El aprovisionamiento JIT está disponible para planes de equipo, planes empresariales y organizaciones de consola. El aprovisionamiento SCIM está disponible solo para organizaciones empresariales y de consola.
Esta guía cubre cómo configurar el aprovisionamiento de usuarios y la asignación de roles para su organización de Claude o Claude Console.
Antes de comenzar: Esta guía asume que ya ha completado los pasos en Configurar inicio de sesión único (SSO), incluida la verificación de dominio y la configuración de SSO con su proveedor de identidad (IdP), y tiene un rol de administrador (consola) o propietario (Claude).
Paso 1: Elegir su modo de aprovisionamiento
Una vez que SSO esté configurado, debe decidir cómo se aprovisionarán los usuarios en su organización. Esto se controla mediante la configuración de Modo de aprovisionamiento en Organización configuración > Identidad y acceso.
Opciones de aprovisionamiento
Solo invitar es el predeterminado. Los usuarios se agregan y se eliminan directamente en la configuración de Claude o Console.
Aprobar automáticamente (JIT): Los usuarios asignados a su aplicación IdP de Anthropic se aprovisionan automáticamente cuando inician sesión por primera vez. Esta opción está disponible para todos los planes.
Sincronizar con SCIM: Los usuarios se aprovisionan y desaprovisionan automáticamente según las asignaciones en su IdP, sin requerir que inicien sesión primero. SCIM está disponible para planes empresariales y organizaciones de consola con su propia organización principal o unidas a una organización principal empresarial. SCIM no está disponible para planes de equipo u organizaciones de consola unidas a la organización principal de un plan de equipo.
Descripción general del comportamiento de aprovisionamiento
Use esta tabla para ayudar a decidir qué modo de aprovisionamiento es adecuado para su organización:
Modo | Aprovisionamiento | Cambios de rol y tipo de asiento | Eliminación |
Solo invitar | Los usuarios se agregan manualmente | Los roles y tipos de asiento se cambian manualmente | Los usuarios se eliminan manualmente |
Aprobar automáticamente (JIT) | Los usuarios asignados a su aplicación IdP se aprovisionan al iniciar sesión con el rol de usuario | Los roles y tipos de asiento se cambian manualmente | Se requiere eliminación manual: los usuarios eliminados de su aplicación IdP ya no pueden iniciar sesión, pero permanecen en la lista de usuarios hasta que intenten iniciar sesión o se eliminen |
JIT + asignaciones de grupo | Los usuarios en al menos un grupo asignado se aprovisionan al iniciar sesión con el rol de mayor permiso de sus pertenencias a grupos | Los roles y tipos de asiento se actualizan en el siguiente inicio de sesión según la pertenencia al grupo | Los usuarios sin acceso a grupos no pueden iniciar sesión pero permanecen en la lista hasta el intento de inicio de sesión o eliminación manual |
Sincronizar con SCIM | Los usuarios asignados a su aplicación IdP se aprovisionan automáticamente a todas las organizaciones unidas a su organización principal. | Los roles y tipos de asiento se cambian manualmente | Los usuarios eliminados de su aplicación IdP se eliminan automáticamente |
SCIM + asignaciones de grupo | Los usuarios en al menos un grupo asignado se aprovisionan automáticamente, con el rol apropiado, solo a la(s) organización(es) unida(s) a la organización principal donde se agregó ese grupo. | Los cambios de rol y tipos de asiento se propagan automáticamente según la pertenencia al grupo | Eliminación automática cuando se revoca el acceso al grupo |
Tanto JIT como SCIM se pueden combinar con Habilitar asignaciones de grupo para controlar la asignación de rol o nivel de asiento según la pertenencia al grupo IdP. Si selecciona cualquiera de estas opciones para su modo de aprovisionamiento, Habilitar asignaciones de grupo aparecerá dentro de esa sección:
Roles y niveles de asiento disponibles
Producto | Roles | Tipos de asiento |
Plan de equipo / Plan empresarial basado en asientos | Propietario, administrador, usuario | Premium, estándar |
Plan empresarial basado en uso (con dos tipos de asiento) | Propietario, administrador, usuario | Chat, Chat + Claude Code |
Plan empresarial basado en uso (tipo de asiento único) | Propietario, administrador, usuario | Empresa |
Consola | Admin, Desarrollador, Facturación, Usuario de Claude Code, Usuario | — |
Para obtener información sobre la compra de asientos o el ajuste de la asignación de asientos de tu plan, consulta nuestras guías para planes de equipo y planes Enterprise.
