Ir al contenido principal

Configurar aprovisionamiento JIT o SCIM

Esta guía cubre cómo configurar el aprovisionamiento de usuarios y la asignación de roles para tu organización de Claude o Claude Console.

El aprovisionamiento JIT está disponible para planes Team, planes Enterprise y organizaciones Console. El aprovisionamiento SCIM está disponible solo para organizaciones Enterprise y Console.

Antes de comenzar: Esta guía asume que ya has completado los pasos en Configurar inicio de sesión único (SSO), incluida la verificación de dominio y la configuración de SSO con tu Proveedor de Identidad (IdP), y que tienes un rol de Admin (Console) u Owner (Claude).

Paso 1: Elige tu modo de aprovisionamiento

Una vez que SSO esté configurado, necesitas decidir cómo se aprovisionarán los usuarios en tu organización. Esto se controla a través de la sección Aprovisionamiento de usuarios en Configuración de organización > Organización y acceso.

Opciones de aprovisionamiento

Solo invitar es la opción predeterminada. Los usuarios se agregan y se eliminan directamente en la configuración de Claude o Console.

Just-in-time (JIT): Los usuarios asignados a tu aplicación IdP de Anthropic se aprovisionan automáticamente cuando inician sesión por primera vez. Esta opción está disponible para todos los planes.

Sincronización de directorio SCIM: Los usuarios se aprovisionan y desaprovisionan automáticamente según las asignaciones en tu IdP, sin requerir que inicien sesión primero. SCIM está disponible para planes Enterprise y organizaciones Console con su propia organización principal o unidas a una organización principal Enterprise. SCIM no está disponible para planes Team u organizaciones Console unidas a la organización principal de un plan Team.

Descripción general del comportamiento de aprovisionamiento

Usa esta tabla para ayudarte a decidir qué modo de aprovisionamiento es el adecuado para tu organización:

Modo

Aprovisionamiento

Cambios de rol y tipo de asiento

Eliminación

Solo invitar

Los usuarios se agregan manualmente

Los roles y tipos de asiento se cambian manualmente

Los usuarios se eliminan manualmente

Just-in-time (JIT)

Los usuarios asignados a tu aplicación IdP se aprovisionan al iniciar sesión con el rol de Usuario

Los roles y tipos de asiento se cambian manualmente

Se requiere eliminación manual: los usuarios eliminados de tu aplicación IdP ya no pueden iniciar sesión, pero permanecen en la lista de usuarios hasta que intenten iniciar sesión o sean eliminados

JIT + asignaciones de grupo

Los usuarios en al menos un grupo asignado se aprovisionan al iniciar sesión con el rol de mayor permiso de sus membresías de grupo

Los roles y tipos de asiento se actualizan en el próximo inicio de sesión según la membresía del grupo

Los usuarios sin acceso a grupo no pueden iniciar sesión pero permanecen en la lista hasta un intento de inicio de sesión o eliminación manual

Sincronización de directorio SCIM

Los usuarios asignados a tu aplicación IdP se aprovisionan automáticamente a todas las organizaciones unidas a tu organización principal.

Los roles y tipos de asiento se cambian manualmente

Los usuarios eliminados de tu aplicación IdP se eliminan automáticamente

SCIM + asignaciones de grupo

Los usuarios en al menos un grupo asignado se aprovisionan automáticamente, con el rol apropiado, solo a la(s) organización(es) unida(s) a la organización principal donde se agregó ese grupo.

Los cambios de rol y tipos de asiento se propagan automáticamente según la membresía del grupo

Eliminación automática cuando se revoca el acceso al grupo

Tanto JIT como SCIM se pueden combinar con Habilitar asignaciones de grupo para controlar la asignación de rol o nivel de asiento según la membresía del grupo IdP. Si seleccionas cualquiera de estas opciones para tu modo de aprovisionamiento, Habilitar asignaciones de grupo aparecerá dentro de la sección Aprovisionamiento de usuarios:

Roles y niveles de asiento disponibles

Producto

Roles

Tipos de asiento

Plan Team

Owner, Admin, User

Premium, Standard

Plan Enterprise basado en asientos

Owner, Admin, User, Custom

Premium, Standard

Plan Enterprise basado en uso (con dos tipos de asiento)

Owner, Admin, User, Custom

Chat, Chat + Claude Code

Plan Enterprise basado en uso (tipo de asiento único)

Propietario, Administrador, Usuario, Personalizado

Enterprise

Consola

Administrador, Desarrollador, Desarrollador Limitado, Facturación, Usuario de Claude Code, Usuario

Para obtener información sobre la compra de asientos o el ajuste de la asignación de asientos de su plan, consulte nuestras guías para planes de equipo y planes Enterprise.

