Resumen: Claude utiliza el correo electrónico como identificador principal para hacer coincidir los inicios de sesión SSO con los asientos aprovisionados. En Google Workspace, el aprovisionamiento automático SCIM y SSO SAML pueden enviar valores de correo electrónico diferentes, especialmente cuando los usuarios tienen alias de correo electrónico, lo que causa una falta de coincidencia que bloquea el acceso.
Síntomas
Los usuarios pueden experimentar uno o más de los siguientes al intentar acceder a Claude for Enterprise a través de SSO:
"La creación de cuenta está bloqueada" — El usuario se autentica a través de SSO pero Claude no puede encontrar una cuenta aprovisionada coincidente. Si su organización tiene restringida la creación de organizaciones (recomendado), el usuario está completamente bloqueado y no puede continuar.
Aterrizaje en una cuenta personal gratuita — Si la creación de organizaciones no está restringida, el usuario omite completamente la organización empresarial y crea o aterriza en una cuenta personal gratuita en lugar de su asiento empresarial.
Falta de coincidencia en "Por favor confirme su correo electrónico" — La devolución de llamada SSO muestra un correo electrónico diferente al que el usuario ingresó en el inicio de sesión.
Fallo de autenticación de Claude Code — La CLI de Claude Code muestra un error de falta de coincidencia de correo electrónico durante el flujo de autenticación, impidiendo que el usuario se conecte a la organización empresarial.
Cómo sucede esto
Las cuentas de usuario de Google Workspace tienen un correo electrónico principal y pueden tener múltiples alias. El aprovisionamiento SCIM y SSO SAML se configuran por separado en la consola de administración de Google y pueden extraer de diferentes campos de dirección:
Atributo de Google | Valor típico | Comúnmente utilizado por |
| Recomendado para SCIM y SAML | |
Alias de correo electrónico | A veces asignados por error en SCIM | |
Campos de esquema personalizado | Atributos personalizados definidos por organización | Asignaciones de atributos avanzadas |
Correo electrónico de unidad organizativa | Variantes de dirección derivadas de OU | Raramente, en estructuras organizativas complejas |
La falta de coincidencia más común: SCIM está configurado para enviar una dirección de alias mientras que SAML envía el correo electrónico principal (o viceversa). Dado que los alias y los correos electrónicos principales son cadenas diferentes, Claude no puede hacerlos coincidir. Claude requiere una coincidencia exacta de cadena.
Confusión común: En Google Admin, la configuración de aprovisionamiento automático SCIM y la asignación de atributos SAML están en pestañas separadas dentro de la misma aplicación. Los administradores a veces actualizan una y pierden la otra. Verifique ambas ubicaciones.
Pasos de diagnóstico
Paso 1 — Confirmar la falta de coincidencia
Verificar el correo electrónico SCIM: En la consola de administración de Google, vaya a Aplicaciones → Aplicaciones web y móviles → [Claude App] → Aprovisionamiento automático. Verifique qué atributo está asignado al campo de correo electrónico que se envía a Claude.
Verificar el correo electrónico SAML: En la misma aplicación, vaya a la sección Asignación de atributos SAML. Encuentre el atributo asignado a
emaily anote su origen.Verificar un usuario específico: En Directorio → Usuarios → [Usuario], compare el Correo electrónico principal del usuario con cualquier Correo electrónico de alias listado.
Paso 2 — Identificar el alcance del problema
Determine si esto afecta a un usuario o es un problema sistémico:
Si la mayoría o todos los usuarios aprovisionados comparten la misma falta de coincidencia de formato de correo electrónico, esto es un problema de asignación de atributos sistémico. La solución está en la asignación de atributos SCIM de su IdP.
Si solo uno o dos usuarios se ven afectados, el problema probablemente sea específico de esas cuentas de usuario. Verifique su perfil de usuario directamente.
Paso 3 — Verificar Name ID en la configuración SAML
En la configuración de la aplicación, vaya a SAML → Detalles del proveedor de servicios.
Confirme que Name ID está configurado en Información básica → Correo electrónico principal.
Si Name ID está configurado en un campo de esquema personalizado o alias, puede enviar un valor diferente al de SCIM.
Resolución
Alinear ambas asignaciones a primaryEmail
El primaryEmail de Google Workspace es la fuente más confiable para SCIM y SAML.
Actualizar aprovisionamiento SCIM: En Aplicaciones → Aplicaciones web y móviles → [Claude App] → Aprovisionamiento automático → Asignación de atributos, asegúrese de que el atributo de correo electrónico se asigne a
primaryEmail.Actualizar Name ID de SAML: En SAML → Detalles del proveedor de servicios, configure Name ID en Información básica → Correo electrónico principal.
