Zum Hauptinhalt springen

JIT- oder SCIM-Bereitstellung einrichten

Heute aktualisiert

JIT-Bereitstellung ist für Team-Pläne, Enterprise-Pläne und Console-Organisationen verfügbar. SCIM-Bereitstellung ist nur für Enterprise- und Console-Organisationen verfügbar.

Diese Anleitung behandelt die Konfiguration der Benutzerbereitstellung und Rollenzuweisung für Ihre Claude- oder Claude Console-Organisation.

Bevor Sie beginnen: Diese Anleitung setzt voraus, dass Sie bereits die Schritte in Einrichten von Single Sign-On (SSO) abgeschlossen haben, einschließlich Domänenverifizierung und SSO-Konfiguration mit Ihrem Identity Provider (IdP), und dass Sie eine Admin- (Console) oder Owner- (Claude) Rolle haben.

Schritt 1: Wählen Sie Ihren Bereitstellungsmodus

Nachdem SSO konfiguriert ist, müssen Sie entscheiden, wie Benutzer in Ihrer Organisation bereitgestellt werden. Dies wird durch die Einstellung Bereitstellungsmodus in Organisation Einstellungen > Identität und Zugriff gesteuert.

Bereitstellungsoptionen

Manuell ist die Standardeinstellung. Benutzer werden direkt in Claude- oder Console-Einstellungen hinzugefügt und entfernt.

JIT (Just-in-Time): Benutzer, die Ihrer Anthropic IdP-App zugewiesen sind, werden automatisch bereitgestellt, wenn sie sich zum ersten Mal anmelden. Diese Option ist für alle Pläne verfügbar.

SCIM: Benutzer werden automatisch bereitgestellt und entfernt, basierend auf Zuweisungen in Ihrem IdP, ohne dass sie sich zuerst anmelden müssen. SCIM ist für Enterprise-Pläne und Console-Organisationen mit ihrer eigenen übergeordneten Organisation oder angeschlossen an eine Enterprise-Mutterorganisation verfügbar. SCIM ist nicht für Team-Pläne oder Console-Organisationen verfügbar, die mit der übergeordneten Organisation eines Team-Plans verbunden sind.

Übersicht des Bereitstellungsverhaltens

Verwenden Sie diese Tabelle, um zu entscheiden, welcher Bereitstellungsmodus für Ihre Organisation geeignet ist:

Modus

Bereitstellung

Änderungen von Rolle und Sitztyp

Entfernung

Manuell

Benutzer werden manuell hinzugefügt

Rollen und Sitztypen werden manuell geändert

Benutzer werden manuell entfernt

JIT

Benutzer, die Ihrer IdP-App zugewiesen sind, werden bei der Anmeldung mit der Benutzerrolle bereitgestellt

Rollen und Sitztypen werden manuell geändert

Manuelle Entfernung erforderlich: Benutzer, die aus Ihrer IdP-App entfernt wurden, können sich nicht mehr anmelden, bleiben aber in der Benutzerliste, bis sie sich anmelden oder entfernt werden

JIT + Gruppenzuordnungen

Benutzer in mindestens einer zugeordneten Gruppe werden bei der Anmeldung mit der höchsten Berechtigung aus ihren Gruppenmitgliedschaften bereitgestellt

Rollen und Sitztypen werden bei der nächsten Anmeldung basierend auf der Gruppenmitgliedschaft aktualisiert

Benutzer ohne Gruppenzugriff können sich nicht anmelden, bleiben aber in der Liste, bis zur Anmeldung oder manuellen Entfernung

SCIM

Benutzer, die Ihrer IdP-App zugewiesen sind, werden automatisch für alle Organisationen bereitgestellt, die mit Ihrer übergeordneten Organisation verbunden sind.

Rollen und Sitztypen werden manuell geändert

Benutzer, die aus Ihrer IdP-App entfernt wurden, werden automatisch entfernt

SCIM + Gruppenzuordnungen

Benutzer in mindestens einer zugeordneten Gruppe werden automatisch mit entsprechenden Rollen bereitgestellt

Änderungen von Rolle und Sitztypen werden automatisch basierend auf der Gruppenmitgliedschaft propagiert

Automatische Entfernung, wenn der Gruppenzugriff widerrufen wird

Sowohl JIT als auch SCIM können mit Gruppenzuordnungen aktivieren kombiniert werden, um die Rollen- oder Sitzebenen-Zuweisung basierend auf der IdP-Gruppenmitgliedschaft zu steuern.

Verfügbare Rollen und Sitzebenen

Produkt

Rollen

Sitztypen

Team-Plan / Sitzbasierter Enterprise-Plan

Owner, Admin, User

Premium, Standard

Nutzungsbasierter Enterprise-Plan (mit zwei Sitztypen)

Owner, Admin, User

Chat, Chat + Claude Code

Nutzungsbasierter Enterprise-Plan (einzelner Sitztyp)

Owner, Admin, User

Enterprise

Console

Admin, Developer, Billing, Claude Code User, User

Informationen zum Kauf von Sitzen oder zur Anpassung der Sitzzuteilung Ihres Plans finden Sie in unseren Anleitungen für Team-Pläne und Enterprise-Pläne.

