Zum Hauptinhalt springen

SSO/SCIM Email Mismatch — Ping Identity

Zusammenfassung: Claude verwendet E-Mail als primären Identifikator, um SSO-Anmeldungen mit bereitgestellten Plätzen abzugleichen. Ping Identity-Produkte (PingOne und PingFederate) verfügen über flexible, mehrstufige Attributkonfiguration. Wenn SCIM-Bereitstellung und SAML/OIDC-SSO unterschiedliche Benutzerattribute abrufen, blockiert ein Konflikt den Zugriff.

Symptome

Benutzer können beim Versuch, auf Claude for Enterprise über SSO zuzugreifen, eines oder mehrere der folgenden Probleme erleben:

  • „Kontoerstellung ist blockiert" — Der Benutzer authentifiziert sich über SSO, aber Claude kann kein übereinstimmendes bereitgestelltes Konto finden.

  • Landung auf einem kostenlosen persönlichen Konto — Wenn die Organisationserstellung nicht eingeschränkt ist, umgeht der Benutzer die Unternehmensorganisation vollständig.

  • „Bitte bestätigen Sie Ihre E-Mail"-Konflikt — Der SSO-Callback zeigt eine andere E-Mail an als die, die der Benutzer bei der Anmeldung eingegeben hat.

  • Claude Code-Authentifizierungsfehler — Die Claude Code CLI zeigt während des Authentifizierungsflusses einen E-Mail-Konflikt-Fehler an.

Wie dies geschieht

Ping Identity-Produkte ermöglichen granulare Attributzuordnung auf mehreren Ebenen (Verzeichnis, IdP-Adapter, SP-Connector, Anwendung). SCIM und SSO können jeweils unterschiedliche Pfade durch diese Ebenen durchlaufen, was zu unterschiedlichen E-Mail-Werten führt, die Claude erreichen:

Ping-Attribut

Typischer Wert

Häufig verwendet von

email (PingOne)

[email protected]

Empfohlen für SCIM und SAML/OIDC

username (PingOne)

testuser1 oder [email protected]

Standard-Anmeldekennzeichnung; kann sich von E-Mail unterscheiden

IdP-Adapter-Attribut (PingFederate)

Variiert je nach Adapter-Typ (LDAP, HTML-Formular usw.)

PingFederate-Identitätsquellen

LDAP-mail-Attribut

[email protected]

Verzeichnis-basierte E-Mail in PingFederate

LDAP-sAMAccountName oder uid

Kann Mitarbeiter-ID oder Kurzbenutzername sein

Manchmal versehentlich als E-Mail zugeordnet

Benutzerdefinierte Populationsattribute

Benutzerdefinierte Felder pro Umgebung

Erweiterte PingOne-Konfigurationen

Claude erfordert eine exakte Zeichenfolgenübereinstimmung zwischen der SCIM-bereitgestellten E-Mail und der SSO-bestätigten E-Mail.

PingFederate-Hinweis: Das Attributvertrag-System von PingFederate ist besonders komplex — E-Mail kann mehrere Ebenen durchlaufen (LDAP → IdP-Adapter → Adapter-Vertrag → SP-Connector → Assertion). Ein Konflikt auf einer beliebigen Ebene führt dazu, dass der falsche Wert Claude erreicht. Verfolgen Sie den Wert von Anfang bis Ende.

Diagnoseschritte

Schritt 1 — Konflikt bestätigen (PingOne)

  1. SCIM-Attributzuordnung überprüfen: Gehen Sie in PingOne Admin zu Connections → Applications → [Claude App] → Attribute Mappings. Suchen Sie das Attribut, das emails[primary].value oder email zugeordnet ist. Notieren Sie das als Quelle verwendete PingOne-Benutzerattribut.

  2. SSO-Attributzuordnung überprüfen: Gehen Sie in derselben App zur Registerkarte SAML oder OIDC und suchen Sie das Attribut oder den Anspruch, das/der email zugeordnet ist. Notieren Sie sein Quellattribut.

