Esta guía cubre cómo configurar el aprovisionamiento de usuarios y la asignación de roles para su organización de Claude o Claude Console.
El aprovisionamiento JIT está disponible para planes Team, planes Enterprise y organizaciones Console. El aprovisionamiento SCIM está disponible solo para organizaciones Enterprise y Console.
Antes de comenzar: Esta guía asume que ya ha completado los pasos en Configurar inicio de sesión único (SSO), incluida la verificación de dominio y la configuración de SSO con su Proveedor de Identidad (IdP), y que tiene un rol de Admin (Console) u Owner (Claude).
Paso 1: Elegir su modo de aprovisionamiento
Una vez que SSO está configurado, debe decidir cómo se aprovisionarán los usuarios en su organización. Esto se controla a través de la sección Aprovisionamiento de usuarios en Configuración de la organización > Organización y acceso.
Opciones de aprovisionamiento
Solo invitar es la opción predeterminada. Los usuarios se agregan y se eliminan directamente en la configuración de Claude o Console.
Just-in-time (JIT): Los usuarios asignados a su aplicación IdP de Anthropic se aprovisionan automáticamente cuando inician sesión por primera vez. Esta opción está disponible para todos los planes.
Sincronización de directorio SCIM: Los usuarios se aprovisionan y desaprovisionan automáticamente según las asignaciones en su IdP, sin requerir que inicien sesión primero. SCIM está disponible para planes Enterprise y organizaciones Console con su propia organización principal o unidas a una organización principal Enterprise. SCIM no está disponible para planes Team u organizaciones Console unidas a la organización principal de un plan Team.
Descripción general del comportamiento de aprovisionamiento
Use esta tabla para ayudar a decidir qué modo de aprovisionamiento es el adecuado para su organización:
Modo | Aprovisionamiento | Cambios de rol y tipo de asiento | Eliminación |
Solo invitar | Los usuarios se agregan manualmente | Los roles y tipos de asiento se cambian manualmente | Los usuarios se eliminan manualmente |
Just-in-time (JIT) | Los usuarios asignados a su aplicación IdP se aprovisionan al iniciar sesión con el rol de Usuario | Los roles y tipos de asiento se cambian manualmente | Se requiere eliminación manual: los usuarios eliminados de su aplicación IdP ya no pueden iniciar sesión, pero permanecen en la lista de usuarios hasta que intenten iniciar sesión o sean eliminados |
JIT + asignaciones de grupo | Los usuarios en al menos un grupo asignado se aprovisionan al iniciar sesión con el rol de mayor permiso de sus pertenencias a grupos | Los roles y tipos de asiento se actualizan en el próximo inicio de sesión según la pertenencia al grupo | Los usuarios sin acceso a grupo no pueden iniciar sesión pero permanecen en la lista hasta el intento de inicio de sesión o eliminación manual |
Sincronización de directorio SCIM | Los usuarios asignados a su aplicación IdP se aprovisionan automáticamente a todas las organizaciones unidas a su organización principal. | Los roles y tipos de asiento se cambian manualmente | Los usuarios eliminados de su aplicación IdP se eliminan automáticamente |
SCIM + asignaciones de grupo | Los usuarios en al menos un grupo asignado se aprovisionan automáticamente, con el rol apropiado, solo a la(s) organización(es) unida(s) a la organización principal donde se agregó ese grupo. | Los cambios de rol y tipos de asiento se propagan automáticamente según la pertenencia al grupo | Eliminación automática cuando se revoca el acceso al grupo |
Tanto JIT como SCIM se pueden combinar con Habilitar asignaciones de grupo para controlar la asignación de rol o nivel de asiento según la pertenencia al grupo IdP. Si selecciona cualquiera de estas opciones para su modo de aprovisionamiento, Habilitar asignaciones de grupo aparecerá dentro de la sección Aprovisionamiento de usuarios:
Roles y niveles de asiento disponibles
Producto | Roles | Tipos de asiento |
Plan Team | Owner, Admin, User | Premium, Standard |
Plan Enterprise basado en asientos | Owner, Admin, User, Roles personalizados | Premium, Standard |
Plan Enterprise basado en uso (con dos tipos de asiento) | Owner, Admin, User, Roles personalizados | Chat, Chat + Claude Code |
Plan Enterprise basado en uso (tipo de asiento único) | Propietario, Administrador, Usuario, Roles personalizados | Enterprise |
Consola | Administrador, Desarrollador, Desarrollador limitado, Facturación, Usuario de Claude Code, Usuario | — |
Para obtener información sobre la compra de asientos o el ajuste de la asignación de asientos de tu plan, consulta nuestras guías para planes de equipo y planes Enterprise.
