Zum Hauptinhalt springen

SSO/SCIM Email Mismatch — OneLogin

Zusammenfassung: Claude verwendet E-Mail als primären Identifikator, um SSO-Anmeldungen mit bereitgestellten Plätzen abzugleichen. In OneLogin können SCIM-Bereitstellung und SAML-SSO in separaten Registerkarten der App konfiguriert werden und können auf unterschiedliche Benutzerprofilfelder verweisen, was zu einer Nichtübereinstimmung führt, die den Zugriff blockiert.

Symptome

Benutzer können eines oder mehrere der folgenden Probleme beim Versuch, auf Claude for Enterprise über SSO zuzugreifen, erleben:

  • „Kontoerstellung ist blockiert" — Der Benutzer authentifiziert sich über SSO, aber Claude kann kein übereinstimmendes bereitgestelltes Konto finden. Wenn Ihre Organisation die Organisationserstellung eingeschränkt hat (empfohlen), wird der Benutzer vollständig blockiert und kann nicht fortfahren.

  • Landung auf einem kostenlosen persönlichen Konto — Wenn die Organisationserstellung nicht eingeschränkt ist, umgeht der Benutzer die Enterprise-Organisation vollständig und erstellt oder landet auf einem kostenlosen persönlichen Konto statt auf seinem Enterprise-Platz.

  • „Bitte bestätigen Sie Ihre E-Mail"-Nichtübereinstimmung — Der SSO-Callback zeigt eine andere E-Mail an als die, die der Benutzer bei der Anmeldung eingegeben hat.

  • Claude Code-Authentifizierungsfehler — Die Claude Code CLI zeigt einen E-Mail-Nichtübereinstimmungsfehler während des Authentifizierungsflusses an.

Wie dies geschieht

OneLogin-Benutzerprofile enthalten unterschiedliche Felder für Benutzernamen und E-Mail, die unterschiedliche Werte enthalten können. SCIM-Bereitstellungsparameter und SAML-Attributanweisungen werden unabhängig konfiguriert und können jeweils aus einem anderen Feld abrufen:

OneLogin-Feld

Typischer Wert

Häufig verwendet von

Username

testuser1 oder [email protected]

Manchmal in SCIM userName-Zuordnung verwendet

Email

[email protected]

Empfohlen für SCIM und SAML

Login Name

Kann sich von der E-Mail unterscheiden, wenn SSO für Nicht-E-Mail-Anmeldungen verwendet wird

Legacy- oder benutzerdefinierte Konfigurationen

Benutzerdefinierte Benutzerfelder

Benutzerdefinierte Attribute, die pro Organisation definiert sind

Erweiterte Attributzuordnungen

Eine häufige Nichtübereinstimmung: Die SCIM-Parameterregisterkarte ordnet das E-Mail-Attribut dem Username zu (das eine Mitarbeiter-ID oder ein Kurzname sein kann), während die SAML-Attributanweisung das Email-Feld sendet. Claude erfordert eine exakte Zeichenfolgenübereinstimmung.

Häufige Verwirrung: OneLogins SCIM-Parameter und SAML-Attributanweisungen befinden sich in verschiedenen Registerkarten derselben App — Parameters für SCIM und SSO (oder Parameters mit SAML-spezifischen Feldern) für SSO. Beide müssen überprüft und aufeinander abgestimmt werden.

Diagnoseschritte

Schritt 1 — Bestätigen Sie die Nichtübereinstimmung

  1. Überprüfen Sie die SCIM-E-Mail: Gehen Sie im OneLogin Admin-Portal zu Applications → [Claude App] → Parameters. Suchen Sie das Feld, das dem E-Mail-Attribut zugeordnet ist, das Claude empfängt. Beachten Sie die Spalte OneLogin value — diese zeigt, welches Benutzerfeld gesendet wird.

  2. Überprüfen Sie die SAML-E-Mail: Gehen Sie in derselben App zur Registerkarte SSO. Klicken Sie auf More Actions → Edit SAML Response oder überprüfen Sie den Abschnitt SAML Attribute Statements. Suchen Sie das Attribut für email und notieren Sie sein Quellfeld.

