise-Plan (mit zwei Sitzplatztypen) | Owner, Admin, User, Custom | Chat, Chat + Claude Code |
Nutzungsbasierter Enterprise-Plan (einzelner Sitztyp) | Eigentümer, Admin, Benutzer, Benutzerdefiniert | Enterprise |
Konsole | Admin, Entwickler, Eingeschränkter Entwickler, Abrechnung, Claude Code-Benutzer, Benutzer | — |
Informationen zum Kauf von Sitzplätzen oder zur Anpassung der Sitzplatzzuteilung Ihres Plans finden Sie in unseren Leitfäden für Team-Pläne und Enterprise-Pläne.
Schritt 2: SCIM-Verzeichnissynchronisierung einrichten (falls SCIM verwendet wird)
Hinweis: Überspringen Sie diesen Schritt, wenn Sie nur Einladungen oder JIT-Bereitstellung verwenden.
Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identitätsanbieter und Anthropic herstellen, bevor Sie ihn aktivieren.
Navigieren Sie zu Ihren Organisations- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/organization) oder zu Ihren Identitäts- und Zugriffseinstellungen in der Konsole (platform.claude.com/settings/identity)
Klicken Sie im Bereich Benutzerbereitstellung auf „SCIM einrichten" (oder „SCIM verwalten") neben SCIM-Verzeichnissynchronisierung.
Folgen Sie dem WorkOS-Einrichtungsleitfaden, um SCIM in Ihrem Identitätsanbieter zu konfigurieren. Sie müssen Werte von WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.
‼️ Wenn Sie den IdP-Gruppenschritt erreichen, machen Sie eine Pause, um die Schritte 3 und 4 dieses Leitfadens zusammen mit den anderen Leitfäden zu überprüfen.
Anweisungen zur IdP-spezifischen JIT-/SCIM-Einrichtung finden Sie unter:
Weitere IdPs finden Sie hier
Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.
Schritt 3: Bereitstellungsmodus konfigurieren und Gruppenzuordnungen aktivieren
Suchen Sie den Bereich Benutzerbereitstellung in Ihren Einstellungen.
Wählen Sie Ihre gewählte Option:
Nur Einladungen: Neue Mitglieder können nur beitreten, wenn sie von einem vorhandenen Mitglied manuell eingeladen werden. Nur SSO-Zugriff fügt sie nicht zu Ihrer Organisation hinzu.
Just-in-Time (JIT): Ermöglichen Sie Personen mit SSO-Zugriff, beizutreten, wenn sie sich zum ersten Mal anmelden. Jedes neue Mitglied nutzt einen Ihrer verfügbaren Sitzplätze.
SCIM-Verzeichnissynchronisierung: Fügen Sie Mitglieder automatisch hinzu oder entfernen Sie sie, wenn sich Ihr Verzeichnis ändert. Ihre Organisation bleibt immer aktuell.
Wenn Sie „Just-in-Time (JIT)" oder „SCIM-Verzeichnissynchronisierung" ausgewählt haben, klicken Sie NICHT sofort auf „Änderungen speichern
Sobald Sie bestätigt haben, dass alle Benutzer in Ihrem IdP zugewiesen sind, können Sie entweder:
Klicken Sie auf „Änderungen speichern
Aktivieren Sie Gruppenzuordnungen aktivieren und fahren Sie mit Schritt 4 fort.
Wichtig: Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden. Wenn verfügbar, zeigt die Admin-Konsole eine Vorschau der Änderungen der Synchronisierung an, einschließlich der Anzahl der Mitglieder, die entfernt werden, bevor sie angewendet werden. Überprüfen Sie dies vor der Bestätigung und brechen Sie ab, wenn die Anzahl der Entfernungen höher ist als erwartet. Erfahren Sie mehr über wie SCIM-Synchronisierung funktioniert.
Schritt 4: Konfigurieren Sie Gruppen in Ihrem Identitätsanbieter und ordnen Sie Gruppen Rollen und Sitztypen zu
Erstellen Sie Gruppen in Ihrem IdP für jede Rolle, die Sie zuweisen möchten. Erstellen Sie, sofern Sie nicht den Single-Seat-Enterprise-Plan nutzen, auch Gruppen für jeden Sitztyp.
Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B.
anthropic-claude-oderanthropic-console-), um sie leichter zu identifizieren.
Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin-Rolle (Konsole) oder Eigentümer-Rolle (Claude) zugeordnet wird.
Kehren Sie zu Ihren Organisations- und Zugriffseinstellungen oder Identitäts- und Zugriffseinstellungen in Claude oder Konsole zurück und suchen Sie Benutzerbereitstellung.
Aktivieren Sie Gruppenzuordnungen aktivieren (falls noch nicht geschehen):
Klicken Sie im Bereich Gruppenzuordnungen aktivieren neben jeder Rolle auf „Hinzufügen" und wählen Sie die entsprechende Gruppe aus Ihrem IdP in der Dropdown-Liste aus."
Bei Verwendung von Gruppenzuordnungen müssen Sie alle Benutzer einer rollenbasierten Gruppe zuweisen, um sicherzustellen, dass sie ein Konto erhalten. Die Zuweisung von Benutzern zu Sitzebenen-basierten Gruppen ist optional.