Paso 2: Configurar la sincronización de directorios SCIM (si usas SCIM)
Nota: Omite este paso si usas solo invitación o aprovisionamiento JIT.
Si elegiste SCIM como tu modo de aprovisionamiento, necesitas establecer la conexión entre tu Proveedor de Identidad y Anthropic antes de habilitarlo.
Navega a tu configuración de Identidad y acceso en Claude (claude.ai/admin-settings/identity) o Consola (platform.claude.com/settings/identity)
En la sección Configuración de acceso global, haz clic en "Configurar SCIM" (o "Administrar SCIM") junto a Sincronización de directorios (SCIM).
Sigue la guía de configuración de WorkOS para configurar SCIM en tu Proveedor de Identidad. Necesitarás copiar valores de WorkOS a la aplicación Anthropic de tu IdP.
‼️ Cuando llegues al paso de Grupo de IdP, pausa para revisar los Pasos 3 y 4 de esta guía, junto con las otras guías.
Para instrucciones de configuración específicas de IdP JIT / SCIM, consulta:
Ver IdPs adicionales aquí
Una vez que tu IdP esté conectado, continúa al Paso 3.
Paso 3: Configurar el modo de aprovisionamiento y habilitar asignaciones de grupos
En la sección Configuración de acceso global de tu configuración de Identidad y acceso, encuentra Modo de aprovisionamiento.
Selecciona tu opción elegida del menú desplegable:
Solo invitación: Los nuevos miembros solo pueden unirse si son invitados manualmente por un miembro existente. El acceso SSO por sí solo no los agregará a tu organización.
Aprobar automáticamente (JIT): Permite que las personas con acceso SSO se unan cuando inicien sesión por primera vez. Cada nuevo miembro usa uno de tus asientos disponibles.
Sincronizar con SCIM: Agrega o elimina miembros automáticamente a medida que cambia tu directorio. Tu organización siempre se mantiene actualizada.
Si seleccionaste "Aprobar automáticamente (JIT)" o "Sincronizar con SCIM", NO hagas clic en "Guardar cambios" inmediatamente. Primero debes asegurarte de que todos los usuarios estén asignados a tu aplicación Anthropic en tu IdP.
Una vez que hayas confirmado que todos los usuarios están asignados en tu IdP, puedes:
Haz clic en "Guardar cambios" para completar la configuración e iniciar el aprovisionamiento inicial, o
Activa Habilitar asignaciones de grupos y ve al Paso 4.
Importante: Guardar antes de que los usuarios estén asignados correctamente resultará en que esos usuarios sean desaprovisionados de la organización.
Paso 4: Configurar grupos en tu Proveedor de Identidad y asignar grupos a roles y tipos de asientos
Crea grupos en tu IdP para cada rol que desees asignar. A menos que estés en el plan Enterprise de un solo asiento, crea también grupos para cada tipo de asiento.
Aunque ya no hay requisitos de nomenclatura para estos grupos, recomendamos incluir algo en el nombre del grupo (por ejemplo,
anthropic-claude-oanthropic-console-) para que sean más fáciles de identificar.
Agrega usuarios a los grupos que creaste, asegurándote de que al menos un usuario (incluyéndote a ti) esté en un grupo que se asignará a un rol Admin (Consola) u Owner (Claude).
Vuelve a tu configuración de Identidad y acceso en Claude o Consola, y encuentra Modo de aprovisionamiento.