  3. Überprüfen Sie einen bestimmten Benutzer: Gehen Sie zu Users → [User] und vergleichen Sie die Felder Username und Email des Benutzers. Wenn sie sich unterscheiden, führt jede Zuordnung, die das eine oder das andere verwendet, zu einer Nichtübereinstimmung.

Schritt 2 — Bestimmen Sie den Umfang des Problems

Bestimmen Sie, ob dies ein betroffener Benutzer oder ein systemisches Problem ist:

  • Wenn die meisten oder alle bereitgestellten Benutzer die gleiche E-Mail-Format-Nichtübereinstimmung aufweisen, ist dies ein systemisches Attributzuordnungsproblem, das Ihr gesamtes Verzeichnis betrifft. Die Lösung liegt in der SCIM-Attributzuordnung Ihres IdP.

  • Wenn nur ein oder zwei Benutzer betroffen sind, während andere einwandfrei funktionieren, ist das Problem wahrscheinlich spezifisch für diese Benutzerkonten. Überprüfen Sie ihr Benutzerprofil direkt.

Schritt 3 — Überprüfen Sie die Benutzerfeld-Werte

  1. Gehen Sie zu Users → [Affected User] → User Info.

  2. Überprüfen Sie sowohl die Felder Username als auch Email.

  3. Wenn Username in einem Format vorliegt, das nicht mit einer gültigen E-Mail übereinstimmt, sendet SCIM möglicherweise einen ungültigen oder nicht übereinstimmenden Wert.

Lösung

Richten Sie beide Zuordnungen auf das E-Mail-Feld aus

Das Email-Feld von OneLogin ist die zuverlässigste Quelle für SCIM und SAML, da es für die Speicherung einer gültigen E-Mail-Adresse ausgelegt ist.

  1. Aktualisieren Sie den SCIM-Parameter: Gehen Sie zu Applications → [Claude App] → Parameters, suchen Sie die Zeile für das E-Mail-Attribut, das Claude empfängt. Ändern Sie den Value zu Email (das OneLogin-Benutzer-E-Mail-Feld).

  2. Aktualisieren Sie die SAML-Attributanweisung: Aktualisieren Sie auf der Registerkarte SSO (oder Parameters für SAML-Attribute) den Wert des email-Attributs, um das gleiche Email-Feld zu verwenden.

  3. Klicken Sie auf Save.

Lösen Sie eine vollständige Neusynchronisierung aus

Kritisch — Vollständige Synchronisierung erforderlich: Eine inkrementelle Synchronisierung aktualisiert nicht vorhandene Benutzer, nachdem Sie eine Attributzuordnung geändert haben. Sie müssen einen vollständigen Neustart des Bereitstellungszyklus auslösen.

  1. Suchen Sie auf der Registerkarte Provisioning der App nach einer Option Re-sync oder Sync All und führen Sie diese aus.

  2. Um einzelne Benutzer erneut bereitzustellen: Gehen Sie zu Users → [User] → Applications, suchen Sie die Claude-App und verwenden Sie Re-provision.

  3. Überprüfen Sie das OneLogin-Bereitstellungsaktivitätsprotokoll auf Fehler.

  4. Überprüfen Sie, ob aktualisierte E-Mail-Werte im Protokoll angezeigt werden, bevor Sie Benutzer auffordern, sich erneut anzumelden.

Bereinigung nach der Behebung

Nach der Korrektur der Attributzuordnung und dem Abschluss der vollständigen Synchronisierung müssen Sie möglicherweise zusätzliche Bereinigungen durchführen, je nach Ihrer Situation:

  • Rogue-Konten: Wenn die Organisationserstellung vor der Behebung nicht eingeschränkt war, haben einige Benutzer möglicherweise versehentlich kostenlose persönliche Claude-Konten erstellt. Kontaktieren Sie Anthropic Support, um diese zu entfernen.

  • Ghost-Konten (Plätze mit falscher E-Mail): Die ursprünglich bereitgestellten Konten (mit der falschen E-Mail) können weiterhin in Ihrer Enterprise-Organisation vorhanden sein und belegen Plätze, die nie verwendet werden können. Kontaktieren Sie Anthropic Support, um diese Ghost-Konten zu entfernen.