Actualizar asignación de atributos SAML: En el paso Asignación de atributos, asegúrese de que el atributo
emailesté asignado a Información básica → Correo electrónico principal.Guarde todos los cambios.
Activar una resincronización completa
Crítico — Se requiere sincronización completa: Una sincronización incremental no actualizará los usuarios existentes después de cambiar una asignación de atributos. Debe activar un reinicio completo del ciclo de aprovisionamiento.
En la consola de administración de Google, vaya a la configuración de Aprovisionamiento automático de la aplicación.
Suspenda temporalmente el aprovisionamiento y luego vuelva a habilitarlo. Esto activa una sincronización completa de todos los usuarios asignados.
Alternativamente, elimine y vuelva a agregar usuarios afectados de la asignación de la aplicación para forzar que sus registros individuales se reaprovisionen.
Monitoree los registros de aprovisionamiento para detectar errores y confirme que los correos electrónicos de usuario se actualizaron para coincidir con el formato SAML antes de pedir a los usuarios que reintentar.
Limpieza posterior a la corrección
Después de corregir la asignación de atributos y completar la sincronización completa, puede necesitar limpieza adicional:
Cuentas gratuitas no autorizadas: Si la creación de organizaciones no estaba restringida antes de la corrección, algunos usuarios pueden haber creado inadvertidamente cuentas personales gratuitas de Claude. Contacte a Anthropic Support para que las eliminen.
Cuentas fantasma (asientos con correo electrónico incorrecto): Las cuentas aprovisionadas originalmente (con el correo electrónico incorrecto) pueden seguir existiendo en su organización empresarial, ocupando asientos. Contacte a Anthropic Support para desaprovisionar estas cuentas fantasma.
Disponibilidad de asientos: Si las cuentas fantasma están ocupando todos los asientos contratados, los nuevos inicios de sesión fallarán con un error de falta de asientos. Desaprovisionar las cuentas fantasma libera esos asientos.
Volver a agregar usuarios afectados: Después de que se eliminen las cuentas fantasma, los usuarios con el correo electrónico corregido pueden necesitar ser reinvitados o reaprovisados.
Prevenir ocurrencias futuras: Habilite "Restringir creación de organizaciones" en la configuración de su empresa. Esto evita que los usuarios que aún no están aprovisionados creen accidentalmente cuentas personales gratuitas.
Verificación
Verifique una muestra de usuarios aprovisionados — confirme que su correo electrónico en el registro de aprovisionamiento de su IdP coincida con el formato de correo electrónico que SSO envía.
Pida a un usuario afectado que borre las cookies del navegador para
claude.aiy luego inicie sesión a través de SSO. Debería aterrizar directamente en el espacio de trabajo empresarial sin ningún error.Confirme que los usuarios no están creando accidentalmente cuentas gratuitas — si la creación de organizaciones está restringida, los usuarios bloqueados verán un error claro en lugar de aterrizar en una cuenta personal.
Si Claude Code se vio afectado, pida al usuario que vuelva a ejecutar
claude auth login --enterprisey confirme que el correo electrónico coincida con su asiento empresarial.
Errores comunes
Error | Solución |
SCIM envía un alias mientras que SAML envía el correo electrónico principal | Siempre use |
Name ID en la configuración SAML no fue verificado | El campo Name ID determina el correo electrónico enviado en el inicio de sesión. Esto es separado de la sección de asignación de atributos. Verifique ambos. |
El campo de esquema personalizado está en blanco para algunos usuarios | Manténgase en atributos estándar de Google como |
El reaprovisionamiento no se activa automáticamente después del cambio de asignación | Puede necesitar suspender y volver a habilitar manualmente el aprovisionamiento para forzar una sincronización completa. |
El correo electrónico principal del usuario cambió pero el correo electrónico anterior aún aparece en Claude | Se necesita una resincronización completa después de cambios de correo electrónico principal. |
Los correos electrónicos se actualizaron en SCIM pero el usuario aún no puede iniciar sesión | Verifique si hay organizaciones gratuitas no autorizadas o cuentas fantasma. Borre las cookies del navegador e intente de nuevo. |
Cuándo contactar a Anthropic Support
Los atributos SCIM y SSO parecen idénticos pero los usuarios aún no pueden acceder a sus asientos.
Necesita confirmar qué correo electrónico Claude registró durante el aprovisionamiento SCIM para usuarios específicos.
Necesita ayuda para limpiar cuentas fantasma u organizaciones gratuitas no autorizadas.
Los usuarios están recibiendo un error de falta de asientos a pesar de que su contrato tiene asientos disponibles.
Contacte a [email protected] con el dominio de su organización, la dirección de correo electrónico del usuario afectado y capturas de pantalla de sus asignaciones de atributos.