Zum Hauptinhalt springen

SSO/SCIM Email Mismatch — Okta

Zusammenfassung: Claude verwendet E-Mail als primären Identifikator, um SSO-Anmeldungen mit bereitgestellten Plätzen abzugleichen. In Okta werden SCIM-Bereitstellung und SSO in separaten Abschnitten der App konfiguriert und können E-Mail aus verschiedenen Okta-Benutzerprofilfeldern abrufen. Diese Anleitung erklärt, wie Sie Nichtübereinstimmungen identifizieren und beheben.

Symptome

Benutzer können beim Versuch, auf Claude for Enterprise über SSO zuzugreifen, eines oder mehrere der folgenden Probleme erleben:

  • „Kontoerstellung ist blockiert" — Der Benutzer authentifiziert sich über SSO, aber Claude kann kein passendes bereitgestelltes Konto finden.

  • Landung auf einem kostenlosen persönlichen Konto — Wenn die Organisationserstellung nicht eingeschränkt ist, umgeht der Benutzer die Enterprise-Organisation.

  • „Bitte bestätigen Sie Ihre E-Mail"-Nichtübereinstimmung — Der SSO-Callback zeigt eine andere E-Mail an als die, die der Benutzer bei der Anmeldung eingegeben hat.

  • Claude Code-Authentifizierungsfehler — Die Claude Code CLI zeigt einen E-Mail-Nichtübereinstimmungsfehler an.

Wie dies geschieht

Okta-Benutzerprofile enthalten mehrere Felder, die Identität darstellen. SCIM-Bereitstellung (unter Provisioning → To App) und SAML/OIDC SSO (unter Sign On) werden unabhängig konfiguriert:

Okta-Attribut

Typischer Wert

Häufig verwendet von

user.login

testuser1 oder [email protected]

Standard-SCIM-userName-Zuordnung; manchmal NameID

user.email

[email protected]

SAML/OIDC-E-Mail-Anspruch (empfohlen)

appuser.email

App-Ebenen-Überschreibung der Benutzer-E-Mail

Benutzerdefinierte App-Ebenen-Attributzuordnung

Eine häufige Nichtübereinstimmung: SCIM verwendet user.login, während SAML user.email sendet. Claude erfordert eine exakte Zeichenkettenübereinstimmung.

Häufige Verwirrung: Oktas SCIM-Attributzuordnungen und SAML-Attributanweisungen befinden sich in zwei verschiedenen Registerkarten — Provisioning → To App für SCIM und Sign On für SSO. Sie müssen beide überprüfen.

Diagnoseschritte

Schritt 1 — Bestätigen Sie die Nichtübereinstimmung

  1. Überprüfen Sie die SCIM-E-Mail: Gehen Sie in der Okta Admin-Konsole zu Applications → [Claude App] → Provisioning → To App → Attribute Mappings. Suchen Sie die Zeile für email (oder userName, wenn dies auf Claudes Seite E-Mail zuordnet). Die Spalte Value zeigt den Okta-Ausdruck oder das Feld, das gesendet wird.

  2. Überprüfen Sie die SSO-E-Mail (SAML): Gehen Sie zu Applications → [Claude App] → Sign On → SAML Settings → Edit → Attribute Statements. Suchen Sie das Attribut mit dem Namen email. Die Spalte Value zeigt, welches Okta-Feld bei der Anmeldung bestätigt wird.

  3. Überprüfen Sie die SSO-E-Mail (OIDC): Gehen Sie zu Applications → [Claude App] → Sign On → OpenID Connect ID Token und überprüfen Sie den Abschnitt Claims auf den E-Mail-Anspruch.

  4. Wenn die SCIM- und SSO-Werte auf verschiedene Okta-Felder verweisen, haben Sie die Nichtübereinstimmung bestätigt.

Schritt 2 — Bestimmen Sie den Umfang des Problems

Bestimmen Sie, ob dies ein betroffener Benutzer oder ein systemisches Problem ist:

  • Wenn die meisten oder alle bereitgestellten Benutzer das gleiche E-Mail-Format-Nichtübereinstimmungsproblem haben, ist dies ein systemisches Attributzuordnungsproblem, das Ihr gesamtes Verzeichnis betrifft. Die Lösung liegt in der SCIM-Attributzuordnung Ihres IdP.