  • Platzverfügbarkeit: Wenn Ghost-Konten alle vertraglich vereinbarten Plätze belegen, schlagen neue Anmeldungen mit einem Out-of-Seats-Fehler fehl, auch nachdem die Zuordnung behoben wurde. Kontaktieren Sie den Support, wenn Sie auf dieses Problem stoßen.

  • Erneutes Hinzufügen betroffener Benutzer: Nachdem Ghost-Konten entfernt wurden, müssen Benutzer mit der korrigierten E-Mail möglicherweise erneut eingeladen oder bereitgestellt werden.

Verhindern Sie zukünftige Vorkommen: Aktivieren Sie „Restrict organization creation" in Ihren Enterprise-Einstellungen.

Überprüfung

Überprüfen Sie nach Abschluss der Behebung und einer eventuellen Bereinigung Folgendes:

  1. Überprüfen Sie eine Stichprobe bereitgestellter Benutzer — bestätigen Sie, dass ihre E-Mail im Bereitstellungsprotokoll Ihres IdP mit dem E-Mail-Format übereinstimmt, das SSO sendet.

  2. Bitten Sie einen betroffenen Benutzer, Browser-Cookies für claude.ai zu löschen und sich dann über SSO anzumelden.

  3. Bestätigen Sie, dass Benutzer nicht versehentlich kostenlose Konten erstellen.

  4. Wenn Claude Code betroffen war, lassen Sie den Benutzer claude auth login --enterprise erneut ausführen und bestätigen Sie, dass die E-Mail mit seinem Enterprise-Platz übereinstimmt.

Häufige Fallstricke

Fallstrick

Lösung

Das Feld „Username" enthält einen Kurznamen oder eine Mitarbeiter-ID, keine E-Mail

Wechseln Sie SCIM zur Verwendung des Email-Feldes.

SAML-Attribute wurden aktualisiert, aber SCIM-Parameter wurden nicht geändert

Sowohl die Registerkarte „Parameters" (für SCIM) als auch die SSO/SAML-Attribute müssen unabhängig aktualisiert werden.

Die Neusynchronisierung scheint nicht ausgelöst zu werden

Versuchen Sie, einzelne betroffene Benutzer aus der App zu entfernen und erneut zuzuweisen.

Benutzerdefinierte Benutzerfelder sind zugeordnet, aber für einige Benutzer leer

Wechseln Sie zum Standard-Email-Feld.

E-Mails wurden in SCIM aktualisiert, aber der Benutzer kann sich immer noch nicht anmelden

Überprüfen Sie auf Rogue-Organisationen oder Ghost-Konten. Löschen Sie Browser-Cookies und versuchen Sie es erneut.

„Invite domain not allowed" beim Versuch, Benutzer erneut hinzuzufügen

Die Domain Ihrer Organisation ist möglicherweise nicht in Claude verifiziert. Kontaktieren Sie Anthropic Support.

Wann Sie Anthropic Support kontaktieren sollten

  • SCIM- und SSO-Attribute erscheinen identisch, aber Benutzer können immer noch nicht auf ihre Plätze zugreifen.

  • Sie müssen bestätigen, welche E-Mail Claude während der SCIM-Bereitstellung für bestimmte Benutzer aufgezeichnet hat.

  • Sie benötigen Hilfe beim Bereinigen von Ghost-Konten oder Rogue-Organisationen.

  • Benutzer erhalten einen Out-of-Seats-Fehler, obwohl Ihr Vertrag verfügbare Plätze hat.

Kontaktieren Sie [email protected] mit der Domain Ihrer Organisation, der E-Mail-Adresse des betroffenen Benutzers und Screenshots Ihrer Attributzuordnungen.

Verwandte Artikel
SSO/SCIM Email Mismatch — Google Workspace
SSO/SCIM Email Mismatch — Microsoft Entra ID
SSO/SCIM Email Mismatch — Okta
SSO/SCIM Email Mismatch — Ping Identity
SSO-Einrichtung — OneLogin
Hat dies deine Frage beantwortet?