Schritt 2: Richten Sie SCIM-Verzeichnissynchronisierung ein (wenn Sie SCIM verwenden)

Hinweis: Überspringen Sie diesen Schritt, wenn Sie manuelle oder JIT-Bereitstellung verwenden.

Wenn Sie SCIM als Bereitstellungsmodus gewählt haben, müssen Sie die Verbindung zwischen Ihrem Identity Provider und Anthropic herstellen, bevor Sie es aktivieren.

  1. Navigieren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude (claude.ai/admin-settings/identity) oder Console (platform.claude.com/settings/identity)

  2. Klicken Sie im Abschnitt Globale Zugriffseinstellungen / Organisationszugriff auf „SCIM einrichten" (oder „SCIM verwalten") neben Verzeichnissynchronisierung (SCIM).

  3. Folgen Sie der WorkOS-Anleitung, um SCIM in Ihrem Identity Provider zu konfigurieren. Sie müssen Werte von WorkOS in die Anthropic-Anwendung Ihres IdP kopieren.

‼️ Wenn Sie den IdP-Gruppenschritt erreichen, halten Sie an, um die Schritte 3 und 4 dieser Anleitung zusammen mit den anderen Anleitungen zu überprüfen.

Für IdP-spezifische JIT- / SCIM-Setupanweisungen siehe:

Sobald Ihr IdP verbunden ist, fahren Sie mit Schritt 3 fort.

Schritt 3: Konfigurieren Sie den Bereitstellungsmodus und aktivieren Sie Gruppenzuordnungen

  1. Suchen Sie im Abschnitt Globale Zugriffseinstellungen / Organisationszugriff Ihrer Identitäts- und Zugriffseinstellungen nach Bereitstellungsmodus.

  2. Wählen Sie Ihre gewählte Option aus dem Dropdown-Menü („Just in time (JIT)" oder „Verzeichnissynchronisierung (SCIM)").

  3. Aktivieren Sie Gruppenzuordnungen aktivieren, falls verwendet.

    1. Wichtig: Klicken Sie NICHT auf „Änderungen speichern". Sie müssen zunächst sicherstellen, dass alle Benutzer Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sind. Wenn Sie Gruppenzuordnungen aktivieren, müssen Benutzer auch den entsprechenden Gruppen zugewiesen werden (Schritte 4 und 5). Das Speichern vor der ordnungsgemäßen Zuweisung von Benutzern führt dazu, dass diese Benutzer aus der Organisation entfernt werden.

  4. Wenn Sie keine Gruppenzuordnungen verwenden: Stellen Sie sicher, dass alle Benutzer Ihrer Anthropic-Anwendung in Ihrem IdP für die SCIM-Bereitstellung zugewiesen sind, und klicken Sie dann auf „Änderungen speichern", um Ihr Setup abzuschließen.

Schritt 4: Konfigurieren Sie Gruppen und weisen Sie Benutzer in Ihrem Identity Provider für Gruppenzuordnungen zu

  1. Erstellen Sie Gruppen in Ihrem IdP für jede Rolle, die Sie zuweisen möchten. Sofern Sie nicht den Single-Seat Enterprise-Plan haben, erstellen Sie auch Gruppen für jeden Sitztyp.

    1. Obwohl es keine Benennungsanforderungen mehr für diese Gruppen gibt, empfehlen wir, etwas in den Gruppennamen einzubeziehen (z. B. anthropic-claude- oder anthropic-console-), um sie leichter zu identifizieren.

  2. Fügen Sie Benutzer zu den erstellten Gruppen hinzu und stellen Sie sicher, dass mindestens ein Benutzer (einschließlich Sie selbst) in einer Gruppe ist, die einer Admin- (Console) oder Owner- (Claude) Rolle zugeordnet wird.

Wichtig: Alle Benutzer, die Zugriff benötigen, müssen den entsprechenden Gruppen zugewiesen werden, bevor Sie Ihre Gruppenzuordnungskonfiguration im nächsten Schritt speichern. Diese Benutzer sollten bereits Ihrer Anthropic-Anwendung in Ihrem IdP zugewiesen sein, von als Sie SSO aktiviert haben.

Schritt 5: Ordnen Sie Gruppen Rollen und Sitztypen zu

  1. Kehren Sie zu Ihren Identitäts- und Zugriffseinstellungen in Claude oder Console zurück, und aktivieren Sie Gruppenzuordnungen aktivieren (falls noch nicht geschehen).