  • Wenn nur ein oder zwei Benutzer betroffen sind, während andere einwandfrei funktionieren, ist das Problem wahrscheinlich spezifisch für diese Benutzerkonten. Überprüfen Sie ihr Benutzerprofil direkt.

Schritt 3 — Überprüfen Sie Okta-Benutzerprofile direkt

Überprüfen Sie für einzelne betroffene Benutzer ihre tatsächlichen Feldwerte:

  1. Gehen Sie zu Directory → People → [User] → Profile.

  2. Vergleichen Sie die Feldwerte Login und Email. Wenn sie sich unterscheiden, führt jede Zuordnung mit Login vs. Email zu einer Nichtübereinstimmung.

Lösung

Richten Sie beide Zuordnungen auf das gleiche Okta-Feld aus

Die sicherste Lösung ist die Verwendung von user.email für sowohl SCIM als auch SSO, da dieses Feld die kanonische E-Mail-Adresse in Okta enthält.

  1. Aktualisieren Sie die SCIM-Zuordnung: Ändern Sie in Provisioning → To App → Attribute Mappings die Quelle von email (oder userName) zu user.email.

  2. Aktualisieren Sie den SSO-Anspruch (SAML): Ändern Sie in Sign On → SAML Settings → Attribute Statements den Wert des Attributs email zu user.email.

  3. Aktualisieren Sie den SSO-Anspruch (OIDC): Aktualisieren Sie in Sign On → OpenID Connect ID Token → Claims den E-Mail-Anspruch, um auf user.email zuzuordnen.

  4. Klicken Sie auf Save.

Erzwingen Sie eine vollständige Neusynchronisierung

Kritisch — Vollständige Synchronisierung erforderlich: Eine inkrementelle Synchronisierung aktualisiert nicht vorhandene Benutzer, nachdem Sie eine Attributzuordnung geändert haben. Sie müssen einen vollständigen Neustart des Bereitstellungszyklus auslösen.

  1. Klicken Sie in Provisioning → To App auf Force Sync, um eine vollständige Neubewertung aller zugewiesenen Benutzer auszulösen.

  2. Alternativ für gezielt betroffene Benutzer: Provisioning → Push Users → betroffene Benutzer auswählen → Push Now.

  3. Überprüfen Sie das Okta-Systemprotokoll (Reports → System Log) auf Bereitstellungsfehler.

  4. Überprüfen Sie, ob aktualisierte E-Mail-Werte in Bereitstellungsprotokollen angezeigt werden, bevor Sie Benutzer auffordern, sich erneut anzumelden.

Bereinigung nach der Behebung

Nach der Korrektur der Attributzuordnung und dem Abschluss der vollständigen Synchronisierung müssen Sie möglicherweise zusätzliche Bereinigungen durchführen, je nach Ihrer Situation:

  • Rogue-Konten kostenlos: Wenn die Organisationserstellung vor der Behebung nicht eingeschränkt war, haben einige Benutzer möglicherweise versehentlich kostenlose persönliche Claude-Konten erstellt. Kontaktieren Sie Anthropic Support, um diese zu entfernen.

  • Ghost-Konten (Plätze mit falscher E-Mail): Die ursprünglich bereitgestellten Konten (mit der falschen E-Mail) können weiterhin in Ihrer Enterprise-Organisation vorhanden sein und belegen Plätze, die nie verwendet werden können. Kontaktieren Sie Anthropic Support, um diese Ghost-Konten zu deprovisioning.

  • Platzverfügbarkeit: Wenn Ghost-Konten alle vertraglich vereinbarten Plätze belegen, schlagen neue Anmeldungen mit einem Out-of-Seats-Fehler fehl, auch nachdem die Zuordnung behoben wurde. Kontaktieren Sie den Support, wenn Sie dies erreichen.

  • Erneutes Hinzufügen betroffener Benutzer: Nachdem Ghost-Konten entfernt wurden, müssen Benutzer mit der korrigierten E-Mail möglicherweise erneut eingeladen oder bereitgestellt werden.

