Esta guía te ayuda a configurar permisos basados en roles para tu organización Enterprise. Esto te permite controlar qué características y conectores pueden acceder equipos específicos o grupos de miembros, y delegar acceso administrativo específico como facturación o gestión de usuarios, en lugar de dar a todos los mismos permisos.
Antes de comenzar, asegúrate de estar familiarizado con:
Gestionar grupos y límites de gasto de grupos en planes Enterprise — cómo crear y gestionar grupos
Gestionar roles personalizados en planes Enterprise — cómo funcionan los roles personalizados y las capacidades
Antes de comenzar
Necesitarás acceso de Propietario o Propietario Principal a tu organización Enterprise, o un rol personalizado con Identidad y Acceso configurado en Gestionar.
Nota: Algunos de estos pasos requieren más que el rol personalizado de Identidad y Acceso: habilitar características a nivel de organización requiere el rol de Propietario, y cambiar roles de miembros requiere Gestión de Usuarios configurado en Gestionar.
Verifica qué capacidades están habilitadas a nivel de organización. Ve a Configuración de la organización y asegúrate de saber qué capacidades pueden acceder los miembros actualmente. Para configuraciones gestionadas por RBAC, tanto la configuración de la organización como la configuración de rol deben estar activadas para que los usuarios obtengan acceso.
Haz una copia de seguridad de tu lista de miembros. Exporta un CSV de tus miembros actuales desde Configuración de la organización > Miembros antes de hacer cambios. Si algo sale mal durante la migración, esto te da una referencia para restaurar el acceso. Consulta Gestionar miembros en planes Team y Enterprise.
Determina qué equipos o funciones necesitan cada capacidad. Por ejemplo, Ingeniería obtiene Claude Code + Modo Rápido y Marketing obtiene Cowork + Búsqueda Web. A partir de aquí, define tus roles personalizados.
Planes de doble asiento. Si tu organización está en un plan Enterprise de doble asiento (con asientos de Chat y Chat + Claude Code), los roles personalizados no anulan las restricciones a nivel de asiento. Un miembro asignado a un asiento solo de Chat no puede acceder a Claude Code incluso si su rol personalizado lo permite. Lo mismo se aplica a la inversa: si el rol personalizado de un miembro no otorga la capacidad de chat, no tendrá acceso a chat independientemente de su tipo de asiento. Planifica tu estructura de roles teniendo en cuenta las asignaciones de asientos.
Nota: "Chat + Claude Code" se refiere a un tipo de asiento en planes de doble asiento heredados. La capacidad "chat" en roles personalizados es separada—controla el acceso a chat para cualquier miembro cuyo rol esté configurado en "Personalizado" en cualquier plan.
Decide cómo crearás grupos. Puedes crear grupos manualmente en Claude, o sincronizarlos desde tu proveedor de identidad (IdP) a través de SCIM. También puedes usar ambos métodos simultáneamente. Si planeas usar grupos de IdP de Okta, Entra ID u otro proveedor, asegúrate de que la sincronización del directorio SCIM esté configurada. Consulta Configurar aprovisionamiento JIT o SCIM.
Añade los conectores que planeas gobernar. Los permisos de conectores solo cubren conectores que un Propietario o Propietario Principal ya ha añadido bajo Configuración de la organización > Conectores y conectado con credenciales de administrador. Revisa también tu política de herramientas a nivel de organización allí, ya que los otorgamientos de roles se estrechan dentro de ella y no pueden ampliarse más allá de ella. Consulta Usar conectores para ampliar las capacidades de Claude.
Planificar tu estructura de roles
Antes de crear nada, decide qué características debe tener acceso cada equipo o grupo de miembros. Aquí hay cuatro patrones comunes:
Roles base más aditivos
Este es el enfoque recomendado para la mayoría de las organizaciones. Crea un rol "Acceso Estándar" para todos con características comunes como búsqueda web, memoria y proyectos. Luego crea roles aditivos que otorguen capacidades específicas — por ejemplo, un rol "Cowork Habilitado" que solo añade Cowork. Asigna todos los miembros al rol base a través de un grupo "Todos los Usuarios", y añade miembros específicos a grupos adicionales que añadan características extra.
Este patrón es flexible porque los permisos son aditivos — combinar un rol base con roles aditivos se compone limpiamente sin conflictos.
