Diese Anleitung führt Sie durch die Einrichtung rollenbasierter Berechtigungen für Ihre Enterprise-Organisation. Dies ermöglicht es Ihnen, zu kontrollieren, auf welche Funktionen bestimmte Teams oder Gruppen von Mitgliedern zugreifen können, anstatt allen die gleichen Berechtigungen zu erteilen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie mit Folgendem vertraut sind:
Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten — wie Sie Gruppen erstellen und verwalten
Benutzerdefinierte Rollen in Enterprise-Plänen verwalten — wie benutzerdefinierte Rollen und Funktionen funktionieren
Bevor Sie beginnen
Sie benötigen Owner- oder Primary Owner-Zugriff auf Ihre Enterprise-Organisation.
Melden Sie sich ab und melden Sie sich wieder bei Ihrem Claude-Konto an, bevor Sie beginnen. Dies stellt sicher, dass die aktualisierte Admin-Einstellungen-Seitenleiste mit den neuen Seiten „Gruppen" und „Benutzerdefinierte Rollen" unter „Personen" angezeigt wird."
Sichern Sie Ihre Mitgliederliste. Exportieren Sie eine CSV-Datei Ihrer aktuellen Mitglieder aus Organisationseinstellungen > Mitglieder, bevor Sie Änderungen vornehmen. Falls während der Migration etwas schiefgeht, können Sie anhand dieser Liste den Zugriff wiederherstellen. Siehe Mitglieder in Team- und Enterprise-Plänen verwalten.
Dual-Seat-Pläne: Wenn Ihre Organisation einen Dual-Seat-Enterprise-Plan hat (mit Chat- und Chat + Claude Code-Seats), überschreiben benutzerdefinierte Rollen die Beschränkungen auf Seat-Ebene nicht. Ein Mitglied, das einem Chat-only-Seat zugewiesen ist, kann nicht auf Claude Code zugreifen, auch wenn seine benutzerdefinierte Rolle dies ermöglicht. Planen Sie Ihre Rollenstruktur unter Berücksichtigung der Seat-Zuweisungen.
Wenn Sie planen, Identity Provider (IdP)-Gruppen von Okta, Entra ID oder einem anderen Anbieter zu verwenden, stellen Sie sicher, dass die SCIM-Verzeichnissynchronisierung konfiguriert ist. Siehe JIT- oder SCIM-Bereitstellung einrichten.
Hinweis zum Bereitstellungsmodus: Wenn Ihre Organisation nur Einladungen oder JIT-Bereitstellung verwendet, können Sie nur manuell erstellte Gruppen für RBAC verwenden. SCIM-synchronisierte Gruppen werden in diesen Modi nicht unterstützt.
Planung Ihrer Rollenstruktur
Bevor Sie etwas erstellen, entscheiden Sie, auf welche Funktionen jedes Team oder jede Gruppe von Mitgliedern Zugriff haben sollte. Hier sind drei häufige Muster:
Basis- plus additive Rollen
Dies ist der empfohlene Ansatz für die meisten Organisationen. Erstellen Sie eine Rolle „Standardzugriff
Dieses Muster ist flexibel, da Berechtigungen additiv sind – die Kombination einer Basisrolle mit additiven Rollen setzt sich sauber zusammen, ohne Konflikte zu verursachen.
Tier-basierte Rollen
Erstellen Sie unterschiedliche Tiers: „Vollzugriff
Abteilungsbasierte Rollen
Erstellen Sie Rollen, die Abteilungen zuordnen: „Engineering
Schritt 1: Überprüfen Sie Ihre aktuellen Einstellungen
Überprüfen Sie, welche Funktionen derzeit auf Organisationsebene in Organisationseinstellungen > Funktionen aktiviert oder deaktiviert sind.
Gehen Sie zu Organisationseinstellungen > Organisation, um Ihre Mitgliederliste zu exportieren oder zu überprüfen.
Notieren Sie die aktuelle integrierte Rolle jedes Mitglieds (Benutzer, Admin oder Owner).
