Zum Hauptinhalt springen

SSO/SCIM Email Mismatch — Google Workspace

Zusammenfassung: Claude verwendet E-Mail als primären Identifikator, um SSO-Anmeldungen mit bereitgestellten Plätzen abzugleichen. In Google Workspace können SCIM-Auto-Provisioning und SAML-SSO unterschiedliche E-Mail-Werte senden – besonders wenn Benutzer E-Mail-Aliase haben – was zu einer Nichtübereinstimmung führt, die den Zugriff blockiert.

Symptome

Benutzer können eines oder mehrere der folgenden Probleme beim Versuch, auf Claude for Enterprise über SSO zuzugreifen, erleben:

  • „Kontoerstellung ist blockiert" — Der Benutzer authentifiziert sich über SSO, aber Claude kann kein übereinstimmendes bereitgestelltes Konto finden. Wenn Ihre Organisation die Organisationserstellung eingeschränkt hat (empfohlen), wird der Benutzer vollständig blockiert und kann nicht fortfahren.

  • Landung auf einem kostenlosen persönlichen Konto — Wenn die Organisationserstellung nicht eingeschränkt ist, umgeht der Benutzer die Enterprise-Organisation vollständig und erstellt oder landet auf einem kostenlosen persönlichen Konto statt auf seinem Enterprise-Platz.

  • „Bitte bestätigen Sie Ihre E-Mail"-Nichtübereinstimmung — Der SSO-Callback zeigt eine andere E-Mail als die, die der Benutzer bei der Anmeldung eingegeben hat.

  • Claude Code-Authentifizierungsfehler — Die Claude Code CLI zeigt einen E-Mail-Nichtübereinstimmungsfehler während des Authentifizierungsflusses an und verhindert, dass der Benutzer sich mit der Enterprise-Organisation verbindet.

Wie dies geschieht

Google Workspace-Benutzerkonten haben eine primäre E-Mail und können mehrere Aliase haben. SCIM-Provisioning und SAML-SSO werden separat in der Google Admin-Konsole konfiguriert und können aus verschiedenen Adressfeldern abrufen:

Google-Attribut

Typischer Wert

Häufig verwendet von

primaryEmail

[email protected]

Empfohlen für SCIM und SAML

E-Mail-Aliase

[email protected], [email protected]

Manchmal versehentlich in SCIM zugeordnet

Benutzerdefinierte Schemafelder

Benutzerdefinierte Attribute pro Organisation

Erweiterte Attributzuordnungen

Organisationseinheit-E-Mail

Von OU abgeleitete Adressvarianten

Selten in komplexen Organisationsstrukturen

Die häufigste Nichtübereinstimmung: SCIM ist so konfiguriert, dass eine Alias-Adresse gesendet wird, während SAML die primäre E-Mail sendet (oder umgekehrt). Da Aliase und primäre E-Mails unterschiedliche Zeichenketten sind, kann Claude sie nicht abgleichen. Claude erfordert eine exakte Zeichenkettenübereinstimmung.

Häufige Verwirrung: In Google Admin befinden sich die SCIM-Auto-Provisioning-Einstellungen und die SAML-Attributzuordnung auf separaten Registerkarten innerhalb derselben App. Administratoren aktualisieren manchmal eine und übersehen die andere. Überprüfen Sie beide Orte.

Diagnoseschritte

Schritt 1 — Nichtübereinstimmung bestätigen

  1. SCIM-E-Mail überprüfen: Gehen Sie in der Google Admin-Konsole zu Apps → Web- und Mobile Apps → [Claude App] → Auto-Provisioning. Überprüfen Sie, welches Attribut dem an Claude gesendeten E-Mail-Feld zugeordnet ist.

  2. SAML-E-Mail überprüfen: Gehen Sie in derselben App zum Abschnitt SAML-Attributzuordnung. Suchen Sie das Attribut, das email zugeordnet ist, und notieren Sie seine Quelle.

  3. Einen bestimmten Benutzer überprüfen: Gehen Sie zu Verzeichnis → Benutzer → [Benutzer] und vergleichen Sie die Primäre E-Mail des Benutzers mit allen aufgelisteten Alias-E-Mails.