  2. Klicken Sie im Abschnitt Gruppenzuordnungen aktivieren auf „Hinzufügen" neben jeder Rolle und wählen Sie die entsprechende Gruppe aus Ihrem IdP im Dropdown-Menü aus.

  3. Für alle Pläne außer Single-Seat Enterprise: Klicken Sie im Abschnitt Sitzebenen IdP-Gruppen zuweisen auf „Hinzufügen" neben jedem Sitztyp und wählen Sie die entsprechende Gruppe aus Ihrem IdP aus. Wenn ein Benutzer nicht einer Sitztyp-Gruppe zugewiesen ist, wird ihm standardmäßig der höchste verfügbare Typ zugewiesen.

    1. Für Single-Seat Enterprise: Die Sitztyp-Zuordnung gilt nicht. Alle bereitgestellten Benutzer erhalten automatisch einen Enterprise-Sitz, sofern einer in Ihrer Organisation verfügbar ist.

  4. Überprüfen Sie, dass alle erforderlichen Gruppen den entsprechenden Rollen und Sitztypen zugeordnet sind.

  5. Klicken Sie auf „Änderungen speichern".

Hinweis: Microsoft Entra überträgt SCIM-Änderungen nur alle 40 Minuten, daher kann es zu einer Verzögerung kommen, bevor Änderungen angezeigt werden.

Fehlerbehebung

Benutzer sind korrekt zugewiesen und werden im Verzeichnis angezeigt, werden aber nicht als Mitglieder zu Claude hinzugefügt?

Überprüfen Sie, dass Sie genug Sitze gekauft und verfügbar haben, um Mitglieder zu Ihrer Organisation hinzuzufügen.

  1. Überprüfen Sie die Anzahl der verfügbaren Sitze, die in Organisation Einstellungen > Abrechnung angezeigt werden, und kaufen Sie bei Bedarf zusätzliche Sitze (siehe unsere Anleitungen für Team-Pläne und Enterprise-Pläne).

  2. Sobald Sie verfügbare Sitze haben, gehen Sie zurück zur Seite „Identität und Zugriff" und klicken Sie auf „Jetzt synchronisieren" neben Verzeichnissynchronisierung (SCIM). Dies löst eine Synchronisierung aus, um Konten für diese Benutzer bereitzustellen, die noch nicht als Mitglieder hinzugefügt wurden.

Benutzer werden nicht mit der richtigen Rolle bereitgestellt

  1. Überprüfen Sie, dass der Benutzer der richtigen Gruppe in Ihrem IdP zugewiesen ist.

  2. Überprüfen Sie, dass die Gruppe der richtigen Rolle in Ihren Identitäts- und Zugriffseinstellungen zugeordnet ist.

  3. Für JIT: Der Benutzer muss sich abmelden und wieder anmelden, damit Rollenänderungen wirksam werden.

  4. Für SCIM: Klicken Sie auf „Jetzt synchronisieren", um eine sofortige Synchronisierung auszulösen, oder warten Sie auf den automatischen Synchronisierungszyklus.

Ich habe Admin-/Owner-Zugriff nach dem Aktivieren von Gruppenzuordnungen verloren

Dies geschieht, wenn die Person, die Gruppenzuordnungen konfiguriert, nicht einer Gruppe zugewiesen ist, die einer Admin- oder Owner-Rolle zugeordnet ist, was dazu führt, dass ihre Berechtigungen auf Benutzer herabgestuft werden.

So beheben Sie das Problem:

Option 1: Lassen Sie einen anderen Admin/Owner Ihre Rolle wiederherstellen

  1. Kontaktieren Sie einen anderen Admin oder Owner Ihrer Organisation.

  2. Bitten Sie ihn, zu Organisationseinstellungen > Organisation (für Claude) oder Einstellungen > Mitglieder (für Console) zu navigieren.

  3. Bitten Sie ihn, Ihre Rolle zurück zu Admin oder Owner zu ändern.

Option 2: Behebung über Ihren Identity Provider

  1. Weisen Sie sich in Ihrem IdP einer Gruppe mit dem richtigen Präfix zu, die einer Admin- oder Owner-Rolle zugeordnet ist.

  2. Für JIT: Melden Sie sich ab und wieder an, um Zugriff wiederzuerlangen.

  3. Für SCIM: Bitten Sie einen anderen Admin oder Owner, in den Identitäts- und Zugriffseinstellungen auf „Jetzt synchronisieren" zu klicken, oder warten Sie auf den automatischen Synchronisierungszyklus.

Verwandte Artikel
Wichtige Überlegungen vor der Aktivierung von Single Sign-On (SSO) und JIT/SCIM-Bereitstellung
Einmaliges Anmelden (SSO) einrichten
Kauf und Verwaltung von Plätzen in Enterprise-Plänen
Wechsel zu einem anderen Identity Provider (IdP)
Migrieren Sie Ihre Organisation von Team zu Enterprise
Hat dies deine Frage beantwortet?