Entscheiden Sie für jedes Team oder jede Abteilung, auf welche Funktionen sie Zugriff benötigen.
Denken Sie daran: Jede Funktion, die Sie pro Gruppe kontrollieren möchten, muss auf Organisationsebene aktiviert sein. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann keine benutzerdefinierte Rolle Zugriff darauf gewähren.
Wichtig: Im Gegensatz zu Mitgliedern mit der Rolle „Benutzer
Schritt 2: Erstellen Sie benutzerdefinierte Rollen
Erstellen Sie Ihre benutzerdefinierten Rollen, bevor Sie Funktionen aktivieren oder Mitglieder migrieren. Dies stellt sicher, dass Ihre Rollen bereit sind, den Zugriff durchzusetzen, sobald Funktionen aktiviert werden.
Navigieren Sie zu Organisationseinstellungen > Benutzerdefinierte Rollen.
Klicken Sie auf „+ Rolle hinzufügen"."
Benennen Sie die Rolle und schalten Sie die entsprechenden Funktionen um.
Klicken Sie auf „Rolle hinzufügen"."
Wiederholen Sie dies für jede Rolle in Ihrem Plan.
Siehe Benutzerdefinierte Rollen in Enterprise-Plänen verwalten für Details zu verfügbaren Funktionen.
Schritt 3: Erstellen Sie Gruppen und weisen Sie Rollen zu
Navigieren Sie zu Organisationseinstellungen > Gruppen.
Klicken Sie auf „Gruppe hinzufügen
Fügen Sie Mitglieder zu den entsprechenden Gruppen hinzu.
Weisen Sie jede Gruppe den benutzerdefinierten Rollen zu, die Sie in Schritt 2 erstellt haben.
Wenn Sie SCIM-Verzeichnissynchronisierung verwenden, können Sie Gruppen von Ihrem Identity Provider synchronisieren, anstatt sie manuell zu erstellen. Weitere Informationen zur SCIM-Gruppensynchronisierung finden Sie unter Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten.
Mehrere Organisationen unter derselben übergeordneten Organisation: Gruppen werden auf der Ebene der übergeordneten Organisation verwaltet und werden an alle untergeordneten Organisationen weitergegeben. Möglicherweise sehen Sie Mitglieder aus anderen Organisationen in einer Gruppe aufgelistet – dies bedeutet nicht, dass sie Zugriff auf Ihre Organisation haben. Benutzerdefinierte Rollen, die einer Gruppe zugewiesen sind, gewähren Funktionen nur Mitgliedern, die Teil Ihrer spezifischen Organisation sind.
Schritt 4: Überprüfen Sie Gruppen- und Rollenzuweisungen
Bevor Sie Mitglieder zu benutzerdefinierten Rollen migrieren, bestätigen Sie, dass jedes Mitglied, das Sie migrieren möchten, in mindestens einer Gruppe ist, die einer benutzerdefinierten Rolle zugewiesen ist. Mitglieder, die ohne Gruppen- oder Rollenabdeckung migriert werden, verlieren den Zugriff auf alle verwalteten Funktionen.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um Mitglieder zu identifizieren, die keiner Gruppe zugewiesen sind.
Alternativ können Sie auf „CSV exportieren
Fügen Sie alle nicht zugewiesenen Mitglieder zu den entsprechenden Gruppen hinzu, bevor Sie fortfahren.
Schritt 5: Mitglieder zu benutzerdefinierten Rollen migrieren
Damit benutzerdefinierte Rollenfunktionen wirksam werden, müssen Mitglieder ihre Rolle auf „Benutzerdefinierte Rollen" setzen. Mitglieder mit den Rollen „Benutzer", „Admin" oder „Eigentümer" erhalten ihre Berechtigungen direkt von diesen Rollen, nicht von benutzerdefinierten Rollen.