Schritt 2 — Umfang des Problems ermitteln

Bestimmen Sie, ob dies ein betroffener Benutzer oder ein systemisches Problem ist:

  • Wenn die meisten oder alle bereitgestellten Benutzer das gleiche E-Mail-Format-Nichtübereinstimmungsproblem haben, ist dies ein systemisches Attributzuordnungsproblem. Die Lösung liegt in der SCIM-Attributzuordnung Ihres IdP.

  • Wenn nur ein oder zwei Benutzer betroffen sind, ist das Problem wahrscheinlich spezifisch für diese Benutzerkonten. Überprüfen Sie ihr Benutzerprofil direkt.

Schritt 3 — Name ID in SAML-Konfiguration überprüfen

  1. Gehen Sie in den App-Einstellungen zu SAML → Service Provider-Details.

  2. Bestätigen Sie, dass die Name ID auf Grundlegende Informationen → Primäre E-Mail eingestellt ist.

  3. Wenn Name ID auf ein benutzerdefiniertes Schemafeld oder einen Alias eingestellt ist, kann es einen anderen Wert als SCIM senden.

Lösung

Beide Zuordnungen auf primaryEmail ausrichten

Google Workspace's primaryEmail ist die zuverlässigste Quelle für SCIM und SAML.

  1. SCIM-Provisioning aktualisieren: Gehen Sie zu Apps → Web- und Mobile Apps → [Claude App] → Auto-Provisioning → Attributzuordnung und stellen Sie sicher, dass das E-Mail-Attribut primaryEmail zugeordnet ist.

  2. SAML Name ID aktualisieren: Gehen Sie zu SAML → Service Provider-Details und setzen Sie Name ID auf Grundlegende Informationen → Primäre E-Mail.

  3. SAML-Attributzuordnung aktualisieren: Stellen Sie im Schritt Attributzuordnung sicher, dass das Attribut email Grundlegende Informationen → Primäre E-Mail zugeordnet ist.

  4. Speichern Sie alle Änderungen.

Eine vollständige Neusynchronisierung auslösen

Kritisch – Vollständige Synchronisierung erforderlich: Eine inkrementelle Synchronisierung aktualisiert nicht vorhandene Benutzer, nachdem Sie eine Attributzuordnung geändert haben. Sie müssen einen vollständigen Neustart des Provisioning-Zyklus auslösen.

  1. Gehen Sie in der Google Admin-Konsole zu den Auto-Provisioning-Einstellungen der App.

  2. Unterbrechen Sie das Provisioning vorübergehend und aktivieren Sie es dann erneut. Dies löst eine vollständige Synchronisierung aller zugewiesenen Benutzer aus.

  3. Alternativ können Sie betroffene Benutzer aus der App-Zuweisung entfernen und erneut hinzufügen, um ihre einzelnen Datensätze zur Neuerstellung zu erzwingen.

  4. Überwachen Sie die Provisioning-Protokolle auf Fehler und bestätigen Sie, dass Benutzer-E-Mails aktualisiert wurden, um dem SAML-Format zu entsprechen, bevor Sie Benutzer auffordern, es erneut zu versuchen.

Bereinigung nach der Behebung

Nach der Korrektur der Attributzuordnung und Abschluss der vollständigen Synchronisierung können zusätzliche Bereinigungen erforderlich sein:

  • Rogue-Konten: Wenn die Organisationserstellung vor der Behebung nicht eingeschränkt war, haben einige Benutzer möglicherweise versehentlich kostenlose persönliche Claude-Konten erstellt. Kontaktieren Sie Anthropic Support, um diese zu entfernen.

  • Ghost-Konten (Plätze mit falscher E-Mail): Die ursprünglich bereitgestellten Konten (mit der falschen E-Mail) können immer noch in Ihrer Enterprise-Organisation vorhanden sein und Plätze belegen. Kontaktieren Sie Anthropic Support, um diese Ghost-Konten zu deprovisioning.