Roles basados en niveles
Crea niveles distintos: "Acceso Completo" con todas las características, "Acceso Estándar" con la mayoría de características, y "Acceso Restringido" con características mínimas. Cada miembro va en exactamente un grupo asignado a un nivel.
Roles basados en departamentos
Crea roles que se asignen a departamentos: "Ingeniería" con chat, Cowork, Claude Code y ejecución de código; "Investigación" con chat, búsqueda web, memoria y proyectos; "Negocios" con chat, búsqueda web y proyectos solamente. Asigna cada grupo de departamento a su rol correspondiente.
Roles de delegación de administración
Crea roles que deleguen partes de la administración sin otorgar el rol de Propietario. Un rol personalizado con permisos de administración no necesita ninguna capacidad de usuario, y viceversa. Podrías crear un rol "Finanzas" que otorgue acceso de Facturación pero sin capacidad de chat o Claude Code, o un rol "Líder de Ingeniería" que otorgue acceso a Claude Code más acceso de visualización de Análisis. Obtén más información sobre permisos de administración para roles personalizados.
Paso 1: Audita tu configuración actual
Revisa qué características están actualmente habilitadas o deshabilitadas a nivel de organización en Configuración de la organización > Capacidades.
Ve a Configuración de la organización > Miembros para exportar o revisar tu lista de miembros.
Anota el rol integrado actual de cada miembro (Usuario, Administrador u Propietario).
Para cada equipo o departamento, decide qué características necesitan acceso.
Recuerda: cualquier característica que quieras controlar por grupo debe estar habilitada a nivel de organización. Si una característica está desactivada a nivel de organización, ningún rol personalizado puede otorgar acceso a ella.
Importante: A diferencia de los miembros con el rol de Usuario, los miembros asignados a roles personalizados no heredan automáticamente las capacidades habilitadas en la organización. Cada capacidad que un miembro de rol "Personalizado" necesita debe ser otorgada explícitamente por un rol personalizado asignado a uno de sus grupos.
Paso 2: Crear roles personalizados
Crea tus roles personalizados antes de habilitar cualquier característica o migrar miembros. Esto asegura que tus roles estén listos para hacer cumplir el acceso en el momento en que las características se activen.
Navega a Configuración de la organización > Roles.
Haz clic en "Añadir rol".
Nombra el rol y activa las capacidades apropiadas en la pestaña Capacidades.
En la pestaña Permisos, establece permisos de administración para el rol. Consulta Paso 3.
En la pestaña Conectores, establece permisos de conectores para el rol. Consulta Paso 4.
En la pestaña Modelos, establece acceso a modelos y un modelo predeterminado para el rol. Consulta Paso 5.
Haz clic en "Guardar rol".
Repite para cada rol en tu plan.
Los cambios de rol pueden tardar hasta 15 minutos en surtir efecto. Los miembros pueden necesitar actualizar su navegador para ver el acceso actualizado.
Consulta Gestionar roles personalizados en planes Enterprise para obtener detalles sobre capacidades disponibles, permisos de administración y conectores.
Paso 3: Configurar permisos de administración (opcional)
Establece permisos de administración en cada rol para delegar acceso a configuraciones de administración, como facturación, gestión de usuarios o privacidad, sin otorgar el rol de Propietario. Este paso es opcional. Si no lo configuras, los roles no otorgan acceso de administración y la administración permanece con Propietarios y Propietarios Principales. Para ver qué cubre cada área de permisos, consulta Gestionar roles personalizados en planes Enterprise.
Localiza la pestaña Permisos
Navega a Configuración de la organización > Roles.
Abre un rol existente o haz clic en "Agregar rol" para crear uno.
Selecciona la pestaña Permisos, entre Capacidades y Conectores.
Establecer permisos de administrador
La pestaña Permisos enumera cada área de administrador: Identidad y Acceso, Facturación, Análisis, Privacidad, Gestión de Usuarios y Bibliotecas. Establece cada área de administrador en una de las siguientes opciones:
Sin acceso: El miembro no ve esta área en la configuración de su organización.
Puede ver: Ver otorga acceso de solo lectura. El miembro ve las mismas páginas y configuraciones que alguien que puede administrar esa área, pero todos los controles están deshabilitados o se muestran como de solo lectura. Usa este nivel de permiso para revisores de cumplimiento, auditores financieros, equipos de seguridad o cualquiera que necesite ver la configuración sin cambiarla.
