Resumen: Claude utiliza el correo electrónico como identificador principal para hacer coincidir los inicios de sesión SSO con los asientos aprovisionados. Los productos de Ping Identity (PingOne y PingFederate) tienen una configuración de atributos flexible y en capas. Cuando el aprovisionamiento SCIM y SSO/OIDC extraen de diferentes atributos de usuario, una falta de coincidencia bloquea el acceso.

Síntomas

Los usuarios pueden experimentar uno o más de los siguientes al intentar acceder a Claude for Enterprise a través de SSO:

"La creación de cuenta está bloqueada" — El usuario se autentica a través de SSO pero Claude no puede encontrar una cuenta aprovisionada coincidente.
Aterrizaje en una cuenta personal gratuita — Si la creación de organización no está restringida, el usuario omite completamente la organización empresarial.
Falta de coincidencia en "Por favor confirme su correo electrónico" — La devolución de llamada de SSO muestra un correo electrónico diferente al que el usuario ingresó en el inicio de sesión.
Fallo de autenticación de Claude Code — La CLI de Claude Code muestra un error de falta de coincidencia de correo electrónico durante el flujo de autenticación.

Cómo sucede esto

Los productos de Ping Identity permiten mapeo de atributos granular en múltiples niveles (directorio, adaptador IdP, conector SP, aplicación). SCIM y SSO pueden recorrer diferentes caminos a través de estas capas, lo que resulta en diferentes valores de correo electrónico que llegan a Claude:

Atributo Ping	Valor típico	Comúnmente utilizado por
`email` (PingOne)	`[email protected]`	Recomendado para SCIM y SAML/OIDC
`username` (PingOne)	`testuser1` o `[email protected]`	Identificador de inicio de sesión predeterminado; puede diferir del correo electrónico
Atributo del adaptador IdP (PingFederate)	Varía según el tipo de adaptador (LDAP, Formulario HTML, etc.)	Fuentes de identidad de PingFederate
Atributo LDAP `mail`	`[email protected]`	Correo electrónico de origen de directorio en PingFederate
LDAP `sAMAccountName` o `uid`	Puede ser ID de empleado o nombre de usuario corto	A veces asignado al correo electrónico por error
Atributos de población personalizados	Campos personalizados definidos por entorno	Configuraciones avanzadas de PingOne

Claude requiere una coincidencia exacta de cadena entre el correo electrónico aprovisionado por SCIM y el correo electrónico afirmado por SSO.

Nota de PingFederate: El sistema de contrato de atributos de PingFederate es especialmente complejo — el correo electrónico puede pasar por múltiples capas (LDAP → adaptador IdP → contrato de adaptador → conector SP → aserción). Una falta de coincidencia en cualquier capa causará que el valor incorrecto llegue a Claude. Trace el valor de extremo a extremo.

Pasos de diagnóstico

Paso 1 — Confirmar la falta de coincidencia (PingOne)

Verificar mapeo de atributos SCIM: En PingOne Admin, vaya a Connections → Applications → [Claude App] → Attribute Mappings. Encuentre el atributo asignado a emails[primary].value o email. Anote el atributo de usuario de PingOne utilizado como fuente.
Verificar mapeo de atributos SSO: En la misma aplicación, vaya a la pestaña SAML u OIDC y encuentre el atributo o reclamación asignado a email. Anote su atributo de fuente.
Si SCIM y SSO hacen referencia a diferentes atributos de PingOne, ha confirmado la falta de coincidencia.

Paso 1 (alternativo) — Confirmar la falta de coincidencia (PingFederate)

En la consola de administración de PingFederate, localice la Conexión SP para Claude.
En Attribute Contract Fulfillment, encuentre el atributo email y trace su fuente de vuelta al adaptador IdP o almacén de datos LDAP.
Por separado, verifique el conector de aprovisionamiento SCIM o el canal de aprovisionamiento saliente para Claude y trace la fuente del atributo de correo electrónico que se envía.
Si los dos trazos conducen a diferentes atributos de directorio, ha confirmado la falta de coincidencia.

Paso 2 — Identificar el alcance del problema

Determine si se trata de un usuario afectado o un problema sistémico:

Si la mayoría o todos los usuarios aprovisionados comparten la misma falta de coincidencia de formato de correo electrónico, este es un problema de mapeo de atributos sistémico. La solución está en el mapeo de atributos SCIM de su IdP.
Si solo uno o dos usuarios se ven afectados, el problema probablemente sea específico de esas cuentas de usuario. Verifique su perfil de usuario directamente.

Paso 3 — Verificar valores de atributos para un usuario específico

PingOne: Vaya a Identities → Users → [User] y compare los valores de los campos Username y Email.
PingFederate con LDAP: Verifique el registro LDAP del usuario y compare mail, userPrincipalName, sAMAccountName y cualquier otro atributo que se utilice en su mapeo de adaptador.