Paso 2: Configurar sincronización de directorio SCIM (si usa SCIM)

Nota: Omita este paso si está utilizando Solo invitación o aprovisionamiento JIT.

Si eligió SCIM como su modo de aprovisionamiento, debe establecer la conexión entre su Proveedor de Identidad y Anthropic antes de habilitarlo.

  1. Navegue a su configuración de Organización y acceso en Claude (claude.ai/admin-settings/organization) o su configuración de Identidad y acceso en Consola (platform.claude.com/settings/identity)

  2. En la sección Aprovisionamiento de usuarios, haga clic en "Configurar SCIM" (o "Administrar SCIM") junto a Sincronización de directorio SCIM.

  3. Siga la guía de configuración de WorkOS para configurar SCIM en su Proveedor de Identidad. Deberá copiar valores de WorkOS en la aplicación Anthropic de su IdP.

‼️ Cuando llegue al paso Grupo de IdP, pause para revisar los Pasos 3 y 4 de esta guía, junto con las otras guías.

Para instrucciones de configuración específicas de IdP JIT / SCIM, consulte:

Una vez que su IdP esté conectado, continúe con el Paso 3.

Paso 3: Configurar modo de aprovisionamiento y habilitar asignaciones de grupos

  1. Encuentre la sección Aprovisionamiento de usuarios de su configuración.

  2. Seleccione su opción elegida:

    1. Solo invitación: Los nuevos miembros solo pueden unirse si son invitados manualmente por un miembro existente. El acceso SSO por sí solo no los agregará a su organización.

    2. Just-in-time (JIT): Permita que las personas con acceso SSO se unan cuando inicien sesión por primera vez. Cada nuevo miembro utiliza uno de sus asientos disponibles.

    3. Sincronización de directorio SCIM: Agregue o elimine miembros automáticamente a medida que cambia su directorio. Su organización siempre se mantiene actualizada.

  3. Si seleccionó "Just-in-time (JIT)" o "Sincronización de directorio SCIM", NO haga clic en "Guardar cambios" inmediatamente. Primero debe asegurarse de que todos los usuarios estén asignados a su aplicación Anthropic en su IdP.

  4. Una vez que haya confirmado que todos los usuarios están asignados en su IdP, puede:

    1. Haga clic en "Guardar cambios" para completar la configuración e iniciar el aprovisionamiento inicial, o

    2. Active Habilitar asignaciones de grupos y vaya al Paso 4.

Importante: Guardar antes de que los usuarios estén asignados correctamente resultará en que esos usuarios sean desaprovisionados de la organización.

Paso 4: Configurar grupos en su Proveedor de Identidad y asignar grupos a roles y tipos de asientos

  1. Cree grupos en su IdP para cada rol que desee asignar. A menos que esté en el plan Enterprise de asiento único, cree también grupos para cada tipo de asiento.

    1. Aunque ya no hay requisitos de nomenclatura para estos grupos, recomendamos incluir algo en el nombre del grupo (por ejemplo, anthropic-claude- o anthropic-console-) para que sean más fáciles de identificar.

  2. Agregue usuarios a los grupos que creó, asegurándose de que al menos un usuario (incluido usted) esté en un grupo que se asignará a un rol de Administrador (Consola) o Propietario (Claude).

  3. Vuelva a su configuración de Organización y acceso o Identidad y acceso en Claude o Consola, y encuentre Aprovisionamiento de usuarios.

  4. Active Habilitar asignaciones de grupos (si aún no está activado):

  5. En la sección Habilitar asignaciones de grupos, haga clic en "Agregar" junto a cada rol y seleccione el grupo correspondiente de su IdP en el menú desplegable.

    1. Al usar asignaciones de grupos, debe asignar todos los usuarios a un grupo basado en roles para asegurar que se les aprovisione una cuenta. Asignar usuarios a grupos basados en niveles de asientos es opcional.

    2. Puede asignar un grupo de IdP al rol "Personalizado". Los miembros asignados a este rol no tienen permisos predeterminados; su acceso está determinado completamente por los roles personalizados asignados a sus grupos en Claude.

  6. Para todos los planes excepto Enterprise de asiento único: En la sección Asignar niveles de asientos a grupos de IdP (opcional), haga clic en "Agregar" junto a cada tipo de asiento y seleccione el grupo correspondiente de su IdP. Si un usuario no está asignado a un grupo de tipo de asiento, se le asignará automáticamente al tipo más alto disponible.

    1. Para Enterprise de asiento único: La asignación de tipo de asiento no se aplica. Todos los usuarios aprovisionados se asignan automáticamente a un asiento Enterprise, siempre que haya uno disponible en su organización.