Puede administrar: Administrar otorga acceso completo de lectura y escritura al área e incluye acceso de visualización.
Dentro de un área, otorgas todo de Ver o todo de Administrar. No puedes otorgar ni restringir páginas o configuraciones individuales.
Nota: Un rol con Identidad y Acceso establecido en Administrar puede crear y editar grupos y roles, incluida su propia definición de rol. Los miembros con este permiso pueden expandir su propio acceso, así que resérvalo para administradores de seguridad e IT de confianza.
Verificar cumplimiento
Verifica los permisos de administrador después de haber migrado miembros a roles "Personalizado" (Paso 7). Consulta Paso 11: Verificar y monitorear.
Paso 4: Configurar permisos de conector (opcional)
Establece permisos de conector en cada rol para controlar qué conectores y qué herramientas en esos conectores puede usar el rol. Este paso es opcional. Si no lo configuras, tus roles vuelven al comportamiento predeterminado descrito a continuación. Para saber cómo funciona el modelo de permisos de extremo a extremo, consulta Administrar roles personalizados en planes Enterprise.
Importante: Cuando Anthropic habilita permisos de conector para tu organización, cada rol personalizado existente se inicializa con la concesión "Todos los conectores" en "Siempre permitir". Debido a que "Siempre permitir" es la concesión más permisiva, tu política de herramientas de toda la organización determina únicamente el techo efectivo de cada miembro en la habilitación. Los miembros ni ganan ni pierden acceso en la habilitación. Tu primer paso de configuración se reduce desde esa línea de base.
Nota: Un rol recién creado tiene "Necesita aprobación" en cada conector de forma predeterminada. El flujo de crear rol avanza por la pestaña Conectores para que veas este valor predeterminado antes de guardar. Sube un conector a "Siempre permitir" o bájalo a "Bloqueado" según sea necesario.
Localiza la pestaña Conectores
Navega a Configuración de la organización > Roles.
Abre un rol existente o haz clic en "Agregar rol" para crear uno.
Selecciona la pestaña Conectores, junto a Permisos.
La configuración predeterminada para nuevos roles es permisiva. Al crear o modificar un rol, confirma la configuración en cada pestaña para evitar otorgar permisos no deseados.
Establecer permisos a nivel de conector
La pestaña Conectores enumera una fila Todos los conectores en la parte superior, seguida de cada conector que tu organización ha agregado. Cada fila tiene un menú desplegable con cuatro opciones:
Siempre permitir: Todas las herramientas del conector están disponibles y los miembros pueden establecer su propia aprobación en "Siempre permitir".
Necesita aprobación: Todas las herramientas están disponibles, pero los miembros confirman cada llamada.
Bloqueado: El conector está oculto para los miembros con este rol.
Personalizado: Establece cada herramienta del conector individualmente. Consulta "Establecer permisos por herramienta" a continuación.
Elegir "Siempre permitir", "Necesita aprobación" o "Bloqueado" aplica ese nivel a todas las herramientas del conector. La fila Todos los conectores funciona de la misma manera un nivel arriba: establece una línea de base para cada conector a la vez, incluido cualquier conector que agregues más tarde. Úsalo para establecer el valor predeterminado de un rol y luego anula conectores individuales.
Establecer permisos por herramienta
Establece un conector en Personalizado para revelar sus herramientas como filas individuales. Cada herramienta tiene su propio menú desplegable: "Siempre permitir", "Necesita aprobación" o "Bloqueado".
Los permisos por herramienta permiten que un rol acceda a parte de un conector. Por ejemplo, con Jira establecido en Personalizado, su herramienta search_issues establecida en "Necesita aprobación" y todas las demás herramientas de Jira establecidas en "Bloqueado", los miembros con el rol pueden buscar en Jira pero nada más. Claude solo ve las herramientas que has otorgado, así que pedirle que cree un ticket devuelve "No tengo una herramienta para eso" en lugar de un error.
Revisar conflictos entre roles
Debido a que los permisos de conector son aditivos entre roles, bloquear un conector en un rol no tiene efecto en un miembro que también tiene otro rol que lo otorga. Cada fila de conector muestra una advertencia cuando otros roles otorgan el mismo conector en un nivel diferente. La advertencia nombra esos roles y vincula a ellos, y la concesión más permisiva es la que se aplica.