Resolución

PingOne — Alinear ambos mapeos al atributo de correo electrónico

En Connections → Applications → [Claude App], abra Attribute Mappings.
Para SCIM: Asegúrese de que emails[primary].value se asigne al atributo Email Address de PingOne.
Para SAML/OIDC: Asegúrese de que el atributo o reclamación email también se asigne al atributo Email Address de PingOne.
Guarde los cambios.

PingFederate — Alinear contrato de atributos en todas las capas

En la Conexión SP para Claude, vaya a Attribute Contract Fulfillment.
Encuentre el atributo email. Asegúrese de que su fuente sea el mismo atributo LDAP o almacén de datos utilizado en su canal de aprovisionamiento saliente SCIM.
Si utiliza un adaptador IdP personalizado, asegúrese de que el contrato del adaptador incluya el atributo de correo electrónico canónico y que esté correctamente asignado a través de la conexión SP.
Actualice el aprovisionamiento SCIM para utilizar el mismo atributo de fuente.

Activar una resincronización completa

Crítico — Se requiere sincronización completa: Una sincronización incremental no actualizará los usuarios existentes después de cambiar un mapeo de atributos. Debe activar un reinicio completo del ciclo de aprovisionamiento.

PingOne: En la configuración de aprovisionamiento de la aplicación, active un ciclo de aprovisionamiento completo. Es posible que deba deshabilitar y volver a habilitar el aprovisionamiento para forzar un re-envío completo de todos los usuarios.
PingFederate: Active una sincronización completa en su canal de aprovisionamiento saliente. Verifique sus registros de aprovisionamiento para confirmar que los valores de correo electrónico actualizados se están enviando.
Verifique que los valores de correo electrónico actualizados aparezcan en los registros de aprovisionamiento antes de pedir a los usuarios que reintentar el inicio de sesión.

Limpieza posterior a la corrección

Después de corregir el mapeo de atributos y completar la sincronización completa, es posible que necesite limpieza adicional:

Cuentas gratuitas no autorizadas: Contacte a Anthropic Support para que las eliminen.
Cuentas fantasma (asientos con correo electrónico incorrecto): Contacte a Anthropic Support para desaprovisionar estas cuentas fantasma.
Disponibilidad de asientos: Si las cuentas fantasma ocupan todos los asientos contratados, los nuevos inicios de sesión fallarán. Contacte al soporte.
Re-agregar usuarios afectados: Después de que se eliminen las cuentas fantasma, es posible que los usuarios deban ser re-invitados o re-aprovisionados.

Prevenir ocurrencias futuras: Habilite "Restrict organization creation" en la configuración de su empresa.

Verificación

Verifique una muestra de usuarios aprovisionados — confirme que su correo electrónico en el registro de aprovisionamiento de su IdP coincida con el formato de correo electrónico que envía SSO.
Pida a un usuario afectado que borre las cookies del navegador para claude.ai y luego inicie sesión a través de SSO.
Confirme que los usuarios no están creando accidentalmente cuentas gratuitas.
Si Claude Code se vio afectado, haga que el usuario ejecute nuevamente claude auth login --enterprise y confirme que el correo electrónico coincida con su asiento empresarial.

Errores comunes

Error	Solución
Campo `username` de PingOne utilizado en lugar de `email`	Cambie el mapeo SCIM al atributo Email Address de PingOne.
Falta de coincidencia de atributos de PingFederate en capas de contrato	Trace el atributo de correo electrónico de extremo a extremo: fuente LDAP → adaptador IdP → contrato de adaptador → conector SP → aserción.
LDAP `sAMAccountName` o `uid` asignado como fuente de correo electrónico	Utilice el atributo LDAP `mail` en su lugar.
La sincronización de aprovisionamiento incremental no actualiza los usuarios existentes	Se requiere una resincronización completa después de cambiar los mapeos de atributos.
Contrato de atributos actualizado en PingFederate pero conector SCIM no actualizado	Tanto la conexión SP como el canal de aprovisionamiento SCIM saliente deben actualizarse de forma independiente.
Correos electrónicos actualizados en SCIM pero el usuario aún no puede iniciar sesión	Verifique si hay organizaciones gratuitas no autorizadas o cuentas fantasma. Borre las cookies del navegador e intente de nuevo.

Cuándo contactar a Anthropic Support

Los atributos SCIM y SSO parecen idénticos pero los usuarios aún no pueden acceder a sus asientos.
Necesita confirmar qué correo electrónico registró Claude durante el aprovisionamiento SCIM para usuarios específicos.
Necesita ayuda para limpiar cuentas fantasma u organizaciones gratuitas no autorizadas.
Los usuarios están recibiendo un error de falta de asientos a pesar de que su contrato tiene asientos disponibles.

Contacte a [email protected] con el dominio de su organización, la dirección de correo electrónico del usuario afectado y capturas de pantalla de sus mapeos de atributos.

Desajuste de correo electrónico SSO/SCIM — Ping Identity