Zum Hauptinhalt springen

Netzwerkebene-Zugriffskontrolle mit Tenant Restrictions durchsetzen

Tenant Restrictions sind für Mitglieder von Enterprise-Plänen und Console-Organisationen verfügbar.

Tenant Restrictions ermöglichen IT-Administratoren in Enterprise-Plänen, die Zugriffskontrolle auf Netzwerkebene für Claude durchzusetzen. Diese Funktion stellt sicher, dass Benutzer in Unternehmensnetzwerken nur auf genehmigte Organisationskonten zugreifen können und verhindert die unbefugte Nutzung persönlicher Konten.

Funktionsweise

Wenn aktiviert, injiziert Ihr Netzwerk-Proxy einen HTTP-Header in Anfragen an Claude. Anthropic validiert diesen Header und blockiert den Zugriff von Organisationen, die nicht auf der Zulassungsliste stehen.

Unterstützte Authentifizierungsmethoden:

  • Webzugriff (claude.ai)

  • Desktop-/App-Zugriff

  • API-Schlüssel-Authentifizierung

  • OAuth-Token-Authentifizierung

Header-Format

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • Kommagetrennte Liste von Organisations-UUIDs

  • Keine Leerzeichen zwischen Werten

Beispiel:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Große Zulassungslisten auf mehrere Header verteilen

Wenn Ihre Zulassungsliste zu lang für eine einzelne Header-Zeile auf Ihrer Proxy-Plattform ist, verteilen Sie sie auf nummerierte Fortsetzungs-Header. Fügen Sie ;n=K zum Basis-Header hinzu, um die Gesamtzahl der Header-Zeilen anzugeben, und fügen Sie dann die verbleibenden UUIDs in den Headern anthropic-allowed-org-ids1 bis anthropic-allowed-org-ids{K-1} hinzu.

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • Maximal 10 Header-Zeilen (K ≤ 10)

  • Maximal 500 Organisations-UUIDs insgesamt über alle Zeilen

  • Ihr Proxy muss jeden deklarierten Slot senden. Wenn Sie ;n=3 festlegen, müssen alle drei Header in der Anfrage vorhanden sein.

  • Konfigurieren Sie Ihren Proxy so, dass diese Header bei jeder Anfrage überschrieben werden, anstatt sie nur hinzuzufügen, wenn sie fehlen.


Konfigurationsschritte

1. Finden Sie Ihre Organisations-UUID

Mitglieder von Enterprise-Plänen können dies an zwei verschiedenen Orten finden:

  1. Navigieren Sie zu Einstellungen > Konto und suchen Sie nach Organisations-ID.

  2. Navigieren Sie zu Organisationseinstellungen > Organisation und scrollen Sie zum unteren Ende der Seite, um die Organisations-ID zu finden.

Mitglieder von Console-Organisationen können dies in Einstellungen > Organisation finden.

2. Konfigurieren Sie Ihren Netzwerk-Proxy

Konfigurieren Sie Ihren Proxy so, dass der Header für Claude-Datenverkehr injiziert wird:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. Testen Sie Ihre Konfiguration

Testen Sie aus dem eingeschränkten Netzwerk mit dem API-Schlüssel Ihrer Organisation:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


Fehlerantworten

Zugriff blockiert

Wenn die Organisation eines Benutzers nicht auf der Zulassungsliste steht, erhält er einen 403-Fehler:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

Header-Konfigurationsfehler

Wenn Ihr Proxy die Header falsch sendet, schlagen Anfragen mit Status 400 und einer dieser Meldungen fehl:

  • Mehrere anthropic-allowed-org-ids Header: Ein Header-Name erschien mehr als einmal in derselben Anfrage. Konfigurieren Sie Ihren Proxy so, dass jeder Header überschrieben wird, anstatt ein Duplikat anzufügen.

  • Fehlerhafte anthropic-allowed-org-ids Header: Der ;n=K Wert ist ungültig, ein deklarierter Fortsetzungs-Slot fehlt oder ist überzählig, oder die Gesamtzulassungsliste überschreitet 500 UUIDs.

Unterstützte Proxy-Plattformen

  • Zscaler ZIA (Cloud App Control-Richtlinien)

  • Palo Alto Prisma Access (SaaS App Management)

  • Cato Networks (Tenant Restriction-Richtlinie)

  • Netskope (Header Insertion-Regeln)

  • Generische HTTPS-Proxys mit Header-Injektionsfähigkeit

Anwendungsfälle

Szenario

Header-Wert

Einzelne Organisation

<your-org-uuid>

Mehrere Organisationen (Partner)

<org-uuid-1>,<org-uuid-2>

Sicherheitsvorteile

  • Datenverlustprävention: Blockieren Sie die Nutzung persönlicher Konten aus Unternehmensnetzwerken.

  • Compliance: Erzwingen Sie Datenresidenz- und Zugriffsrichtlinien.

  • Shadow-IT-Kontrolle: Verhindern Sie unbefugte Claude-Nutzung.

  • Audit-Trail: Vollständige Sichtbarkeit in Zugriffsvorgänge.

Rückwärtskompatibilität

  • Keine Auswirkungen auf Netzwerke ohne konfigurierte Tenant Restrictions.

  • Standardauthentifizierung wird für nicht verwaltete Netzwerke fortgesetzt.

  • Bestehende API-Schlüssel-Authentifizierung bleibt unverändert.

Hat dies deine Frage beantwortet?