Zum Hauptinhalt springen

JIT- oder SCIM-Bereitstellung einrichten

Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.

JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.

Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie die Schritte in Einmaliges Anmelden (SSO) einrichten bereits abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identitätsanbieter (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.


Schritt 1: Wählen Sie Ihren Bereitstellungsmodus

Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird über den Abschnitt Benutzerbereitstellung in Organisationseinstellungen > Organisation und Zugriff gesteuert.

Bereitstellungsoptionen

Nur Einladung ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.

Just-in-Time (JIT): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.

SCIM-Verzeichnissynchronisierung: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit eigener übergeordneter Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit einer Team-Plan-Mutterorganisation verbunden sind.

Übersicht des Bereitstellungsverhaltens

Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:

Modus

Bereitstellung

Rollen- und Sitzplatztyp-Änderungen

Entfernung

Nur Einladung

Benutzer werden manuell hinzugefügt

Rollen und Sitzplatztypen werden manuell geändert

Benutzer werden manuell entfernt

Just-in-Time (JIT)

Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt

Rollen und Sitzplatztypen werden manuell geändert

Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden

JIT + Gruppenzuordnungen

Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt

Rollen und Sitzplatztypen werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert

Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis ein Anmeldungsversuch oder eine manuelle Entfernung erfolgt

SCIM-Verzeichnissynchronisierung

Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer Mutterorganisation verbunden sind.

Rollen und Sitzplatztypen werden manuell geändert

Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt

SCIM + Gruppenzuordnungen

Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit der entsprechenden Rolle nur für die Organisation(en) bereitgestellt, die mit der Mutterorganisation verbunden sind, in der diese Gruppe hinzugefügt wurde.

Rollen- und Sitzplatztyp-Änderungen werden automatisch basierend auf der Gruppenmitgliedschaft propagiert

Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird

Sowohl JIT als auch SCIM können mit Gruppenzuordnungen aktivieren kombiniert werden, um die Rollen- oder Sitzplatz-Tier-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern. Wenn Sie eine dieser Optionen für Ihren Bereitstellungsmodus auswählen, wird Gruppenzuordnungen aktivieren im Abschnitt Benutzerbereitstellung angezeigt:

Verfügbare Rollen und Sitzplatz-Tiers

Produkt

Rollen

Sitzplatztypen

Team-Plan

Owner, Admin, User

Premium, Standard

Seat-basierter Enterprise-Plan

Owner, Admin, User, Custom

Premium, Standard

Nutzungsbasierter Enterprise-Plan (mit zwei Sitzplatztypen)

Owner, Admin, User, Custom

Chat, Chat + Claude Code

Nutzungsbasierter Enterprise-Plan (einzelner Sitztyp)

Eigentümer, Admin, Benutzer, Benutzerdefiniert

Enterprise

Konsole

Admin, Entwickler, Eingeschränkter Entwickler, Abrechnung, Claude Code-Benutzer, Benutzer

Informationen zum Kauf von Sitzplätzen oder zur Anpassung der Sitzplatzzuteilung Ihres Plans finden Sie in unseren Leitfäden für Team-Pläne und Enterprise-Pläne.


Schritt 2: SCIM-Verzeichnissynchronisierung einrichten (falls SCIM verwendet wird)

Hinweis: Überspringen Sie diesen Schritt, wenn Sie nur Einladungen oder JIT-Bereitstellung verwenden.

Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identitätsanbieter und Anthropic herstellen, bevor Sie ihn aktivieren.

  1. Navigieren Sie zu Ihren Organisations- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/organization) oder zu Ihren Identitäts- und Zugriffseinstellungen in der Konsole (platform.claude.com/settings/identity)

  2. Klicken Sie im Bereich Benutzerbereitstellung auf „SCIM einrichten" (oder „SCIM verwalten") neben SCIM-Verzeichnissynchronisierung.

  3. Folgen Sie dem WorkOS-Einrichtungsleitfaden, um SCIM in Ihrem Identitätsanbieter zu konfigurieren. Sie müssen Werte von WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.

‼️ Wenn Sie den IdP-Gruppenschritt erreichen, machen Sie eine Pause, um die Schritte 3 und 4 dieses Leitfadens zusammen mit den anderen Leitfäden zu überprüfen.

Anweisungen zur IdP-spezifischen JIT-/SCIM-Einrichtung finden Sie unter:

Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.


