Ir al contenido principal

Configurar el aprovisionamiento JIT o SCIM

Actualizado esta semana

El aprovisionamiento JIT está disponible para planes Team, planes Enterprise y organizaciones Console. El aprovisionamiento SCIM está disponible solo para organizaciones Enterprise y Console.

Esta guía cubre cómo configurar el aprovisionamiento de usuarios y la asignación de roles para su organización Claude o Claude Console.

Antes de comenzar: Esta guía asume que ya ha completado los pasos en Configurar inicio de sesión único (SSO), incluida la verificación de dominio y la configuración de SSO con su Proveedor de Identidad (IdP), y que tiene un rol Admin (Console) u Owner (Claude).

Paso 1: Elegir su modo de aprovisionamiento

Una vez que SSO está configurado, debe decidir cómo se aprovisionarán los usuarios en su organización. Esto se controla mediante la configuración Modo de aprovisionamiento en Organización configuración > Identidad y acceso.

Opciones de aprovisionamiento

Solo por invitación es la opción predeterminada. Los usuarios se agregan y se eliminan directamente en la configuración de Claude o Console.

Aprobar automáticamente (JIT): Los usuarios asignados a su aplicación IdP de Anthropic se aprovisionan automáticamente cuando inician sesión por primera vez. Esta opción está disponible para todos los planes.

Sincronizar con SCIM: Los usuarios se aprovisionan y desaprovisionan automáticamente según las asignaciones en su IdP, sin requerir que inicien sesión primero. SCIM está disponible para planes Enterprise y organizaciones Console con su propia organización principal o unidas a una organización principal Enterprise. SCIM no está disponible para planes Team u organizaciones Console unidas a la organización principal de un plan Team.

Descripción general del comportamiento de aprovisionamiento

Use esta tabla para ayudar a decidir qué modo de aprovisionamiento es el adecuado para su organización:

Modo

Aprovisionamiento

Cambios de rol y tipo de asiento

Eliminación

Solo por invitación

Los usuarios se agregan manualmente

Los roles y tipos de asiento se cambian manualmente

Los usuarios se eliminan manualmente

Aprobar automáticamente (JIT)

Los usuarios asignados a su aplicación IdP se aprovisionan al iniciar sesión con el rol de Usuario

Los roles y tipos de asiento se cambian manualmente

Se requiere eliminación manual: los usuarios eliminados de su aplicación IdP no pueden iniciar sesión, pero permanecen en la lista de usuarios hasta que intenten iniciar sesión o se eliminen

JIT + asignaciones de grupo

Los usuarios en al menos un grupo asignado se aprovisionan al iniciar sesión con el rol de mayor permiso de sus membresías de grupo

Los roles y tipos de asiento se actualizan en el próximo inicio de sesión según la membresía del grupo

Los usuarios sin acceso a grupo no pueden iniciar sesión pero permanecen en la lista hasta el intento de inicio de sesión o eliminación manual

Sincronizar con SCIM

Los usuarios asignados a su aplicación IdP se aprovisionan automáticamente en todas las organizaciones unidas a su organización principal.

Los roles y tipos de asiento se cambian manualmente

Los usuarios eliminados de su aplicación IdP se eliminan automáticamente

SCIM + asignaciones de grupo

Los usuarios en al menos un grupo asignado se aprovisionan automáticamente con los roles apropiados

Los cambios de rol y tipos de asiento se propagan automáticamente según la membresía del grupo

Eliminación automática cuando se revoca el acceso al grupo

Tanto JIT como SCIM se pueden combinar con Habilitar asignaciones de grupo para controlar la asignación de rol o nivel de asiento según la membresía del grupo IdP.

