Ir al contenido principal

Desajuste de correo electrónico SSO/SCIM — OneLogin

Resumen: Claude utiliza el correo electrónico como identificador principal para hacer coincidir los inicios de sesión SSO con los asientos aprovisionados. En OneLogin, el aprovisionamiento SCIM y SSO SAML se configuran en pestañas separadas de la aplicación y pueden hacer referencia a diferentes campos de perfil de usuario, lo que causa una falta de coincidencia que bloquea el acceso.

Síntomas

Los usuarios pueden experimentar uno o más de los siguientes al intentar acceder a Claude for Enterprise a través de SSO:

  • "La creación de cuenta está bloqueada" — El usuario se autentica a través de SSO pero Claude no puede encontrar una cuenta aprovisionada coincidente. Si su organización tiene restringida la creación de organizaciones (recomendado), el usuario está completamente bloqueado y no puede continuar.

  • Aterrizaje en una cuenta personal gratuita — Si la creación de organizaciones no está restringida, el usuario omite completamente la organización empresarial y crea o aterriza en una cuenta personal gratuita en lugar de su asiento empresarial.

  • Falta de coincidencia en "Por favor confirme su correo electrónico" — La devolución de llamada SSO muestra un correo electrónico diferente al que el usuario ingresó en el inicio de sesión.

  • Fallo de autenticación de Claude Code — La CLI de Claude Code muestra un error de falta de coincidencia de correo electrónico durante el flujo de autenticación.

Cómo sucede esto

Los perfiles de usuario de OneLogin contienen campos distintos para nombre de usuario y correo electrónico, que pueden contener valores diferentes. Los parámetros de aprovisionamiento SCIM y las declaraciones de atributos SAML se configuran de forma independiente y cada uno puede extraer de un campo diferente:

Campo de OneLogin

Valor típico

Comúnmente utilizado por

Username

testuser1 o [email protected]

A veces se utiliza en la asignación de userName de SCIM

Email

[email protected]

Recomendado para SCIM y SAML

Login Name

Puede diferir del correo electrónico si SSO se utiliza para inicios de sesión que no son de correo electrónico

Configuraciones heredadas o personalizadas

Campos de usuario personalizados

Atributos personalizados definidos por organización

Asignaciones de atributos avanzadas

Una falta de coincidencia común: la pestaña de parámetros SCIM asigna el atributo de correo electrónico a Username (que puede ser un ID de empleado o nombre corto) mientras que la declaración de atributo SAML envía el campo Email. Claude requiere una coincidencia exacta de cadena.

Confusión común: Los parámetros SCIM y las declaraciones de atributos SAML de OneLogin están en pestañas diferentes de la misma aplicación — Parameters para SCIM y SSO (o Parameters con campos específicos de SAML) para SSO. Ambos deben verificarse y alinearse.

Pasos de diagnóstico

Paso 1 — Confirmar la falta de coincidencia

  1. Verificar el correo electrónico SCIM: En el portal de administración de OneLogin, vaya a Applications → [Claude App] → Parameters. Encuentre el campo asignado al correo electrónico que Claude recibe. Tenga en cuenta la columna OneLogin value — esto muestra qué campo de usuario se envía.

  2. Verificar el correo electrónico SAML: En la misma aplicación, vaya a la pestaña SSO. Haga clic en More Actions → Edit SAML Response o verifique la sección SAML Attribute Statements. Encuentre el atributo para email y tenga en cuenta su campo de origen.

  3. Verificar un usuario específico: En Users → [User], compare los campos Username y Email del usuario. Si difieren, cualquier asignación que use uno u otro causará una falta de coincidencia.

Paso 2 — Identificar el alcance del problema

Determine si se trata de un usuario afectado o un problema sistémico:

  • Si la mayoría o todos los usuarios aprovisionados comparten la misma falta de coincidencia de formato de correo electrónico, este es un problema de asignación de atributos sistémico que afecta a todo su directorio. La solución está en la asignación de atributos SCIM de su IdP.

  • Si solo uno o dos usuarios se ven afectados mientras que otros funcionan bien, el problema probablemente sea específico de esas cuentas de usuario. Verifique su perfil de usuario directamente.

Paso 3 — Revisar valores de campos de usuario

  1. Vaya a Users → [Affected User] → User Info.

  2. Verifique tanto los campos Username como Email.

  3. Si Username está en un formato que no coincide con un correo electrónico válido, SCIM puede estar enviando un valor inválido o no coincidente.

Resolución

Alinear ambas asignaciones al campo Email

El campo Email de OneLogin es la fuente más confiable para SCIM y SAML, ya que está diseñado para contener una dirección de correo electrónico válida.

  1. Actualizar parámetro SCIM: En Applications → [Claude App] → Parameters, encuentre la fila del atributo de correo electrónico que Claude recibe. Cambie el Value a Email (el campo Email del usuario de OneLogin).