  3. Wenn SCIM und SSO auf unterschiedliche PingOne-Attribute verweisen, haben Sie den Konflikt bestätigt.

Schritt 1 (Alternative) — Konflikt bestätigen (PingFederate)

  1. Suchen Sie in der PingFederate Admin-Konsole die SP-Verbindung für Claude.

  2. Suchen Sie in Attribute Contract Fulfillment das email-Attribut und verfolgen Sie seine Quelle zurück zum IdP-Adapter oder LDAP-Datenspeicher.

  3. Überprüfen Sie separat den SCIM-Bereitstellungs-Connector oder den ausgehenden Bereitstellungskanal für Claude und verfolgen Sie die Quelle des gesendeten E-Mail-Attributs.

  4. Wenn die beiden Verfolgungen zu unterschiedlichen Verzeichnisattributen führen, haben Sie den Konflikt bestätigt.

Schritt 2 — Umfang des Problems ermitteln

Bestimmen Sie, ob dies ein betroffener Benutzer oder ein systemisches Problem ist:

  • Wenn die meisten oder alle bereitgestellten Benutzer denselben E-Mail-Format-Konflikt aufweisen, ist dies ein systemisches Attributzuordnungsproblem. Die Lösung liegt in der SCIM-Attributzuordnung Ihres IdP.

  • Wenn nur ein oder zwei Benutzer betroffen sind, ist das Problem wahrscheinlich spezifisch für diese Benutzerkonten. Überprüfen Sie ihr Benutzerprofil direkt.

Schritt 3 — Attributwerte für einen bestimmten Benutzer überprüfen

  1. PingOne: Gehen Sie zu Identities → Users → [User] und vergleichen Sie die Werte der Felder Username und Email.

  2. PingFederate mit LDAP: Überprüfen Sie den LDAP-Datensatz des Benutzers und vergleichen Sie mail, userPrincipalName, sAMAccountName und alle anderen Attribute, die in Ihrer Adapter-Zuordnung verwendet werden.

Lösung

PingOne — Beide Zuordnungen zum E-Mail-Attribut ausrichten

  1. Öffnen Sie in Connections → Applications → [Claude App] die Attribute Mappings.

  2. Für SCIM: Stellen Sie sicher, dass emails[primary].value dem Email Address-Attribut von PingOne zugeordnet ist.

  3. Für SAML/OIDC: Stellen Sie sicher, dass das email-Attribut oder der Anspruch auch dem Email Address-Attribut von PingOne zugeordnet ist.

  4. Speichern Sie die Änderungen.

PingFederate — Attributvertrag über alle Ebenen ausrichten

  1. Gehen Sie in der SP-Verbindung für Claude zu Attribute Contract Fulfillment.

  2. Suchen Sie das email-Attribut. Stellen Sie sicher, dass seine Quelle dasselbe LDAP- oder Datenspeicher-Attribut ist, das in Ihrem SCIM-Ausgangsbereitstellungskanal verwendet wird.

  3. Wenn Sie einen benutzerdefinierten IdP-Adapter verwenden, stellen Sie sicher, dass der Adapter-Vertrag das kanonische E-Mail-Attribut enthält und dass es korrekt zur SP-Verbindung zugeordnet ist.

  4. Aktualisieren Sie die SCIM-Bereitstellung, um dasselbe Quellattribut zu verwenden.

Vollständige Neusynchronisierung auslösen

Kritisch — Vollständige Synchronisierung erforderlich: Eine inkrementelle Synchronisierung aktualisiert nicht vorhandene Benutzer, nachdem Sie eine Attributzuordnung geändert haben. Sie müssen einen vollständigen Neustart des Bereitstellungszyklus auslösen.

  1. PingOne: Lösen Sie in den Bereitstellungseinstellungen der App einen vollständigen Bereitstellungszyklus aus. Möglicherweise müssen Sie die Bereitstellung deaktivieren und erneut aktivieren, um eine vollständige Neupushierung aller Benutzer zu erzwingen.

  2. PingFederate: Lösen Sie eine vollständige Synchronisierung in Ihrem ausgehenden Bereitstellungskanal aus. Überprüfen Sie Ihre Bereitstellungsprotokolle, um zu bestätigen, dass die aktualisierten E-Mail-Werte gesendet werden.

  3. Überprüfen Sie, dass aktualisierte E-Mail-Werte in Bereitstellungsprotokollen angezeigt werden, bevor Sie Benutzer auffordern, sich erneut anzumelden.