Roles disponibles y niveles de asiento

Producto

Roles

Tipos de asiento

Plan Team / Plan Enterprise basado en asientos

Owner, Admin, User

Premium, Standard

Plan Enterprise basado en uso (con dos tipos de asiento)

Owner, Admin, User

Chat, Chat + Claude Code

Plan Enterprise basado en uso (tipo de asiento único)

Owner, Admin, User

Enterprise

Console

Admin, Developer, Billing, Claude Code User, User

Para obtener información sobre la compra de asientos o el ajuste de la asignación de asientos de su plan, consulte nuestras guías para planes Team y planes Enterprise.

Paso 2: Configurar la sincronización de directorios SCIM (si usa SCIM)

Nota: Omita este paso si está utilizando aprovisionamiento Solo por invitación o JIT.

Si eligió SCIM como su modo de aprovisionamiento, debe establecer la conexión entre su Proveedor de Identidad y Anthropic antes de habilitarlo.

  1. Navegue a su configuración de Identidad y acceso en Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity)

  2. En la sección Configuración de acceso global, haga clic en "Configurar SCIM" (o "Administrar SCIM") junto a Sincronización de directorios (SCIM).

  3. Siga la guía de configuración de WorkOS para configurar SCIM en su Proveedor de Identidad. Deberá copiar valores de WorkOS en su aplicación Anthropic del IdP.

‼️ Cuando llegue al paso Grupo IdP, pause para revisar los Pasos 3 y 4 de esta guía, junto con las otras guías.

Para instrucciones de configuración específicas del IdP para JIT / SCIM, consulte:

Una vez que su IdP esté conectado, continúe con el Paso 3.

Paso 3: Configurar el modo de aprovisionamiento y habilitar asignaciones de grupo

  1. En la sección Configuración de acceso global de su configuración de Identidad y acceso, encuentre Modo de aprovisionamiento.

  2. Seleccione su opción elegida del menú desplegable:

    1. Solo por invitación: Los nuevos miembros solo pueden unirse si son invitados manualmente por un miembro existente. El acceso SSO solo no los agregará a su organización.

    2. Aprobar automáticamente (JIT): Permita que las personas con acceso SSO se unan cuando inicien sesión por primera vez. Cada nuevo miembro utiliza uno de sus asientos disponibles.

    3. Sincronizar con SCIM: Agregue o elimine miembros automáticamente a medida que su directorio cambia. Su organización siempre se mantiene actualizada.

  3. Active Habilitar asignaciones de grupo si la está utilizando.

    1. Importante: NO haga clic en "Guardar cambios" aún. Primero debe asegurarse de que todos los usuarios estén asignados a su aplicación Anthropic en su IdP. Cuando habilita asignaciones de grupo, los usuarios también deben estar asignados a los grupos apropiados (Pasos 4 y 5). Guardar antes de que los usuarios estén asignados correctamente resultará en que esos usuarios sean desaprovisionados de la organización.

  4. Si no está utilizando asignaciones de grupo: Asegúrese de que todos los usuarios estén asignados a su aplicación Anthropic en su IdP para aprovisionamiento SCIM, luego haga clic en "Guardar cambios" para completar su configuración.

Paso 4: Configurar grupos y asignar usuarios en su Proveedor de Identidad para asignaciones de grupo

  1. Cree grupos en su IdP para cada rol que desee asignar. A menos que esté en el plan Enterprise de asiento único, cree grupos para cada tipo de asiento también.

    1. Aunque ya no hay requisitos de nomenclatura para estos grupos, recomendamos incluir algo en el nombre del grupo (por ejemplo, anthropic-claude- o anthropic-console-) para que sean más fáciles de identificar.

  2. Agregue usuarios a los grupos que creó, asegurándose de que al menos un usuario (incluido usted mismo) esté en un grupo que se asignará a un rol Admin (Console) u Owner (Claude).

Importante: Todos los usuarios que necesiten acceso deben estar asignados a los grupos apropiados antes de guardar su configuración de asignaciones de grupo en el próximo paso. Estos usuarios ya deberían estar asignados a su aplicación Anthropic en su IdP desde cuando habilitó SSO.