Paso 2: Configurar sincronización de directorio SCIM (si usas SCIM)
Nota: Omite este paso si usas Solo invitación o aprovisionamiento JIT.
Si elegiste SCIM como tu modo de aprovisionamiento, necesitas establecer la conexión entre tu Proveedor de identidad y Anthropic antes de habilitarlo.
Ve a tu configuración de Organización y acceso en Claude (claude.ai/admin-settings/organization) o tu configuración de Identidad y acceso en Consola (platform.claude.com/settings/identity)
En la sección Aprovisionamiento de usuarios, haz clic en "Configurar SCIM" (o "Administrar SCIM") junto a Sincronización de directorio SCIM.
Sigue la guía de configuración de WorkOS para configurar SCIM en tu Proveedor de identidad. Necesitarás copiar valores de WorkOS a la aplicación Anthropic de tu IdP.
‼️ Cuando llegues al paso Grupo de IdP, pausa para revisar los Pasos 3 y 4 de esta guía, junto con las otras guías.
Para instrucciones de configuración específicas de IdP JIT / SCIM, consulta:
Consulta IdPs adicionales aquí
Una vez que tu IdP esté conectado, continúa al Paso 3.
Paso 3: Configurar modo de aprovisionamiento y habilitar asignaciones de grupos
Encuentra la sección Aprovisionamiento de usuarios de tu configuración.
Selecciona tu opción elegida:
Solo invitación: Los nuevos miembros solo pueden unirse si son invitados manualmente por un miembro existente. El acceso SSO por sí solo no los agregará a tu organización.
Just-in-time (JIT): Permite que las personas con acceso SSO se unan cuando inicien sesión por primera vez. Cada nuevo miembro usa uno de tus asientos disponibles.
Sincronización de directorio SCIM: Agrega o elimina miembros automáticamente a medida que cambia tu directorio. Tu organización siempre se mantiene actualizada.
Si seleccionaste "Just-in-time (JIT)" o "Sincronización de directorio SCIM", NO hagas clic en "Guardar cambios" inmediatamente. Primero debes asegurarte de que todos los usuarios estén asignados a tu aplicación Anthropic en tu IdP.
Una vez que hayas confirmado que todos los usuarios están asignados en tu IdP, puedes:
Haz clic en "Guardar cambios" para completar la configuración e iniciar el aprovisionamiento inicial, o
Activa Habilitar asignaciones de grupos y ve al Paso 4.
Importante: Guardar antes de que los usuarios estén asignados correctamente resultará en que esos usuarios sean desaprovisionados de la organización.
Paso 4: Configurar grupos en tu Proveedor de identidad y asignar grupos a roles y tipos de asiento
Crea grupos en tu IdP para cada rol que desees asignar. A menos que estés en el plan Enterprise de asiento único, crea también grupos para cada tipo de asiento.
Aunque ya no hay requisitos de nomenclatura para estos grupos, recomendamos incluir algo en el nombre del grupo (p. ej.,
anthropic-claude-oanthropic-console-) para que sean más fáciles de identificar.
Agrega usuarios a los grupos que creaste, asegurándote de que al menos un usuario (incluyéndote a ti) esté en un grupo que se asignará a un rol de Administrador (Consola) o Propietario (Claude).
Vuelve a tu configuración de Organización y acceso o Identidad y acceso en Claude o Consola, y encuentra Aprovisionamiento de usuarios.