Activa Habilitar asignaciones de grupos (si aún no está activado):
En la sección Habilitar asignaciones de grupos, haz clic en "Agregar" junto a cada rol y selecciona el grupo correspondiente de tu IdP en el menú desplegable.
Nota: Al usar asignaciones de grupos, debes asignar todos los usuarios a un grupo basado en roles para asegurar que se les aprovisione una cuenta. Asignar usuarios a grupos basados en niveles de asientos es opcional.
Para todos los planes excepto Enterprise de un solo asiento: En la sección Asignar niveles de asientos a grupos de IdP (opcional), haz clic en "Agregar" junto a cada tipo de asiento y selecciona el grupo correspondiente de tu IdP. Si un usuario no está asignado a un grupo de tipo de asiento, se le asignará automáticamente al tipo más alto disponible.
Para Enterprise de un solo asiento: La asignación de tipo de asiento no se aplica. Todos los usuarios aprovisionados se asignan automáticamente a un asiento Enterprise, siempre que haya uno disponible en tu organización.
Verifica que todos los grupos necesarios estén asignados a los roles y tipos de asientos apropiados.
Haz clic en "Guardar cambios".
Nota: Microsoft Entra solo envía cambios SCIM cada 40 minutos, por lo que puede haber un retraso antes de que aparezcan los cambios. Puedes verificar qué usuarios están sincronizados desde tu IdP haciendo clic en "Administrar SCIM" y viendo el Directorio. Los usuarios en el Directorio serán aprovisionados a Claude / Consola.
Importante: Todos los usuarios que necesiten acceso deben estar asignados a los grupos apropiados antes de guardar tu configuración de asignaciones de grupos. Estos usuarios ya deberían estar asignados a tu aplicación Anthropic en tu IdP desde cuando habilitaste SSO.
Solución de problemas
¿Los usuarios asignados correctamente y que aparecen en el directorio no se están agregando a Claude como miembros?
Verifica que tengas suficientes asientos comprados y disponibles para agregar miembros a tu organización.
Comprueba el número de asientos disponibles que se muestran en Organización configuración > Facturación y compra asientos adicionales si es necesario (consulta nuestras guías para planes de equipo y planes Enterprise).
Una vez que tengas asientos disponibles, vuelve a la página de Identidad y acceso y haz clic en "Sincronizar ahora", junto a Sincronización de directorios (SCIM). Esto activará una sincronización para aprovisionar cuentas para esos usuarios que aún no se han agregado como miembros.
Los usuarios no están siendo aprovisionados con el rol correcto
Verifica que el usuario esté asignado al grupo correcto en tu IdP.
Verifica que el grupo esté asignado al rol correcto en tu configuración de Identidad y acceso.
Para JIT: El usuario debe cerrar sesión e iniciar sesión nuevamente para que los cambios de rol surtan efecto.
Para SCIM: Haz clic en "Sincronizar ahora" para forzar una sincronización inmediata, o espera el ciclo de sincronización automática.
Perdí acceso de Administrador/Propietario después de habilitar asignaciones de grupo
Esto ocurre cuando la persona que configura las asignaciones de grupo no está asignada a un grupo asignado a un rol de Administrador o Propietario, lo que causa que sus permisos se degraden a Usuario.
Para solucionarlo:
Opción 1: Pide a otro Administrador/Propietario que reinstaure tu rol
Contacta a otro Administrador o Propietario de tu organización.
Pídeles que naveguen a Configuración de la organización > Organización (para Claude) o Configuración > Miembros (para Console).
Pídeles que cambien tu rol de vuelta a Administrador o Propietario.
Opción 2: Soluciona mediante tu Proveedor de Identidad
En tu IdP, asígnate a ti mismo a un grupo con el prefijo correcto que se asigne a un rol de Administrador o Propietario.
Para JIT: Cierra sesión e inicia sesión nuevamente para recuperar el acceso.
Para SCIM: Pide a otro Administrador o Propietario que haga clic en "Sincronizar ahora" en la configuración de Identidad y acceso, o espera el ciclo de sincronización automática.