Si tienes ediciones sin guardar cuando abres un rol vinculado, se te pide que las descartes primero.
Verificar cumplimiento
Verifica los permisos de conector después de haber migrado miembros a roles "Personalizado" (Paso 7). Consulta Paso 11: Verificar y monitorear.
Importante: Si tu organización usa Claude Code, habilitar permisos de conector también aplica tu política de herramientas de toda la organización a Claude Code. Esto solo puede restringir el acceso a herramientas allí, nunca ampliarlo, y afecta a todos los miembros. Revisa tu política de herramientas de toda la organización antes de la habilitación si Claude Code se implementa ampliamente. Los permisos de conector y la Configuración Administrada de Claude Code se componen por la más restrictiva. Consulta Configuración de Claude Code.
Paso 5: Configurar acceso a modelos (opcional)
Establece el acceso a modelos en cada rol para controlar qué modelos de Claude puede usar el rol, limita el nivel de esfuerzo máximo por modelo y elige el modelo en el que comienzan las nuevas conversaciones. Este paso es opcional; si no lo configuras, los nuevos roles pueden usar cada modelo que esté habilitado a nivel de organización, en cualquier nivel de esfuerzo, e iniciar en el modelo predeterminado de la organización.
Para saber cómo funcionan el acceso a modelos y la configuración del modelo predeterminado de extremo a extremo, consulta Administrar acceso a modelos para tu organización y Establecer un modelo predeterminado para tu organización.
Localiza la pestaña Modelos
Navega a Configuración de la organización > Roles.
Abre un rol existente o haz clic en "Agregar rol" para crear uno.
Selecciona la pestaña Modelos, junto a Conectores.
Establecer acceso a modelos
En Acceso a modelos, activa o desactiva cada modelo para este rol. Los modelos deshabilitados a nivel de organización aparecen pero no se pueden habilitar aquí hasta que los actives para la organización en Configuración de la organización > Modelos. Los modelos Haiku siempre están activados y no se pueden desactivar.
Para limitar el nivel de esfuerzo que un rol puede seleccionar en un modelo, haz clic en el icono de engranaje junto al modelo y elige un nivel.
En Modelo predeterminado, opcionalmente selecciona el modelo en el que comienzan las nuevas conversaciones para este rol. Solo se pueden seleccionar modelos a los que el rol tiene acceso.
Verificar cumplimiento
Verifica el acceso a modelos después de haber migrado miembros a roles "Personalizado". Consulta Paso 11: Verificar y monitorear.
Paso 6: Crear grupos y asignar roles
Haz clic en "Agregar grupo" para crear un grupo para cada equipo o nivel en tu plan.
Agrega miembros a los grupos apropiados.
Asigna cada grupo a los roles personalizados que creaste en el paso 2.
Si usas sincronización de directorios SCIM, puedes sincronizar grupos desde tu proveedor de identidad en lugar de crearlos manualmente. Para obtener detalles sobre la sincronización de grupos SCIM, consulta Administrar grupos y límites de gasto de grupos en planes Enterprise.
Múltiples organizaciones bajo la misma organización principal: Los grupos se administran a nivel de organización principal y se propagan a todas las organizaciones secundarias. Puedes ver miembros de otras organizaciones listados en un grupo, pero esto no significa que tengan acceso a tu organización. Los roles personalizados asignados a un grupo solo otorgan capacidades a miembros que forman parte de tu organización específica.
Si solicitas mover una organización de un principal a otro (esto es raro en la práctica), los grupos y roles quedarán sin definir y tendrás que recrearlos.
Importante: Si tu organización usa Solo invitación o aprovisionamiento JIT, solo puedes usar grupos creados manualmente para RBAC. Los grupos sincronizados con SCIM no son compatibles en estos modos.
Paso 7: Verificar asignaciones de grupos y roles
Antes de migrar miembros a roles personalizados, confirma que cada miembro que planeas migrar esté en al menos un grupo asignado a un rol personalizado. Los miembros migrados sin cobertura de grupo o rol perderán acceso a todas las funciones controladas.
Usa los filtros de Rol y Grupo para identificar miembros que no estén asignados a ningún grupo.
Alternativamente, haz clic en "Exportar CSV" para descargar la lista completa de miembros con columnas de rol y grupo para revisión.