Activa Habilitar asignaciones de grupos (si aún no está activado):
En la sección Habilitar asignaciones de grupos, haz clic en "Agregar" junto a cada rol y selecciona el grupo correspondiente de tu IdP en el menú desplegable.
Al usar asignaciones de grupos, debes asignar todos los usuarios a un grupo basado en roles para asegurar que se les aprovisione una cuenta. Asignar usuarios a grupos basados en niveles de asiento es opcional.
Puedes asignar un grupo de IdP al rol "Roles personalizados". Los miembros asignados a este rol no tienen permisos predeterminados; su acceso está determinado completamente por los roles personalizados asignados a sus grupos en Claude.
Para todos los planes excepto Enterprise de asiento único: En la sección Asignar niveles de asiento a grupos de IdP (opcional), haz clic en "Agregar" junto a cada tipo de asiento y selecciona el grupo correspondiente de tu IdP. Si un usuario no está asignado a un grupo de tipo de asiento, se le asignará automáticamente al tipo más alto disponible.
Para Enterprise de asiento único: La asignación de tipo de asiento no se aplica. Todos los usuarios aprovisionados se asignan automáticamente a un asiento Enterprise, siempre que haya uno disponible en tu organización.
Verifica que todos los grupos necesarios estén asignados a los roles y tipos de asiento apropiados.
Haz clic en "Guardar cambios".
Nota: Microsoft Entra solo envía cambios SCIM cada 40 minutos, por lo que puede haber un retraso antes de que aparezcan los cambios. Puedes verificar qué usuarios están sincronizados desde tu IdP haciendo clic en "Administrar SCIM" y viendo el Directorio. Los usuarios en el Directorio serán aprovisionados a Claude / Consola.
Importante: Todos los usuarios que necesiten acceso deben estar asignados a los grupos apropiados antes de guardar tu configuración de asignaciones de grupos. Estos usuarios ya deberían estar asignados a tu aplicación Anthropic en tu IdP desde cuando habilitaste SSO.
Solución de problemas
¿Los usuarios están asignados correctamente y aparecen en el directorio pero no se están agregando a Claude como miembros?
Verifica que tengas suficientes asientos comprados y disponibles para agregar miembros a tu organización.
Comprueba el número de asientos disponibles que se muestra en Configuración de la organización > Organización y acceso y compra asientos adicionales si es necesario (consulta nuestras guías para planes de equipo y planes empresariales).
Una vez que tengas asientos disponibles, vuelve a la página Organización y acceso y haz clic en "Sincronizar ahora", junto a Sincronización de directorio (SCIM). Esto activará una sincronización para aprovisionar cuentas para los usuarios que aún no se han agregado como miembros.
Los usuarios no se están aprovisionando con el rol correcto
Verifica que el usuario esté asignado al grupo correcto en tu IdP.
Verifica que el grupo esté asignado al rol correcto en tu configuración de Organización y acceso.
Para JIT: El usuario debe cerrar sesión e iniciar sesión nuevamente para que los cambios de rol surtan efecto.
Para SCIM: Haz clic en "Sincronizar" para solicitar una sincronización inmediata, o espera el ciclo de sincronización automática:
Perdí acceso de administrador/propietario después de habilitar asignaciones de grupo
Esto sucede cuando la persona que configura las asignaciones de grupo no está asignada a un grupo asignado a un rol de administrador o propietario, lo que causa que sus permisos se degraden a usuario.
Para solucionar esto:
Opción 1: Pide a otro administrador/propietario que reinstaure tu rol
Contacta a otro administrador o propietario de tu organización.
Pídeles que naveguen a Configuración de la organización > Organización (para Claude) o Configuración > Miembros (para Console).
Pídeles que cambien tu rol de nuevo a administrador o propietario.
Opción 2: Solucionar a través de tu proveedor de identidad
En tu IdP, asígnate a ti mismo a un grupo con el prefijo correcto que se asigne a un rol de administrador o propietario.
Para JIT: Cierra sesión e inicia sesión nuevamente para recuperar el acceso.
Para SCIM: Pide a otro administrador o propietario que haga clic en "Sincronizar" en la configuración de Organización y acceso, o espera el ciclo de sincronización automática.