Schritt 3: Bereitstellungsmodus konfigurieren und Gruppenzuordnungen aktivieren

  1. Suchen Sie den Bereich Benutzerbereitstellung in Ihren Einstellungen.

  2. Wählen Sie Ihre gewählte Option:

    1. Nur Einladungen: Neue Mitglieder können nur beitreten, wenn sie von einem vorhandenen Mitglied manuell eingeladen werden. Nur SSO-Zugriff fügt sie nicht zu Ihrer Organisation hinzu.

    2. Just-in-Time (JIT): Ermöglichen Sie Personen mit SSO-Zugriff, beizutreten, wenn sie sich zum ersten Mal anmelden. Jedes neue Mitglied nutzt einen Ihrer verfügbaren Sitzplätze.

    3. SCIM-Verzeichnissynchronisierung: Fügen Sie Mitglieder automatisch hinzu oder entfernen Sie sie, wenn sich Ihr Verzeichnis ändert. Ihre Organisation bleibt immer aktuell.

  3. Wenn Sie „Just-in-Time (JIT)" oder „SCIM-Verzeichnissynchronisierung" ausgewählt haben, klicken Sie NICHT sofort auf „Änderungen speichern

  4. Sobald Sie bestätigt haben, dass alle Benutzer in Ihrem IdP zugewiesen sind, können Sie entweder:

    1. Klicken Sie auf „Änderungen speichern

    2. Aktivieren Sie Gruppenzuordnungen aktivieren und fahren Sie mit Schritt 4 fort.

Wichtig: Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden. Wenn verfügbar, zeigt die Admin-Konsole eine Vorschau der Änderungen der Synchronisierung an, einschließlich der Anzahl der Mitglieder, die entfernt werden, bevor sie angewendet werden. Überprüfen Sie dies vor der Bestätigung und brechen Sie ab, wenn die Anzahl der Entfernungen höher ist als erwartet. Erfahren Sie mehr über wie SCIM-Synchronisierung funktioniert.


Schritt 4: Konfigurieren Sie Gruppen in Ihrem Identitätsanbieter und ordnen Sie Gruppen Rollen und Sitztypen zu

  1. Erstellen Sie Gruppen in Ihrem IdP für jede Rolle, die Sie zuweisen möchten. Erstellen Sie, sofern Sie nicht den Single-Seat-Enterprise-Plan nutzen, auch Gruppen für jeden Sitztyp.

    1. Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B. anthropic-claude- oder anthropic-console-), um sie leichter zu identifizieren.

  2. Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin-Rolle (Konsole) oder Eigentümer-Rolle (Claude) zugeordnet wird.

  3. Kehren Sie zu Ihren Organisations- und Zugriffseinstellungen oder Identitäts- und Zugriffseinstellungen in Claude oder Konsole zurück und suchen Sie Benutzerbereitstellung.

  4. Aktivieren Sie Gruppenzuordnungen aktivieren (falls noch nicht geschehen):

  5. Klicken Sie im Bereich Gruppenzuordnungen aktivieren neben jeder Rolle auf „Hinzufügen" und wählen Sie die entsprechende Gruppe aus Ihrem IdP in der Dropdown-Liste aus."

    1. Bei Verwendung von Gruppenzuordnungen müssen Sie alle Benutzer einer rollenbasierten Gruppe zuweisen, um sicherzustellen, dass sie ein Konto erhalten. Die Zuweisung von Benutzern zu Sitzebenen-basierten Gruppen ist optional.

    2. Sie können eine IdP-Gruppe der Rolle „Benutzerdefiniert

  6. Für alle Pläne außer Single-Seat Enterprise: Klicken Sie im Bereich Sitzebenen IdP-Gruppen zuweisen (optional) neben jedem Sitztyp auf „Hinzufügen

    1. Für Single-Seat Enterprise: Die Sitztyp-Zuordnung gilt nicht. Alle bereitgestellten Benutzer erhalten automatisch einen Enterprise-Sitzplatz, sofern einer in Ihrer Organisation verfügbar ist.

  7. Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Sitztypen zugeordnet sind.

  8. Klicken Sie auf „Änderungen speichern"."

    1. Hinweis: Microsoft Entra sendet SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden. Sie können überprüfen, welche Benutzer von Ihrem IdP synchronisiert werden, indem Sie auf „SCIM verwalten" klicken und das Verzeichnis anzeigen. Diese Benutzer im Verzeichnis werden in Claude/Konsole bereitgestellt."

Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen werden, bevor Sie Ihre Gruppenzuordnungskonfiguration speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, von als Sie SSO aktiviert haben.

Wie die Rolle des primären Eigentümers mit SCIM funktioniert

  • Der primäre Eigentümer Ihrer Organisation ist von der SCIM-Abstimmung ausgenommen. Wenn das Konto des primären Eigentümers nicht im IdP-Verzeichnis vorhanden ist oder nicht Mitglied einer Gruppe ist, die einer Rolle zugeordnet ist, wird es bei der SCIM-Synchronisierung übersprungen. Die Mitgliedschaft und Rolle des primären Eigentümers bleiben erhalten.

  • Diese Ausnahme gilt nur für die einzelne Rolle des primären Eigentümers. Owner- und Admin-Rollen sind nicht ausgenommen und müssen sich in einer Gruppe befinden, die einer Rolle zugeordnet ist, sonst werden sie entfernt, wenn SCIM-Gruppenzuordnungen aktiviert werden.

  • Die Rolle des primären Eigentümers kann nicht über SCIM-Gruppenzuordnungen zugewiesen werden. Sie kann nur manuell von Organisationseinstellungen > Mitglieder übertragen werden. Legen Sie Ihren beabsichtigten primären Eigentümer fest, bevor Sie SCIM aktivieren.

  • Der primäre Eigentümer ist nicht von der SSO-Anmeldungserzwingung ausgenommen. Die SSO-Erzwingung wird nach E-Mail-Domäne angewendet; wenn die E-Mail des primären Eigentümers in einer erzwungenen Domäne liegt, muss er sich über SSO authentifizieren.


Fehlerbehebung

Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?

Überprüfen Sie, ob Sie genügend Plätze erworben und verfügbar haben, um Mitglieder zu Ihrer Organisation hinzuzufügen.

  1. Überprüfen Sie die Anzahl der verfügbaren Plätze in Organisationseinstellungen > Organisation und Zugriff und erwerben Sie bei Bedarf zusätzliche Plätze (siehe unsere Leitfäden für Team-Pläne und Enterprise-Pläne).

  2. Sobald Sie verfügbare Plätze haben, gehen Sie zurück zur Seite "Organisation und Zugriff" und klicken Sie auf "Jetzt synchronisieren" neben Verzeichnissynchronisierung (SCIM). Dies löst eine Synchronisierung aus, um Konten für diese Benutzer bereitzustellen, die noch nicht als Mitglieder hinzugefügt wurden.

Benutzer werden nicht mit der korrekten Rolle bereitgestellt

  1. Überprüfen Sie, ob der Benutzer der korrekten Gruppe in Ihrem IdP zugewiesen ist.

  2. Überprüfen Sie, ob die Gruppe der korrekten Rolle in Ihren Organisations- und Zugriffseinstellungen zugeordnet ist.

  3. Für JIT: Der Benutzer muss sich abmelden und erneut anmelden, damit Rollenänderungen wirksam werden.

  4. Für SCIM: Klicken Sie auf "Synchronisieren", um eine sofortige Synchronisierung auszulösen, oder warten Sie auf den automatischen Synchronisierungszyklus:

Ich habe Admin-/Owner-Zugriff nach Aktivierung von Gruppenzuordnungen verloren

Dies geschieht, wenn die Person, die Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Owner-Rolle zugeordnet ist, was dazu führt, dass ihre Berechtigungen auf Benutzer herabgestuft werden.

So beheben Sie das Problem:

Option 1: Lassen Sie einen anderen Admin/Owner Ihre Rolle wiederherstellen

  1. Kontaktieren Sie einen anderen Admin oder Owner Ihrer Organisation.

  2. Bitten Sie ihn, zu Organisationseinstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.

  3. Bitten Sie ihn, Ihre Rolle zurück zu Admin oder Owner zu ändern.

Option 2: Beheben Sie das Problem über Ihren Identitätsanbieter

  1. Weisen Sie sich in Ihrem IdP selbst einer Gruppe mit dem korrekten Präfix zu, die einer Admin- oder Owner-Rolle zugeordnet ist.

  2. Für JIT: Melden Sie sich ab und melden Sie sich erneut an, um den Zugriff wiederherzustellen.

  3. Für SCIM: Bitten Sie einen anderen Admin oder Owner, in den Organisations- und Zugriffseinstellungen auf "Synchronisieren" zu klicken, oder warten Sie auf den automatischen Synchronisierungszyklus.

Hat dies deine Frage beantwortet?