Ir al contenido principal

Desajuste de correo electrónico SSO/SCIM — Microsoft Entra ID

Qué cubre esto: Claude utiliza el correo electrónico como identificador principal para hacer coincidir los inicios de sesión SSO con los asientos aprovisionados. En Microsoft Entra ID, el aprovisionamiento SCIM y la autenticación SSO se configuran en lugares separados y pueden extraer el correo electrónico de diferentes atributos de usuario, lo que causa una falta de coincidencia que bloquea el acceso. Esta guía explica cómo identificar el problema, corregir la asignación de atributos y limpiar cualquier efecto secundario.

Síntomas

Los usuarios pueden experimentar uno o más de los siguientes al intentar acceder a Claude for Enterprise a través de SSO:

  • "La creación de cuenta está bloqueada" — El usuario se autentica a través de SSO pero Claude no puede encontrar una cuenta aprovisionada coincidente. Si la creación de organización está restringida (recomendado), el usuario está completamente bloqueado.

  • Aterrizando en una cuenta personal gratuita — Si la creación de organización no está restringida, el usuario omite la organización empresarial y crea o aterriza en una cuenta personal gratuita.

  • Falta de coincidencia en "Por favor confirma tu correo electrónico" — La devolución de llamada SSO muestra un correo electrónico diferente al que el usuario ingresó en el inicio de sesión.

  • Fallo de autenticación de Claude Code — La CLI de Claude Code muestra un error de falta de coincidencia de correo electrónico durante el flujo de autenticación.

Cómo sucede esto

Las cuentas de usuario de Microsoft Entra ID tienen múltiples atributos similares al correo electrónico que pueden contener valores diferentes. El aprovisionamiento SCIM y la autenticación SSO se configuran en áreas de administración separadas y cada uno puede extraer de un atributo diferente:

Atributo de Entra

Valor Típico

Comúnmente Utilizado Por

userPrincipalName

[email protected] (puede ser formato de ID de empleado)

Asignación predeterminada de userName de SCIM

mail

[email protected] (correo electrónico estándar)

Reclamación de correo electrónico OIDC / SAML

proxyAddresses

SMTP:[email protected]

Dirección principal de Exchange / M365

otherMails

Puede contener alias o direcciones secundarias

Correos electrónicos de contacto alternativos

La falta de coincidencia ocurre cuando SCIM extrae el correo electrónico de un atributo mientras que SSO envía el correo electrónico desde otro. Incluso una diferencia sutil bloquea el acceso — Claude requiere una coincidencia exacta de cadena.

Confusión común: Entra tiene dos áreas de administración separadas. La aplicación de aprovisionamiento SCIM se encuentra bajo Aplicaciones empresariales. La aplicación SSO/OIDC se encuentra bajo Registros de aplicaciones. Los administradores de TI frecuentemente navegan a la ubicación incorrecta.

Pasos de diagnóstico

Paso 1 — Confirmar la falta de coincidencia

  1. Verificar el correo electrónico de SCIM: En Centro de administración de Entra → Aplicaciones empresariales → [Aplicación Claude SCIM] → Aprovisionamiento → Registros de aprovisionamiento, busque un usuario aprovisionado recientemente e inspeccione Atributos modificados. El valor asignado a emails[type eq "work"].value es lo que SCIM envió a Claude.

  2. Verificar el correo electrónico de SSO: En Aplicaciones empresariales → [Aplicación Claude] → Inicio de sesión único → Atributos y reclamaciones, busque la reclamación de correo electrónico. Para aplicaciones OIDC, verifique Registros de aplicaciones → [Aplicación Claude] → Configuración de token.

  3. Si los dos atributos de origen apuntan a campos diferentes, ha confirmado la falta de coincidencia.

Paso 2 — Identificar el alcance

  • Si la mayoría o todos los usuarios aprovisionados comparten la misma falta de coincidencia de formato, este es un problema de asignación de atributos sistémico. La solución está en la configuración de asignación de atributos SCIM.

  • Si solo uno o dos usuarios se ven afectados, verifique su perfil de usuario directamente en Entra.

Paso 3 — Verificar las reclamaciones del token OIDC (solo aplicaciones OIDC)

  1. En Centro de administración de Entra, vaya a Registros de aplicaciones (no Aplicaciones empresariales).

  2. Busque la aplicación Claude OIDC y haga clic en Configuración de token.

  3. Verifique la reclamación opcional email.

  4. Haga una referencia cruzada con su asignación de atributos SCIM para confirmar si coinciden.

Resolución

Corregir la asignación de atributos SCIM

Navegue a la aplicación de aprovisionamiento SCIM — no a la aplicación SSO/OIDC:

  1. Vaya a Centro de administración de Entra → Aplicaciones empresariales.

  2. Busque la aplicación Claude SCIM. Busque la aplicación con una sección Aprovisionamiento.

  3. Haga clic en Aprovisionamiento → Editar aprovisionamiento → Asignaciones de atributos.

  4. Busque la fila donde el atributo SCIM es emails[type eq "work"].value. Haga clic en ella para editar.

  5. Cambie el Atributo de origen para que coincida con lo que SSO envía — típicamente mail.

  6. También verifique la asignación de userName y actualice si es necesario.

  7. Haga clic en Guardar.

Activar una sincronización de aprovisionamiento completa

Se requiere sincronización completa — la incremental no funcionará. Debe activar un reinicio completo del ciclo de aprovisionamiento.

  1. Vaya a la página de descripción general de Aprovisionamiento.

  2. Haga clic en Reiniciar aprovisionamiento.

  3. Espere a que se complete la sincronización.

  4. Verifique en los registros de aprovisionamiento que los correos electrónicos de usuario se hayan actualizado al formato correcto.

Artículos relacionados
Desajuste de correo electrónico SSO/SCIM — Google Workspace
Desajuste de correo electrónico SSO/SCIM — Okta
Desajuste de correo electrónico SSO/SCIM — OneLogin
Desajuste de correo electrónico SSO/SCIM — Ping Identity
Configuración de SSO — Microsoft Entra ID
¿Ha quedado contestada tu pregunta?