Wichtig: Führen Sie diesen Schritt nur aus, nachdem Sie Ihre benutzerdefinierten Rollen erstellt, Ihre Gruppen erstellt und überprüft haben, dass alle Mitglieder Gruppen zugewiesen sind (Schritte 2–4). Mitglieder, die zu benutzerdefinierten Rollen verschoben werden, bevor die Einrichtung abgeschlossen ist, verlieren sofort den Zugriff auf alle verwalteten Funktionen.
Wählen Sie den Migrationspfad basierend darauf, ob Ihre Organisation bereits Gruppenzuordnungen aktiviert hat:
Pfad A: Gruppenzuordnungen aktivieren (nur wenn bereits in Verwendung)
Verwenden Sie diesen Pfad nur, wenn Ihre Organisation bereits Gruppenzuordnungen für die Rollenzuweisung aktiviert hat. Wenn Sie diese Einstellung nicht bereits verwenden, fahren Sie mit Pfad B fort.
Navigieren Sie zu Organisationseinstellungen > Identität und Zugriff.
Weisen Sie im Abschnitt „Rollenzuordnungen
Speichern Sie Ihre Änderungen. Mitglieder in diesen IdP-Gruppen werden bei der nächsten Synchronisierung zu benutzerdefinierten Rollen migriert.
Mitglieder in IdP-Gruppen, die benutzerdefinierten Rollen zugeordnet sind, folgen den Berechtigungen der benutzerdefinierten Rollen, die ihren Gruppen in Claude zugewiesen sind. Mitglieder in IdP-Gruppen, die dem Benutzer zugeordnet sind, folgen den Organisationsfähigkeitseinstellungen. Wenn ein Mitglied in Gruppen über beide Zuordnungen hinweg ist, haben benutzerdefinierte Rollen Vorrang.
Pfad B: Massenbearbeitungstool
Verwenden Sie diesen Pfad, wenn Ihre Organisation Gruppenzuordnungen nicht aktiviert hat.
Warnung: Wenn Sie Gruppenzuordnungen nicht bereits aktiviert haben, aktivieren Sie diese nicht während der RBAC-Einrichtung. Das Aktivieren ohne vorherige Zuweisung aller Mitglieder zu zugeordneten Gruppen kann dazu führen, dass Mitglieder den Zugriff auf Ihre Organisation verlieren.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um die Mitglieder auszuwählen, die Sie migrieren möchten.
Verwenden Sie das Massenbearbeitungstool in der Tabelle „Mitglieder
Wir empfehlen, zuerst eine Pilotgruppe zu migrieren – ein Team oder eine Abteilung – und deren Zugriff zu überprüfen, bevor Sie auf den Rest der Organisation erweitern.
Schrittweise Einführung
Unabhängig davon, welchen Pfad Sie verwenden, empfehlen wir, in Phasen zu migrieren:
Beginnen Sie mit einer Pilotgruppe aus einem Team oder einer Abteilung.
Überprüfen Sie nach der Migration, ob die Pilotgruppe basierend auf ihren Gruppen- und Rollenzuweisungen den richtigen Funktionszugriff hat.
Wenn etwas nicht stimmt, schalten Sie die betroffenen Mitglieder auf ihre vorherige Rolle zurück, während Sie Anpassungen vornehmen.
Erweitern Sie auf weitere Mitglieder, sobald Sie bestätigt haben, dass die Einrichtung funktioniert.
Schritt 6: Funktionen auf Organisationsebene aktivieren
Aktivieren Sie Funktionen auf Organisationsebene nur, nachdem Rollen, Gruppen und Mitgliedermigration abgeschlossen sind. Dies stellt sicher, dass benutzerdefinierte Rollenfunktionen bereits vorhanden sind, ohne dass es einen Zeitraum gibt, in dem nicht autorisierte Mitglieder auf eine Funktion zugreifen könnten.
Für jede Funktion, die Sie pro Gruppe steuern möchten:
Navigieren Sie zur Einstellungsseite der Funktion in Organisationseinstellungen (z. B. Organisationseinstellungen > Cowork).
Aktivieren Sie die Funktion auf Organisationsebene.