Bereinigung nach der Behebung

Nach der Korrektur der Attributzuordnung und dem Abschluss der vollständigen Synchronisierung benötigen Sie möglicherweise zusätzliche Bereinigung:

  • Rogue-Konten: Kontaktieren Sie Anthropic Support, um diese zu entfernen.

  • Ghost-Konten (Plätze mit falscher E-Mail): Kontaktieren Sie Anthropic Support, um diese Ghost-Konten zu entfernen.

  • Platzverfügbarkeit: Wenn Ghost-Konten alle vertraglich vereinbarten Plätze belegen, schlagen neue Anmeldungen fehl. Kontaktieren Sie den Support.

  • Erneutes Hinzufügen betroffener Benutzer: Nach dem Entfernen von Ghost-Konten müssen Benutzer möglicherweise erneut eingeladen oder bereitgestellt werden.

Zukünftige Vorkommen verhindern: Aktivieren Sie „Organisationserstellung einschränken" in Ihren Unternehmenseinstellungen.

Überprüfung

  1. Überprüfen Sie eine Stichprobe bereitgestellter Benutzer — bestätigen Sie, dass ihre E-Mail im Bereitstellungsprotokoll Ihres IdP dem E-Mail-Format entspricht, das SSO sendet.

  2. Bitten Sie einen betroffenen Benutzer, Browser-Cookies für claude.ai zu löschen, und melden Sie sich dann über SSO an.

  3. Bestätigen Sie, dass Benutzer nicht versehentlich kostenlose Konten erstellen.

  4. Wenn Claude Code betroffen war, lassen Sie den Benutzer claude auth login --enterprise erneut ausführen und bestätigen Sie, dass die E-Mail mit seinem Unternehmensplatz übereinstimmt.

Häufige Fallstricke

Fallstrick

Lösung

PingOne-username-Feld wird statt email verwendet

Wechseln Sie die SCIM-Zuordnung zum Email Address-Attribut von PingOne.

PingFederate-Attributkonflikt über Vertragsebenen

Verfolgen Sie das E-Mail-Attribut von Anfang bis Ende: LDAP-Quelle → IdP-Adapter → Adapter-Vertrag → SP-Connector → Assertion.

LDAP-sAMAccountName oder uid als E-Mail-Quelle zugeordnet

Verwenden Sie stattdessen das LDAP-mail-Attribut.

Inkrementelle Bereitstellungssynchronisierung aktualisiert vorhandene Benutzer nicht

Nach dem Ändern von Attributzuordnungen ist eine vollständige Neusynchronisierung erforderlich.

Attributvertrag in PingFederate aktualisiert, aber SCIM-Connector nicht aktualisiert

Sowohl SP-Verbindung als auch ausgehender SCIM-Bereitstellungskanal müssen unabhängig aktualisiert werden.

E-Mails in SCIM aktualisiert, aber Benutzer kann sich immer noch nicht anmelden

Überprüfen Sie auf Rogue-Organisationen oder Ghost-Konten. Löschen Sie Browser-Cookies und versuchen Sie es erneut.

Wann Sie Anthropic Support kontaktieren sollten

  • SCIM- und SSO-Attribute erscheinen identisch, aber Benutzer können immer noch nicht auf ihre Plätze zugreifen.

  • Sie müssen bestätigen, welche E-Mail Claude während der SCIM-Bereitstellung für bestimmte Benutzer aufgezeichnet hat.

  • Sie benötigen Hilfe beim Bereinigen von Ghost-Konten oder Rogue-Organisationen.

  • Benutzer erhalten einen Fehler „Plätze voll", obwohl Ihr Vertrag verfügbare Plätze hat.

Kontaktieren Sie [email protected] mit der Domäne Ihrer Organisation, der E-Mail-Adresse des betroffenen Benutzers und Screenshots Ihrer Attributzuordnungen.

Verwandte Artikel
SSO/SCIM Email Mismatch — Google Workspace
SSO/SCIM Email Mismatch — Microsoft Entra ID
SSO/SCIM Email Mismatch — Okta
SSO/SCIM Email Mismatch — OneLogin
SSO-Einrichtung — Ping Identity
Hat dies deine Frage beantwortet?