  2. Actualizar declaración de atributo SAML: En la pestaña SSO (o Parameters para atributos SAML), actualice el valor del atributo email para usar el mismo campo Email.

  3. Haga clic en Save.

Activar una resincronización completa

Crítico — Se requiere sincronización completa: Una sincronización incremental no actualizará los usuarios existentes después de cambiar una asignación de atributos. Debe activar un reinicio completo del ciclo de aprovisionamiento.

  1. En la pestaña Provisioning de la aplicación, busque una opción Re-sync o Sync All y ejecútela.

  2. Para reaprovisionar usuarios individuales: Vaya a Users → [User] → Applications, encuentre la aplicación Claude y use Re-provision.

  3. Verifique el registro de actividad de aprovisionamiento de OneLogin para detectar errores.

  4. Verifique que los valores de correo electrónico actualizados aparezcan en el registro antes de pedir a los usuarios que reintentar el inicio de sesión.

Limpieza posterior a la corrección

Después de corregir la asignación de atributos y completar la sincronización completa, es posible que necesite limpieza adicional según su situación:

  • Cuentas gratuitas no autorizadas: Si la creación de organizaciones no estaba restringida antes de la corrección, algunos usuarios pueden haber creado inadvertidamente cuentas personales gratuitas de Claude. Póngase en contacto con Anthropic Support para que se eliminen.

  • Cuentas fantasma (asientos con correo electrónico incorrecto): Las cuentas aprovisionadas originalmente (con el correo electrónico incorrecto) pueden seguir existiendo en su organización empresarial, ocupando asientos que nunca se pueden usar. Póngase en contacto con Anthropic Support para desaprovisionar estas cuentas fantasma.

  • Disponibilidad de asientos: Si las cuentas fantasma están ocupando todos los asientos contratados, los nuevos inicios de sesión fallarán con un error de falta de asientos incluso después de que se corrija la asignación. Póngase en contacto con soporte si está experimentando esto.

  • Re-agregar usuarios afectados: Después de que se eliminen las cuentas fantasma, los usuarios con el correo electrónico corregido pueden necesitar ser re-invitados o reaprovisionados.

Prevenir ocurrencias futuras: Habilite "Restrict organization creation" en la configuración de su empresa.

Verificación

Después de completar la corrección y cualquier limpieza, verifique lo siguiente:

  1. Verifique una muestra de usuarios aprovisionados — confirme que su correo electrónico en el registro de aprovisionamiento de su IdP coincida con el formato de correo electrónico que SSO envía.

  2. Pida a un usuario afectado que borre las cookies del navegador para claude.ai y luego inicie sesión a través de SSO.

  3. Confirme que los usuarios no están creando accidentalmente cuentas gratuitas.

  4. Si Claude Code se vio afectado, pida al usuario que vuelva a ejecutar claude auth login --enterprise y confirme que el correo electrónico coincide con su asiento empresarial.

Trampas comunes

Trampa

Solución

El campo Username contiene un nombre corto o ID de empleado, no un correo electrónico

Cambie SCIM para usar el campo Email.

Los atributos SAML se actualizaron pero los parámetros SCIM no se cambiaron

Tanto la pestaña Parameters (para SCIM) como los atributos SSO/SAML deben actualizarse de forma independiente.

La resincronización no parece activarse

Intente eliminar y reasignar usuarios individuales afectados de la aplicación.

Los campos de usuario personalizados están asignados pero están en blanco para algunos usuarios

Cambie al campo Email estándar.

Los correos electrónicos se actualizaron en SCIM pero el usuario aún no puede iniciar sesión

Verifique si hay organizaciones gratuitas no autorizadas o cuentas fantasma. Borre las cookies del navegador e intente de nuevo.

"Invite domain not allowed" al intentar re-agregar usuarios

El dominio de su organización puede no estar verificado en Claude. Póngase en contacto con Anthropic Support.

Cuándo contactar a Anthropic Support

  • Los atributos SCIM y SSO parecen idénticos pero los usuarios aún no pueden acceder a sus asientos.

  • Necesita confirmar qué correo electrónico registró Claude durante el aprovisionamiento SCIM para usuarios específicos.

  • Necesita ayuda para limpiar cuentas fantasma u organizaciones gratuitas no autorizadas.

  • Los usuarios están recibiendo un error de falta de asientos a pesar de que su contrato tiene asientos disponibles.

Póngase en contacto con [email protected] con el dominio de su organización, la dirección de correo electrónico del usuario afectado y capturas de pantalla de sus asignaciones de atributos.

Artículos relacionados
Desajuste de correo electrónico SSO/SCIM — Google Workspace
Desajuste de correo electrónico SSO/SCIM — Microsoft Entra ID
Desajuste de correo electrónico SSO/SCIM — Okta
Desajuste de correo electrónico SSO/SCIM — Ping Identity
Configuración de SSO — OneLogin
¿Ha quedado contestada tu pregunta?