Agrega cualquier miembro sin asignar a los grupos apropiados antes de continuar.
Paso 8: Migrar miembros a roles personalizados
Para que las capacidades de roles personalizados surtan efecto, los miembros deben tener su rol establecido en "Personalizado". Los miembros con roles de Usuario, Administrador o Propietario obtienen sus permisos de esos roles directamente, no de roles personalizados.
Importante: Completa este paso solo después de haber creado tus roles personalizados, configurado permisos de administrador y conector si los usas, creado tus grupos y verificado que todos los miembros estén asignados a grupos. Los miembros movidos a roles personalizados antes de que la configuración esté completa perderán inmediatamente acceso a todas las funciones controladas y su rol anterior. Cambiar un Propietario o Administrador a roles personalizados elimina su acceso de Propietario o Administrador, así que no migres Propietarios o Administradores a menos que tengas la intención de reemplazar ese acceso con permisos de roles personalizados.
Elige la ruta de migración según si tu organización ya habilitó asignaciones de grupos:
Ruta A: Habilitar asignaciones de grupos (solo si ya está en uso)
Usa esta ruta solo si tu organización ya habilitó asignaciones de grupos para asignación de roles. Si no estás usando esta configuración, salta a la Ruta B.
En la sección de asignaciones de roles, asigna los grupos de IdP que deseas que sean controlados por roles personalizados al rol "Personalizado".
Guarda tus cambios. Los miembros en esos grupos de IdP se migran a roles "Personalizado" en la siguiente sincronización.
Los miembros en grupos de IdP asignados a roles "Personalizado" siguen los permisos de los roles personalizados asignados a sus grupos en Claude. Los miembros en grupos de IdP asignados a Usuario siguen la configuración de capacidades a nivel de organización. Si un miembro está en grupos en ambas asignaciones, los roles "Personalizado" tienen prioridad.
Ruta B: Herramienta de asignación masiva
Usa esta ruta si tu organización no ha habilitado asignaciones de grupos.
Advertencia: Si no habilitaste ya asignaciones de grupos, no las habilites durante la configuración de RBAC. Habilitarlas sin antes asignar todos los miembros a grupos asignados puede resultar en que los miembros pierdan acceso a tu organización.
Usa los filtros de Rol y Grupo para seleccionar los miembros que deseas migrar.
Usa la herramienta de asignación masiva en la tabla de Miembros para cambiar el rol de los miembros seleccionados a "Personalizado".
Recomendamos migrar primero un grupo piloto (un equipo o departamento) y verificar que su acceso sea correcto antes de expandir al resto de la organización.
Implementación gradual
Sea cual sea la ruta que uses, recomendamos migrar en etapas:
Comienza con un grupo piloto de un equipo o departamento.
Después de la migración, verifica que el grupo piloto tenga el acceso correcto a funciones basado en sus asignaciones de grupo y rol.
Si algo no es correcto, cambia los miembros afectados de vuelta a su rol anterior mientras ajustas.
Expande a más miembros una vez que hayas confirmado que la configuración funciona.
Paso 9: Habilitar funciones a nivel de organización
Solo habilita funciones a nivel de organización después de que los roles, grupos y la migración de miembros estén completos. Esto asegura que las capacidades de roles personalizados ya estén en su lugar, sin una ventana donde miembros no autorizados pudieran acceder a una función.
Para cualquier función que desees controlar por grupo:
Navega a la página de configuración de la función en Configuración de la organización (por ejemplo, Configuración de la organización > Cowork).
Habilita la función a nivel de organización.
Habilitar una función a nivel de organización no significa que todos la obtengan: los permisos de roles personalizados ya están en su lugar para controlar quién puede usarla. Piensa en el interruptor a nivel de organización como hacer que la función esté "disponible para asignación basada en roles" en lugar de "activada para todos".
Paso 10: Aplicar un límite de gasto de grupo (solo organizaciones basadas en uso)
Navega a la página "Uso" para asignar un límite de gasto mensual por usuario a cualquier grupo.
Ten en cuenta las siguientes reglas de precedencia:
Los límites individuales siempre anulan los límites de grupo, independientemente de cuál sea mayor.
Si un usuario pertenece a múltiples grupos con diferentes límites, la configuración de Límite de gasto de múltiples grupos bajo Valores predeterminados de gasto controla si se aplica el límite superior o inferior.