  7. Verifique que todos los grupos necesarios estén asignados a los roles y tipos de asientos apropiados.

  8. Haga clic en "Guardar cambios".

    1. Nota: Microsoft Entra solo envía cambios SCIM cada 40 minutos, por lo que puede haber un retraso antes de que aparezcan los cambios. Puede verificar qué usuarios están sincronizados desde su IdP haciendo clic en "Administrar SCIM" y viendo el Directorio. Los usuarios en el Directorio serán aprovisionados a Claude / Consola.

Importante: Todos los usuarios que necesiten acceso deben estar asignados a los grupos apropiados antes de guardar su configuración de asignaciones de grupos. Estos usuarios ya deberían estar asignados a su aplicación Anthropic en su IdP desde cuando habilitó SSO.

Cómo funciona el rol de Propietario Principal con SCIM

  • El Propietario Principal de tu organización está exento de la reconciliación SCIM. Si la cuenta del Propietario Principal no está presente en el directorio del IdP o no es miembro de ningún grupo asignado a un rol, se omitirá cuando SCIM se sincronice. La membresía y el rol del Propietario Principal se conservan.

  • Esta exención se aplica solo al rol único de Propietario Principal. Los roles de Propietario y Administrador no están exentos y deben estar en un grupo asignado a un rol, o se eliminarán cuando se habiliten las asignaciones de grupos SCIM.

  • El rol de Propietario Principal no se puede asignar a través de asignaciones de grupos SCIM. Solo se puede transferir manualmente desde Configuración de la organización > Miembros. Establece tu Propietario Principal previsto antes de habilitar SCIM.

  • El Propietario Principal no está exento de la aplicación de inicio de sesión SSO. La aplicación de SSO se realiza por dominio de correo electrónico; si el correo electrónico del Propietario Principal está en un dominio aplicado, debe autenticarse a través de SSO.

Solución de problemas

¿Los usuarios asignados correctamente y que aparecen en el directorio no se están agregando a Claude como miembros?

Verifica que tengas suficientes asientos comprados y disponibles para agregar miembros a tu organización.

  1. Comprueba el número de asientos disponibles que se muestran en Configuración de la organización > Organización y acceso y compra asientos adicionales si es necesario (consulta nuestras guías para planes de equipo y planes empresariales).

  2. Una vez que tengas asientos disponibles, vuelve a la página Organización y acceso y haz clic en "Sincronizar ahora", junto a Sincronización de directorio (SCIM). Esto activará una sincronización para aprovisionar cuentas para los usuarios que aún no se han agregado como miembros.

Los usuarios no se están aprovisionando con el rol correcto

  1. Verifica que el usuario esté asignado al grupo correcto en tu IdP.

  2. Verifica que el grupo esté asignado al rol correcto en tu configuración de Organización y acceso.

  3. Para JIT: El usuario debe cerrar sesión e iniciar sesión nuevamente para que los cambios de rol surtan efecto.

  4. Para SCIM: Haz clic en "Sincronizar" para solicitar una sincronización inmediata, o espera el ciclo de sincronización automática:

Perdí acceso de Administrador/Propietario después de habilitar asignaciones de grupos

Esto sucede cuando la persona que configura las asignaciones de grupos no está asignada a un grupo asignado a un rol de Administrador o Propietario, lo que causa que sus permisos se degraden a Usuario.

Para solucionar esto:

Opción 1: Pide a otro Administrador/Propietario que restablezca tu rol

  1. Contacta a otro Administrador o Propietario de tu organización.

  2. Pídeles que naveguen a Configuración de la organización > Organización (para Claude) o Configuración > Miembros (para Console).

  3. Pídeles que cambien tu rol de nuevo a Administrador o Propietario.

Opción 2: Solucionar a través de tu Proveedor de Identidad

  1. En tu IdP, asígnate a ti mismo a un grupo con el prefijo correcto que se asigne a un rol de Administrador o Propietario.

  2. Para JIT: Cierra sesión e inicia sesión nuevamente para recuperar el acceso.

  3. Para SCIM: Pide a otro Administrador o Propietario que haga clic en "Sincronizar" en la configuración de Organización y acceso, o espera el ciclo de sincronización automática.

Artículos relacionados
Consideraciones importantes antes de habilitar el inicio de sesión único (SSO) y el aprovisionamiento JIT/SCIM
Cambio a un Proveedor de Identidad (IdP) diferente
Desajuste de correo electrónico SSO/SCIM — Google Workspace
Cómo funciona la sincronización SCIM para organizaciones Enterprise
Configurar SCIM en Claude para Gobierno
¿Ha quedado contestada tu pregunta?