Verhindern Sie zukünftige Vorkommen: Aktivieren Sie „Organisationserstellung einschränken" in Ihren Enterprise-Einstellungen. Dies verhindert, dass Benutzer, die noch nicht bereitgestellt wurden, versehentlich kostenlose persönliche Konten erstellen.

Überprüfung

Überprüfen Sie nach Abschluss der Behebung und einer eventuellen Bereinigung Folgendes:

  1. Überprüfen Sie eine Stichprobe bereitgestellter Benutzer — bestätigen Sie, dass ihre E-Mail im Bereitstellungsprotokoll Ihres IdP mit dem E-Mail-Format übereinstimmt, das SSO sendet.

  2. Bitten Sie einen betroffenen Benutzer, Browser-Cookies für claude.ai zu löschen, und melden Sie sich dann über SSO an. Er sollte direkt im Enterprise-Arbeitsbereich landen, ohne Fehler.

  3. Bestätigen Sie, dass Benutzer nicht versehentlich kostenlose Konten erstellen — wenn die Organisationserstellung eingeschränkt ist, sehen blockierte Benutzer einen klaren Fehler, anstatt auf einem persönlichen Konto zu landen.

  4. Wenn Claude Code betroffen war, lassen Sie den Benutzer claude auth login --enterprise erneut ausführen und bestätigen Sie, dass die E-Mail mit seinem Enterprise-Platz übereinstimmt.

Häufige Fallstricke

Fallstrick

Lösung

Admin aktualisiert SAML-Ansprüche, vergisst aber SCIM-Attributzuordnungen (oder umgekehrt)

Beide müssen aktualisiert werden. SCIM-Zuordnungen befinden sich unter Provisioning → To App; SAML-Ansprüche befinden sich unter Sign On → SAML Settings.

user.login enthält den Benutzernamen (keine E-Mail) für einige Benutzer

Wechseln Sie beide zu user.email und überprüfen Sie, dass E-Mail-Felder für alle Benutzer ausgefüllt sind.

Inkrementelle Synchronisierung wird ausgeführt, aber E-Mails werden nicht aktualisiert

Force Sync oder Push Users ist nach einer Attributzuordnungsänderung erforderlich.

App-Ebenen-Profilattribut (appuser.email) unterscheidet sich vom Benutzerprofil (user.email)

Überprüfen Sie, ob App-Ebenen-Attributzuordnungen Benutzerprofilwerte überschreiben.

E-Mails aktualisiert, aber Benutzer kann sich immer noch nicht anmelden

Suchen Sie nach Rogue-Organisationen kostenlos oder Ghost-Konten. Löschen Sie Browser-Cookies und versuchen Sie es erneut. Kontaktieren Sie Anthropic Support, wenn das Problem weiterhin besteht.

OIDC- und SAML-Apps sind separate Okta-Apps für Claude

Einige Organisationen konfigurieren beide. Stellen Sie sicher, dass die Attributausrichtung in beiden Apps überprüft wird.

Wann Sie Anthropic Support kontaktieren sollten

  • SCIM- und SSO-Attribute scheinen identisch zu sein, aber Benutzer können immer noch nicht auf ihre Plätze zugreifen.

  • Sie müssen bestätigen, welche E-Mail Claude während der SCIM-Bereitstellung für bestimmte Benutzer aufgezeichnet hat.

  • Sie benötigen Hilfe beim Bereinigen von Ghost-Konten oder Rogue-Organisationen kostenlos.

  • Benutzer erhalten einen Out-of-Seats-Fehler, obwohl Ihr Vertrag verfügbare Plätze hat.

Kontaktieren Sie [email protected] mit der Domäne Ihrer Organisation, der E-Mail-Adresse des betroffenen Benutzers und Screenshots Ihrer Attributzuordnungen.

Verwandte Artikel
SSO/SCIM Email Mismatch — Google Workspace
SSO/SCIM Email Mismatch — Microsoft Entra ID
SSO/SCIM Email Mismatch — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
SSO-Einrichtung — Okta
Hat dies deine Frage beantwortet?