Zum Hauptinhalt springen

SSO/SCIM Email Mismatch — Microsoft Entra ID

Was dies abdeckt: Claude verwendet E-Mail als primären Identifikator, um SSO-Anmeldungen mit bereitgestellten Plätzen abzugleichen. In Microsoft Entra ID sind SCIM-Bereitstellung und SSO-Authentifizierung an verschiedenen Orten konfiguriert und können E-Mail aus verschiedenen Benutzerattributen abrufen – was zu einem Konflikt führt, der den Zugriff blockiert. Diese Anleitung zeigt, wie Sie das Problem identifizieren, die Attributzuordnung korrigieren und alle Nebenwirkungen bereinigen.

Symptome

Benutzer können beim Versuch, auf Claude for Enterprise über SSO zuzugreifen, eines oder mehrere der folgenden Probleme erleben:

  • „Kontoerstellung ist blockiert" — Der Benutzer authentifiziert sich über SSO, aber Claude kann kein übereinstimmendes bereitgestelltes Konto finden. Wenn die Organisationserstellung eingeschränkt ist (empfohlen), wird der Benutzer vollständig blockiert.

  • Landung auf einem kostenlosen persönlichen Konto — Wenn die Organisationserstellung nicht eingeschränkt ist, umgeht der Benutzer die Enterprise-Organisation und erstellt oder landet auf einem kostenlosen persönlichen Konto.

  • „Bitte bestätigen Sie Ihre E-Mail"-Konflikt — Der SSO-Callback zeigt eine andere E-Mail an als die, die der Benutzer bei der Anmeldung eingegeben hat.

  • Claude Code-Authentifizierungsfehler — Die Claude Code CLI zeigt einen E-Mail-Konfliktfehler während des Authentifizierungsflusses an.

Wie dies geschieht

Microsoft Entra ID-Benutzerkonten haben mehrere E-Mail-ähnliche Attribute, die unterschiedliche Werte enthalten können. SCIM-Bereitstellung und SSO-Authentifizierung sind in separaten Admin-Bereichen konfiguriert und können jeweils aus einem anderen Attribut abrufen:

Entra-Attribut

Typischer Wert

Häufig verwendet von

userPrincipalName

[email protected] (kann Mitarbeiter-ID-Format sein)

Standard-SCIM-userName-Zuordnung

mail

[email protected] (Standard-E-Mail)

OIDC / SAML-E-Mail-Anspruch

proxyAddresses

SMTP:[email protected]

Exchange / M365 primäre Adresse

otherMails

Kann Aliase oder sekundäre Adressen enthalten

Alternative Kontakt-E-Mails

Der Konflikt tritt auf, wenn SCIM E-Mail aus einem Attribut abruft, während SSO die E-Mail aus einem anderen sendet. Selbst ein subtiler Unterschied blockiert den Zugriff – Claude erfordert eine exakte Zeichenfolgenübereinstimmung.

Häufige Verwechslung: Entra hat zwei separate Admin-Bereiche. Die SCIM-Bereitstellungs-App befindet sich unter Enterprise Applications. Die SSO/OIDC-App befindet sich unter App Registrations. IT-Administratoren navigieren häufig zum falschen Ort.

Diagnoseschritte

Schritt 1 – Konflikt bestätigen

  1. Überprüfen Sie die SCIM-E-Mail: In Entra Admin Center → Enterprise Applications → [Claude SCIM App] → Provisioning → Provisioning logs, suchen Sie einen kürzlich bereitgestellten Benutzer und überprüfen Sie Modified attributes. Der Wert, der emails[type eq "work"].value zugeordnet ist, ist das, was SCIM an Claude gesendet hat.

  2. Überprüfen Sie die SSO-E-Mail: In Enterprise Applications → [Claude App] → Single sign-on → Attributes & Claims, suchen Sie den E-Mail-Anspruch. Überprüfen Sie für OIDC-Apps App Registrations → [Claude App] → Token configuration.

  3. Wenn die beiden Quellattribute auf verschiedene Felder verweisen, haben Sie den Konflikt bestätigt.

Schritt 2 – Umfang identifizieren

  • Wenn die meisten oder alle bereitgestellten Benutzer das gleiche Format-Konflikt aufweisen, ist dies ein systemisches Attributzuordnungsproblem. Die Lösung liegt in der SCIM-Attributzuordnungskonfiguration.

  • Wenn nur ein oder zwei Benutzer betroffen sind, überprüfen Sie ihr Benutzerprofil direkt in Entra.

Schritt 3 – OIDC-Token-Ansprüche überprüfen (nur OIDC-Apps)

  1. Gehen Sie im Entra Admin Center zu App Registrations (nicht Enterprise Applications).

  2. Suchen Sie die Claude OIDC-App und klicken Sie auf Token configuration.

  3. Überprüfen Sie den optionalen email-Anspruch.

  4. Vergleichen Sie mit Ihrer SCIM-Attributzuordnung, um zu bestätigen, ob sie übereinstimmen.

Lösung

SCIM-Attributzuordnung korrigieren

Navigieren Sie zur SCIM-Bereitstellungs-App – nicht zur SSO/OIDC-App:

  1. Gehen Sie zu Entra Admin Center → Enterprise Applications.

  2. Suchen Sie nach der Claude SCIM-App. Suchen Sie nach der App mit einem Provisioning-Bereich.

  3. Klicken Sie auf Provisioning → Edit provisioning → Attribute mappings.

  4. Suchen Sie die Zeile, in der das SCIM-Attribut emails[type eq "work"].value ist. Klicken Sie darauf, um es zu bearbeiten.

  5. Ändern Sie das Source attribute so, dass es dem entspricht, was SSO sendet – normalerweise mail.

  6. Überprüfen Sie auch die userName-Zuordnung und aktualisieren Sie sie bei Bedarf.

  7. Klicken Sie auf Save.

Vollständige Bereitstellungssynchronisierung auslösen

Vollständige Synchronisierung erforderlich – inkrementelle funktioniert nicht. Sie müssen einen vollständigen Neustart des Bereitstellungszyklus auslösen.

  1. Gehen Sie zur Provisioning-Übersichtsseite.

  2. Klicken Sie auf Restart provisioning.

  3. Warten Sie, bis die Synchronisierung abgeschlossen ist.

  4. Überprüfen Sie in den Bereitstellungsprotokollen, dass Benutzer-E-Mails auf das richtige Format aktualisiert wurden.

Verwandte Artikel
SSO/SCIM Email Mismatch — Google Workspace
SSO/SCIM Email Mismatch — Okta
SSO/SCIM Email Mismatch — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
SSO-Einrichtung — Microsoft Entra ID
Hat dies deine Frage beantwortet?