Los límites en toda la organización siguen siendo el techo máximo.
Los cambios de membresía se aplican automáticamente: los usuarios heredan o pierden límites tan pronto como cambia su membresía de grupo. Solo es relevante para organizaciones con facturación basada en uso.
Paso 11: Verificar y monitorear
Verificación puntual del acceso: Abre el menú "⋮" en el lado derecho de la fila de un miembro en Configuración de la organización > Miembros y selecciona "Ver rol efectivo". El modal muestra todas las capacidades, permisos de administrador y conectores que tiene el miembro en todos sus roles, con una etiqueta "Otorgado por" que indica qué rol proporciona cada uno. Puedes hacer lo mismo para un grupo desde Configuración de la organización > Grupos. Para más detalles, consulta Administrar roles personalizados en planes Enterprise.
Prueba el estado restringido: Inicia sesión como (o pide a) un miembro que no debería tener una función como Cowork. Debería verla atenuada con el mensaje "Contacta a tu administrador para solicitar acceso a esta función".
Prueba el estado otorgado: Confirma que un miembro que debería tener la función la ve funcionando normalmente.
Verifica casos extremos: Prueba miembros en múltiples grupos, miembros sin grupo y nuevos miembros que se unen a través de SSO.
Si configuraste permisos de administrador, también verifica:
Asignaciones de grupo y rol: Los propietarios pueden verificar el acceso de un miembro comprobando sus asignaciones de grupo en la página Miembros y los roles asignados a esos grupos en la página Roles.
Configuración de la organización: En la configuración de la organización, el miembro solo ve las secciones que cubren sus permisos de administrador. Todo lo demás está oculto en su configuración. Los miembros con acceso de visualización ven las páginas como de solo lectura, con controles deshabilitados.
Acceso a Analytics: Los miembros con acceso a Analytics verán analytics en Configuración > Analytics, no en la configuración de la organización.
Si configuraste permisos de conector, también verifica:
Menú de conector: Los conectores bloqueados no aparecen, y los conectores con al menos una herramienta otorgada sí aparecen.
Configuración de conector: Las herramientas bloqueadas están atenuadas con "Esta herramienta no está habilitada para tu rol. Contacta a tu administrador". Las herramientas limitadas a "Necesita aprobación" muestran un menú de aprobación personal limitado a "Solicitar" y "Nunca".
En una conversación: Pídele a Claude que use una herramienta bloqueada, e informará que no tiene herramienta para la tarea. Pídele que use una herramienta "Necesita aprobación", y aparecerá el mensaje de aprobación sin una opción "Permitir siempre".
Si configuraste acceso a modelos, también verifica:
Selector de modelo: Los modelos deshabilitados no aparecen, y el menú de esfuerzo se detiene en el límite del rol.
En una conversación: Pídele al miembro que cambie a un modelo deshabilitado. No debería estar listado, y en Claude Code CLI, /model <disabled-model> devuelve un error.
Los cambios de rol pueden tardar hasta 15 minutos en aplicarse en toda la plataforma. Los miembros pueden necesitar actualizar su navegador para ver el acceso actualizado.
Usar SCIM con capacidades basadas en roles
SCIM se conecta a tus capacidades basadas en roles a través de dos mecanismos que funcionan juntos.
Mapeo de grupo de IdP a rol
Esto controla qué rol integrado obtiene un miembro cuando se aprovisiona. Mapea tus grupos de IdP a roles "Personalizados" para que el acceso de los nuevos miembros se rija automáticamente por las capacidades de rol personalizado.
En la tabla de mapeos de rol, mapea tus grupos de IdP a roles "Personalizados".
Sincronización de grupo
Esto extrae tus grupos de IdP a Claude para que puedan asignarse a roles personalizados.
Haz clic en "Buscar actualizaciones" en la sección Sincronización SCIM.
Cuando se te pida que sincronices Grupos, Miembros o Ambos, selecciona solo Grupos. Sincronizar Miembros puede afectar el aprovisionamiento y el acceso de miembros.
Tus grupos de IdP aparecen como grupos originarios de SCIM en la lista.
Asigna grupos SCIM a roles personalizados igual que los grupos creados manualmente.
En tu IdP, solo envía los grupos que realmente tengas la intención de usar para RBAC o límites de gasto. Sincronizar todos los grupos de IdP puede ralentizar la carga de páginas en la sección Grupos.
