Tenant Restrictions sind für Mitglieder von Enterprise-Plänen und Console-Organisationen verfügbar.
Tenant Restrictions ermöglichen IT-Administratoren in Enterprise-Plänen, die Zugriffskontrolle auf Netzwerkebene für Claude durchzusetzen. Diese Funktion stellt sicher, dass Benutzer in Unternehmensnetzwerken nur auf genehmigte Organisationskonten zugreifen können und verhindert die unbefugte Nutzung persönlicher Konten.
Funktionsweise
Wenn aktiviert, injiziert Ihr Netzwerk-Proxy einen HTTP-Header in Anfragen an Claude. Anthropic validiert diesen Header und blockiert den Zugriff von Organisationen, die nicht auf der Zulassungsliste stehen.
Unterstützte Authentifizierungsmethoden:
Webzugriff (claude.ai)
Desktop-/App-Zugriff
API-Schlüssel-Authentifizierung
OAuth-Token-Authentifizierung
Header-Format
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Kommagetrennte Liste von Organisations-UUIDs
Keine Leerzeichen zwischen Werten
Beispiel:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Große Zulassungslisten auf mehrere Header verteilen
Wenn Ihre Zulassungsliste zu lang für eine einzelne Header-Zeile auf Ihrer Proxy-Plattform ist, verteilen Sie sie auf nummerierte Fortsetzungs-Header. Fügen Sie ;n=K zum Basis-Header hinzu, um die Gesamtzahl der Header-Zeilen anzugeben, und fügen Sie dann die verbleibenden UUIDs in den Headern anthropic-allowed-org-ids1 bis anthropic-allowed-org-ids{K-1} hinzu.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Maximal 10 Header-Zeilen (
K≤ 10)Maximal 500 Organisations-UUIDs insgesamt über alle Zeilen
Ihr Proxy muss jeden deklarierten Slot senden. Wenn Sie
;n=3festlegen, müssen alle drei Header in der Anfrage vorhanden sein.Konfigurieren Sie Ihren Proxy so, dass diese Header bei jeder Anfrage überschrieben werden, anstatt sie nur hinzuzufügen, wenn sie fehlen.
Konfigurationsschritte
1. Finden Sie Ihre Organisations-UUID
Mitglieder von Enterprise-Plänen können dies an zwei verschiedenen Orten finden:
Navigieren Sie zu Einstellungen > Konto und suchen Sie nach Organisations-ID.
Navigieren Sie zu Organisationseinstellungen > Organisation und scrollen Sie zum unteren Ende der Seite, um die Organisations-ID zu finden.
Mitglieder von Console-Organisationen können dies in Einstellungen > Organisation finden.
2. Konfigurieren Sie Ihren Netzwerk-Proxy
Konfigurieren Sie Ihren Proxy so, dass der Header für Claude-Datenverkehr injiziert wird:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Testen Sie Ihre Konfiguration
Testen Sie aus dem eingeschränkten Netzwerk mit dem API-Schlüssel Ihrer Organisation:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Fehlerantworten
Zugriff blockiert
Wenn die Organisation eines Benutzers nicht auf der Zulassungsliste steht, erhält er einen 403-Fehler:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Header-Konfigurationsfehler
Wenn Ihr Proxy die Header falsch sendet, schlagen Anfragen mit Status 400 und einer dieser Meldungen fehl:
Mehrere
anthropic-allowed-org-idsHeader: Ein Header-Name erschien mehr als einmal in derselben Anfrage. Konfigurieren Sie Ihren Proxy so, dass jeder Header überschrieben wird, anstatt ein Duplikat anzufügen.Fehlerhafte
anthropic-allowed-org-idsHeader: Der;n=KWert ist ungültig, ein deklarierter Fortsetzungs-Slot fehlt oder ist überzählig, oder die Gesamtzulassungsliste überschreitet 500 UUIDs.
Unterstützte Proxy-Plattformen
Zscaler ZIA (Cloud App Control-Richtlinien)
Palo Alto Prisma Access (SaaS App Management)
Cato Networks (Tenant Restriction-Richtlinie)
Netskope (Header Insertion-Regeln)
Generische HTTPS-Proxys mit Header-Injektionsfähigkeit
Anwendungsfälle
Szenario | Header-Wert |
Einzelne Organisation |
|
Mehrere Organisationen (Partner) |
|
Sicherheitsvorteile
Datenverlustprävention: Blockieren Sie die Nutzung persönlicher Konten aus Unternehmensnetzwerken.
Compliance: Erzwingen Sie Datenresidenz- und Zugriffsrichtlinien.
Shadow-IT-Kontrolle: Verhindern Sie unbefugte Claude-Nutzung.
Audit-Trail: Vollständige Sichtbarkeit in Zugriffsvorgänge.
Rückwärtskompatibilität
Keine Auswirkungen auf Netzwerke ohne konfigurierte Tenant Restrictions.
Standardauthentifizierung wird für nicht verwaltete Netzwerke fortgesetzt.
Bestehende API-Schlüssel-Authentifizierung bleibt unverändert.