Das Aktivieren einer Funktion auf Organisationsebene bedeutet nicht, dass jeder sie erhält – benutzerdefinierte Rolleneberechtigungen sind bereits vorhanden, um zu steuern, wer sie verwenden kann. Denken Sie an den Schalter auf Organisationsebene als „Funktion für rollenbasierte Zuweisung verfügbar machen" statt „für alle aktivieren".
Schritt 7: Überprüfen und überwachen
Stichprobenprüfung des Zugriffs: Überprüfen Sie einige Mitglieder aus jeder Gruppe, um zu bestätigen, dass sie die richtigen Funktionen sehen.
Testen Sie den eingeschränkten Status: Melden Sie sich als Mitglied an (oder fragen Sie), das keine Funktion wie Cowork haben sollte. Es sollte ausgegraut angezeigt werden mit der Meldung „Wenden Sie sich an Ihren Administrator, um Zugriff auf diese Funktion anzufordern"."
Testen Sie den gewährten Status: Bestätigen Sie, dass ein Mitglied, das die Funktion haben sollte, sie normal funktionierend sieht.
Überprüfen Sie Grenzfälle: Testen Sie Mitglieder in mehreren Gruppen, Mitglieder ohne Gruppe und neue Mitglieder, die sich über SSO anmelden.
Berechtigungsänderungen können bis zu fünf Minuten dauern, um vollständig über die Plattform synchronisiert zu werden. Mitglieder müssen möglicherweise ihren Browser aktualisieren, um den aktualisierten Zugriff zu sehen.
Verwendung von SCIM mit rollenbasierten Funktionen
SCIM verbindet sich mit Ihren rollenbasierten Funktionen durch zwei Mechanismen, die zusammenarbeiten.
IdP-Gruppen-zu-Rollen-Zuordnung
Dies steuert, welche integrierte Rolle ein Mitglied erhält, wenn es bereitgestellt wird. Ordnen Sie Ihre IdP-Gruppen „Benutzerdefinierten Rollen
Navigieren Sie zu Organisationseinstellungen > Identität und Zugriff.
Ordnen Sie in der Tabelle „Rollenzuordnungen" Ihre IdP-Gruppen „Benutzerdefinierten Rollen" zu.
Gruppensynchronisierung
Dies zieht Ihre IdP-Gruppen in Claude, damit sie benutzerdefinierten Rollen zugewiesen werden können.
Navigieren Sie zu Organisationseinstellungen > Gruppen
Klicken Sie im Abschnitt SCIM-Synchronisierung auf „Nach Updates suchen"."
Wenn Sie aufgefordert werden, Gruppen, Mitglieder oder Beides zu synchronisieren, wählen Sie nur Gruppen. Das Synchronisieren von Mitgliedern kann die Bereitstellung und den Mitgliederzugriff beeinflussen.
Ihre IdP-Gruppen werden als SCIM-bezogene Gruppen in der Liste angezeigt.
Weisen Sie SCIM-Gruppen benutzerdefinierten Rollen zu, genau wie manuell erstellte Gruppen.
Pushen Sie in Ihrem IdP nur die Gruppen, die Sie tatsächlich für RBAC oder Ausgabenlimits verwenden möchten. Das Synchronisieren aller IdP-Gruppen kann das Laden von Seiten im Abschnitt „Gruppen" verlangsamen."
Hinweis: Benutzerdefinierte Rolleneberechtigungen gelten nur für Mitglieder mit „Benutzerdefinierten Rollen
Laufende Verwaltung mit SCIM
Um einem Mitglied Zugriff auf eine Funktion zu gewähren, fügen Sie es zur entsprechenden IdP-Gruppe hinzu. Bei der nächsten Synchronisierung erhält es die benutzerdefinierte Rolle, die dieser Gruppe zugewiesen ist.
Um den Zugriff zu widerrufen, entfernen Sie das Mitglied aus der IdP-Gruppe. Bei der nächsten Synchronisierung wird die Berechtigung entfernt.
