Las Restricciones de Inquilino están disponibles para miembros de planes Enterprise y organizaciones de Console.
Las Restricciones de Inquilino permiten a los administradores de TI en planes Enterprise aplicar control de acceso a nivel de red para Claude. Esta función garantiza que los usuarios en redes corporativas solo puedan acceder a cuentas organizacionales aprobadas, evitando el uso no autorizado de cuentas personales.
Cómo funciona
Cuando está habilitado, su proxy de red inyecta un encabezado HTTP en las solicitudes a Claude. Anthropic valida este encabezado y bloquea el acceso de cualquier organización que no esté en la lista permitida.
Métodos de autenticación admitidos:
Acceso web (claude.ai)
Acceso de escritorio / Aplicación
Autenticación con clave API
Autenticación con token OAuth
Formato de encabezado
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Lista delimitada por comas de UUID de organizaciones
Sin espacios entre valores
Ejemplo:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Dividir listas de permitidos grandes en varios encabezados
Si su lista de permitidos es demasiado larga para una sola línea de encabezado en su plataforma proxy, divídala en encabezados de continuación numerados. Agregue ;n=K al encabezado base para declarar el número total de líneas de encabezado, luego agregue los UUID restantes en los encabezados anthropic-allowed-org-ids1 a través de anthropic-allowed-org-ids{K-1}.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Máximo de 10 líneas de encabezado (
K≤ 10)Máximo de 500 UUID de organizaciones en total en todas las líneas
Su proxy debe enviar cada ranura declarada. Si establece
;n=3, los tres encabezados deben estar presentes en la solicitud.Configure su proxy para sobrescribir estos encabezados en cada solicitud en lugar de agregarlos solo si están ausentes.
Pasos de configuración
1. Encuentre su UUID de organización
Los miembros de planes Enterprise pueden encontrar esto en dos lugares diferentes:
Navegue a Configuración > Cuenta y encuentre ID de Organización.
Navegue a Configuración de Organización > Organización y desplácese hacia abajo hasta el final de la página para localizar ID de Organización.
Los miembros de organizaciones de Console pueden encontrar esto en Configuración > Organización.
2. Configure su proxy de red
Configure su proxy para inyectar el encabezado para el tráfico de Claude:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Pruebe su configuración
Desde la red restringida, pruebe con la clave API de su organización:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Respuestas de error
Acceso bloqueado
Cuando la organización de un usuario no está en la lista permitida, recibe un error 403:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Errores de configuración de encabezado
Si su proxy envía los encabezados incorrectamente, las solicitudes fallan con un estado 400 y uno de estos mensajes:
Múltiples encabezados
anthropic-allowed-org-ids: Un nombre de encabezado apareció más de una vez en la misma solicitud. Configure su proxy para sobrescribir cada encabezado en lugar de agregar un duplicado.Encabezados
anthropic-allowed-org-idsmal formados: El valor;n=Kes inválido, falta una ranura de continuación declarada o hay una extra, o la lista de permitidos total excede 500 UUID.
Plataformas proxy admitidas
Zscaler ZIA (políticas de Control de Aplicaciones en la Nube)
Palo Alto Prisma Access (Gestión de Aplicaciones SaaS)
Cato Networks (política de Restricción de Inquilino)
Netskope (reglas de Inserción de Encabezado)
Proxies HTTPS genéricos con capacidad de inyección de encabezado
Casos de uso
Escenario | Valor de Encabezado |
Organización Única |
|
Múltiples Organizaciones (Socios) |
|
Beneficios de seguridad
Prevención de Pérdida de Datos: Bloquee el uso de cuentas personales desde redes corporativas.
Cumplimiento: Aplique políticas de residencia de datos y acceso.
Control de TI en la Sombra: Evite el uso no autorizado de Claude.
Registro de Auditoría: Visibilidad completa en los intentos de acceso.
Compatibilidad hacia atrás
Sin impacto en redes sin restricciones de inquilino configuradas.
La autenticación estándar continúa para redes no administradas.
La autenticación de clave API existente permanece sin cambios.