Paso 5: Asignar grupos a roles y tipos de asiento

  1. Regrese a su configuración de Identidad y acceso en Claude o Console, y active Habilitar asignaciones de grupo (si aún no está activado).

  2. En la sección Habilitar asignaciones de grupo, haga clic en "Agregar" junto a cada rol y seleccione el grupo correspondiente de su IdP en el menú desplegable.

  3. Para todos los planes excepto Enterprise de asiento único: En la sección Asignar niveles de asiento a grupos IdP, haga clic en "Agregar" junto a cada tipo de asiento y seleccione el grupo correspondiente de su IdP. Si un usuario no está asignado a un grupo de tipo de asiento, se le asignará automáticamente el tipo más alto disponible.

    1. Para Enterprise de asiento único: La asignación de tipo de asiento no se aplica. Todos los usuarios aprovisionados se asignan automáticamente a un asiento Enterprise, siempre que uno esté disponible en su organización.

  4. Verifique que todos los grupos necesarios estén asignados a los roles y tipos de asiento apropiados.

  5. Haga clic en "Guardar cambios."

Nota: Microsoft Entra solo envía cambios SCIM cada 40 minutos, por lo que puede haber un retraso antes de que los cambios aparezcan.

Solución de problemas

¿Los usuarios están asignados correctamente y aparecen en el directorio pero no se están agregando a Claude como miembros?

Verifique que tenga suficientes asientos comprados y disponibles para agregar miembros a su organización.

  1. Verifique el número de asientos disponibles que se muestran en Configuración de organización > Facturación y compre asientos adicionales si es necesario (consulte nuestras guías para planes Team y planes Enterprise).

  2. Una vez que tenga asientos disponibles, regrese a la página de Identidad y acceso y haga clic en "Sincronizar ahora," junto a Sincronización de directorios (SCIM). Esto activará una sincronización para aprovisionar cuentas para esos usuarios que aún no se han agregado como miembros.

Los usuarios no se están aprovisionando con el rol correcto

  1. Verifique que el usuario esté asignado al grupo correcto en su IdP.

  2. Verifique que el grupo esté asignado al rol correcto en su configuración de Identidad y acceso.

  3. Para JIT: El usuario debe cerrar sesión e iniciar sesión nuevamente para que los cambios de rol surtan efecto.

  4. Para SCIM: Haga clic en "Sincronizar ahora" para solicitar una sincronización inmediata, o espere el ciclo de sincronización automática.

Perdí acceso de Admin/Owner después de habilitar asignaciones de grupo

Esto sucede cuando la persona que configura asignaciones de grupo no está asignada a un grupo asignado a un rol Admin u Owner, lo que causa que sus permisos se degraden a Usuario.

Para solucionar esto:

Opción 1: Haga que otro Admin/Owner restablezca su rol

  1. Póngase en contacto con otro Admin u Owner de su organización.

  2. Pídales que naveguen a Configuración de organización > Organización (para Claude) o Configuración > Miembros (para Console).

  3. Pídales que cambien su rol de nuevo a Admin u Owner.

Opción 2: Solucionar a través de su Proveedor de Identidad

  1. En su IdP, asígnese a un grupo con el prefijo correcto que se asigne a un rol Admin u Owner.

  2. Para JIT: Cierre sesión e inicie sesión nuevamente para recuperar el acceso.

  3. Para SCIM: Pida a otro Admin u Owner que haga clic en "Sincronizar ahora" en la configuración de Identidad y acceso, o espere el ciclo de sincronización automática.

Artículos relacionados
Consideraciones importantes antes de habilitar el inicio de sesión único (SSO) y el aprovisionamiento JIT/SCIM
Configurar inicio de sesión único (SSO)
Administrar miembros en planes Team y Enterprise
Cambio a un Proveedor de Identidad (IdP) diferente
Migre su organización de Team a Enterprise
¿Ha quedado contestada tu pregunta?