  • Platzverfügbarkeit: Wenn Ghost-Konten alle vertraglich vereinbarten Plätze belegen, schlagen neue Anmeldungen mit einem Fehler „Keine Plätze verfügbar" fehl. Das Deprovisioning der Ghost-Konten gibt diese Plätze frei.

  • Betroffene Benutzer erneut hinzufügen: Nachdem Ghost-Konten entfernt wurden, müssen Benutzer mit der korrigierten E-Mail möglicherweise erneut eingeladen oder bereitgestellt werden.

Zukünftige Vorkommen verhindern: Aktivieren Sie „Organisationserstellung einschränken" in Ihren Enterprise-Einstellungen. Dies verhindert, dass Benutzer, die noch nicht bereitgestellt wurden, versehentlich kostenlose persönliche Konten erstellen.

Überprüfung

  1. Überprüfen Sie eine Stichprobe bereitgestellter Benutzer – bestätigen Sie, dass ihre E-Mail im Provisioning-Protokoll Ihres IdP dem E-Mail-Format entspricht, das SSO sendet.

  2. Bitten Sie einen betroffenen Benutzer, Browser-Cookies für claude.ai zu löschen, und melden Sie sich dann über SSO an. Er sollte direkt im Enterprise-Workspace landen, ohne Fehler.

  3. Bestätigen Sie, dass Benutzer nicht versehentlich kostenlose Konten erstellen – wenn die Organisationserstellung eingeschränkt ist, sehen blockierte Benutzer einen klaren Fehler statt auf einem persönlichen Konto zu landen.

  4. Wenn Claude Code betroffen war, lassen Sie den Benutzer claude auth login --enterprise erneut ausführen und bestätigen Sie, dass die E-Mail mit seinem Enterprise-Platz übereinstimmt.

Häufige Fallstricke

Fallstrick

Lösung

SCIM sendet einen Alias, während SAML die primäre E-Mail sendet

Verwenden Sie immer primaryEmail für beide.

Name ID in SAML-Einstellungen wurde nicht überprüft

Das Name ID-Feld bestimmt die bei der Anmeldung gesendete E-Mail. Dies ist separat vom Attributzuordnungsabschnitt. Überprüfen Sie beide.

Benutzerdefiniertes Schemafeld ist für einige Benutzer leer

Verwenden Sie Standard-Google-Attribute wie primaryEmail.

Neuerstellung wird nach Zuordnungsänderung nicht automatisch ausgelöst

Sie müssen möglicherweise das Provisioning manuell unterbrechen und erneut aktivieren, um eine vollständige Synchronisierung zu erzwingen.

Primäre E-Mail des Benutzers geändert, aber alte E-Mail erscheint immer noch in Claude

Nach Änderungen der primären E-Mail ist eine vollständige Neusynchronisierung erforderlich.

E-Mails in SCIM aktualisiert, aber Benutzer kann sich immer noch nicht anmelden

Überprüfen Sie auf Rogue-Organisationen oder Ghost-Konten. Löschen Sie Browser-Cookies und versuchen Sie es erneut.

Wann Sie Anthropic Support kontaktieren sollten

  • SCIM- und SSO-Attribute erscheinen identisch, aber Benutzer können immer noch nicht auf ihre Plätze zugreifen.

  • Sie müssen bestätigen, welche E-Mail Claude während des SCIM-Provisioning für bestimmte Benutzer aufgezeichnet hat.

  • Sie benötigen Hilfe beim Bereinigen von Ghost-Konten oder Rogue-Organisationen.

  • Benutzer erhalten einen Fehler „Keine Plätze verfügbar", obwohl Ihr Vertrag verfügbare Plätze hat.

Kontaktieren Sie [email protected] mit der Domäne Ihrer Organisation, der E-Mail-Adresse des betroffenen Benutzers und Screenshots Ihrer Attributzuordnungen.

Verwandte Artikel
SSO/SCIM Email Mismatch — Microsoft Entra ID
SSO/SCIM Email Mismatch — Okta
SSO/SCIM Email Mismatch — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
SSO-Einrichtung — Google Workspace
Hat dies deine Frage beantwortet?