Klicken Sie im Bereich „Gruppen" auf „SCIM-Synchronisierung", um eine sofortige Synchronisierung zu erzwingen, anstatt auf die nächste geplante Synchronisierung zu warten.
Rollback-Plan
Wenn Sie feststellen, dass Ihre Rollenstruktur nach der Migration falsch konfiguriert ist:
Deaktivieren Sie alle Funktionen auf Organisationsebene, die im Rahmen der Migration aktiviert wurden.
Ändern Sie betroffene Mitglieder zurück zu ihrer vorherigen integrierten Rolle (z. B. Benutzer).
Sie erhalten sofort die statischen Berechtigungen aus dieser Rolle zurück, und benutzerdefinierte Rollenberechtigung werden nicht mehr angewendet.
Passen Sie Rollen und Gruppen nach Bedarf an und führen Sie dann die Migration erneut durch.
Wenn Sie während der Einrichtung Gruppenzuordnungen aktiviert haben und den Admin-Zugriff verloren haben, führen Sie die Wiederherstellungsschritte in SCIM-Bereitstellung einrichten unter „Ich habe den Admin-/Eigentümerzugriff nach Aktivierung von Gruppenzuordnungen verloren" durch."
Häufig gestellte Fragen
Muss ich eine Funktion auf Organisationsebene aktivieren, wenn ich sie nur einigen Mitgliedern zur Verfügung stellen möchte?
Ja. Der Schalter auf Organisationsebene muss aktiviert sein, damit benutzerdefinierte Rollen den Zugriff pro Mitglied steuern können. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann niemand darauf zugreifen, unabhängig von seiner Rolle. Stellen Sie sich das als Hauptschalter vor – benutzerdefinierte Rollen steuern, wer darunter Zugriff erhält.
Was passiert, wenn ein Mitglied mit der Einstellung „Benutzerdefinierte Rollen" in keiner Gruppe ist?"
Es hat keine Berechtigungen für benutzerdefinierte Rollen, daher sind alle Funktionen, die Berechtigungen erfordern, ausgegraut oder verborgen. Stellen Sie sicher, dass jedes Mitglied mit der Einstellung „Benutzerdefinierte Rollen
Kann ich sowohl integrierte als auch benutzerdefinierte Rollen verwenden?
Ja. Mitglieder mit den Rollen „Benutzer
Was ist, wenn ein Mitglied in zwei Gruppen mit unterschiedlichen Rollen ist?
Berechtigungen sind additiv. Wenn eine Rolle in der Kette eines Mitglieds eine Funktion gewährt, hat es diese. Sie können eine Rolle nicht verwenden, um eine Berechtigung zu entfernen, die von einer anderen Rolle gewährt wurde.
Kann ich SCIM-Gruppen und manuelle Gruppen zusammen verwenden?
Ja. Beide Typen können benutzerdefinierten Rollen zugewiesen werden. Der Unterschied besteht darin, dass die SCIM-Gruppenmitgliedschaft in Ihrem Identitätsanbieter verwaltet wird, während die manuelle Gruppenmitgliedschaft in den Organisationseinstellungen von Claude verwaltet wird.
Sind Eigentümer und Primäre Eigentümer von Berechtigungen für benutzerdefinierte Rollen betroffen?
Nein. Eigentümer und Primäre Eigentümer haben immer vollständigen Zugriff auf alle Funktionen.
Wie funktioniert dies über übergeordnete und untergeordnete Organisationen hinweg?
Gruppen und SCIM-Synchronisierung werden auf der Ebene der übergeordneten Organisation verwaltet und sind in allen untergeordneten Organisationen freigegeben. Rollen- und Ausgabenlimitierungszuweisungen werden unabhängig in jeder untergeordneten Organisation konfiguriert – Änderungen in einer untergeordneten Organisation beeinflussen andere nicht. Änderungen der Gruppenmitgliedschaft und SCIM-Neusynchronisierungen werden in allen untergeordneten Organisationen unter derselben übergeordneten Organisation verbreitet.