Sie können eine IdP-Gruppe der Rolle „Benutzerdefiniert
Für alle Pläne außer Single-Seat Enterprise: Klicken Sie im Bereich Sitzebenen IdP-Gruppen zuweisen (optional) neben jedem Sitztyp auf „Hinzufügen
Für Single-Seat Enterprise: Die Sitztyp-Zuordnung gilt nicht. Alle bereitgestellten Benutzer erhalten automatisch einen Enterprise-Sitzplatz, sofern einer in Ihrer Organisation verfügbar ist.
Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Sitztypen zugeordnet sind.
Klicken Sie auf „Änderungen speichern"."
Hinweis: Microsoft Entra sendet SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden. Sie können überprüfen, welche Benutzer von Ihrem IdP synchronisiert werden, indem Sie auf „SCIM verwalten" klicken und das Verzeichnis anzeigen. Diese Benutzer im Verzeichnis werden in Claude/Konsole bereitgestellt."
Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen werden, bevor Sie Ihre Gruppenzuordnungskonfiguration speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, von als Sie SSO aktiviert haben.
Wie die Rolle des primären Eigentümers mit SCIM funktioniert
Der primäre Eigentümer Ihrer Organisation ist von der SCIM-Abstimmung ausgenommen. Wenn das Konto des primären Eigentümers nicht im IdP-Verzeichnis vorhanden ist oder nicht Mitglied einer Gruppe ist, die einer Rolle zugeordnet ist, wird es bei der SCIM-Synchronisierung übersprungen. Die Mitgliedschaft und Rolle des primären Eigentümers bleiben erhalten.
Diese Ausnahme gilt nur für die einzelne Rolle des primären Eigentümers. Owner- und Admin-Rollen sind nicht ausgenommen und müssen sich in einer Gruppe befinden, die einer Rolle zugeordnet ist, sonst werden sie entfernt, wenn SCIM-Gruppenzuordnungen aktiviert werden.
Die Rolle des primären Eigentümers kann nicht über SCIM-Gruppenzuordnungen zugewiesen werden. Sie kann nur manuell von Organisationseinstellungen > Mitglieder übertragen werden. Legen Sie Ihren beabsichtigten primären Eigentümer fest, bevor Sie SCIM aktivieren.
Der primäre Eigentümer ist nicht von der SSO-Anmeldungserzwingung ausgenommen. Die SSO-Erzwingung wird nach E-Mail-Domäne angewendet; wenn die E-Mail des primären Eigentümers in einer erzwungenen Domäne liegt, muss er sich über SSO authentifizieren.
Fehlerbehebung
Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?
Überprüfen Sie, ob Sie genügend Plätze erworben und verfügbar haben, um Mitglieder zu Ihrer Organisation hinzuzufügen.
Überprüfen Sie die Anzahl der verfügbaren Plätze in Organisationseinstellungen > Organisation und Zugriff und erwerben Sie bei Bedarf zusätzliche Plätze (siehe unsere Leitfäden für Team-Pläne und Enterprise-Pläne).
Sobald Sie verfügbare Plätze haben, gehen Sie zurück zur Seite "Organisation und Zugriff" und klicken Sie auf "Jetzt synchronisieren" neben Verzeichnissynchronisierung (SCIM). Dies löst eine Synchronisierung aus, um Konten für diese Benutzer bereitzustellen, die noch nicht als Mitglieder hinzugefügt wurden.
Benutzer werden nicht mit der korrekten Rolle bereitgestellt
Überprüfen Sie, ob der Benutzer der korrekten Gruppe in Ihrem IdP zugewiesen ist.
Überprüfen Sie, ob die Gruppe der korrekten Rolle in Ihren Organisations- und Zugriffseinstellungen zugeordnet ist.
Für JIT: Der Benutzer muss sich abmelden und erneut anmelden, damit Rollenänderungen wirksam werden.
Für SCIM: Klicken Sie auf "Synchronisieren", um eine sofortige Synchronisierung auszulösen, oder warten Sie auf den automatischen Synchronisierungszyklus:
Ich habe Admin-/Owner-Zugriff nach Aktivierung von Gruppenzuordnungen verloren
Dies geschieht, wenn die Person, die Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Owner-Rolle zugeordnet ist, was dazu führt, dass ihre Berechtigungen auf Benutzer herabgestuft werden.
So beheben Sie das Problem:
Option 1: Lassen Sie einen anderen Admin/Owner Ihre Rolle wiederherstellen
Kontaktieren Sie einen anderen Admin oder Owner Ihrer Organisation.
Bitten Sie ihn, zu Organisationseinstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.
Bitten Sie ihn, Ihre Rolle zurück zu Admin oder Owner zu ändern.
Option 2: Beheben Sie das Problem über Ihren Identitätsanbieter
Weisen Sie sich in Ihrem IdP selbst einer Gruppe mit dem korrekten Präfix zu, die einer Admin- oder Owner-Rolle zugeordnet ist.
Für JIT: Melden Sie sich ab und melden Sie sich erneut an, um den Zugriff wiederherzustellen.
Für SCIM: Bitten Sie einen anderen Admin oder Owner, in den Organisations- und Zugriffseinstellungen auf "Synchronisieren" zu klicken, oder warten Sie auf den automatischen Synchronisierungszyklus.