Nota: Los permisos de rol personalizado solo se aplican a miembros con roles "Personalizados" seleccionados en Configuración de la organización > Miembros. Si mapeas un grupo de IdP a un rol diferente (como Usuario) a través del mapeo de grupo a rol pero asignas ese mismo grupo SCIM a un rol personalizado, los permisos del rol personalizado no tienen efecto: el miembro obtiene sus permisos de su rol asignado en su lugar. Para usar roles personalizados, asegúrate de que el grupo de IdP esté mapeado a "Personalizado".
Gestión continua con SCIM
Para otorgar a un miembro acceso a una función, agrégalo al grupo de IdP apropiado. En la siguiente sincronización, obtendrá el rol personalizado asignado a ese grupo.
Para revocar el acceso, elimínalo del grupo de IdP. En la siguiente sincronización, se elimina el permiso.
Haz clic en "Sincronización SCIM" en la sección Grupos para forzar una sincronización inmediata en lugar de esperar la siguiente sincronización programada.
Plan de reversión
Si notas que tu estructura de rol está mal configurada después de la migración:
Desactiva cualquier función a nivel de organización que se haya habilitado como parte de la migración.
Cambia los miembros afectados de vuelta a su rol integrado anterior (por ejemplo, Usuario).
Recuperan inmediatamente los permisos estáticos de ese rol, y los permisos de rol personalizado dejan de aplicarse.
Ajusta roles y grupos según sea necesario, luego vuelve a migrar.
Si habilitaste mapeos de grupo durante la configuración y perdiste acceso de administrador, sigue los pasos de recuperación en Configurar aprovisionamiento JIT o SCIM bajo "Perdí acceso de Administrador/Propietario después de habilitar mapeos de grupo".
Preguntas frecuentes
¿Necesito habilitar una función a nivel de organización si solo quiero que algunos miembros la tengan?
Sí. El interruptor a nivel de organización debe estar activado para que los roles personalizados controlen el acceso por miembro. Si una función está desactivada a nivel de organización, nadie puede acceder a ella independientemente de su rol. Piénsalo como un interruptor principal: los roles personalizados controlan quién obtiene acceso debajo de él.
¿Qué sucede si un miembro cuyo rol está configurado como "Personalizado" no está en ningún grupo?
No tienen permisos de rol personalizado, por lo que todas las funciones que requieren permisos están atenuadas u ocultas. Asegúrate de que cada miembro cuyo rol esté configurado como "Personalizado" esté en al menos un grupo asignado a un rol personalizado.
Falta un modelo en el selector de modelo de un miembro.
El modelo está deshabilitado a nivel de organización (Configuración de la organización > Modelos) o ninguno de los roles personalizados del miembro lo permite. Las deshabilitaciones a nivel de organización afectan a todos, incluidos Propietarios y Administradores.
¿Qué sucede si un rol personalizado no otorga acceso al chat?
Los miembros con ese rol no verán la interfaz de chat de Claude. Llegarán a su página de configuración cuando inicien sesión. Si su rol otorga otros productos como Cowork o Claude Code, estos permanecen accesibles desde su página de configuración y desde las aplicaciones relevantes.
El chat está habilitado de forma predeterminada en todos los roles personalizados, por lo que solo necesitas preocuparte por esto si deshabilitaste intencionalmente el chat para un rol.
¿Puedo usar tanto roles integrados como personalizados?
Sí. Los miembros con los roles Usuario, Administrador o Propietario no se ven afectados por los permisos de roles personalizados porque obtienen sus permisos de esos roles directamente. Solo los miembros con un rol establecido en "Personalizado" están controlados por el sistema de grupos y roles. Esto permite una migración gradual.
¿Qué sucede si un miembro está en dos grupos con roles diferentes?
Los permisos son acumulativos. Si algún rol en la cadena de un miembro otorga una función, la tiene. No puedes usar un rol para eliminar un permiso otorgado por otro rol.
¿Puedo usar grupos SCIM y grupos manuales juntos?
Sí. Ambos tipos pueden asignarse a roles personalizados. La diferencia es que la pertenencia al grupo SCIM se gestiona en tu proveedor de identidad, mientras que la pertenencia al grupo manual se gestiona en la configuración de la organización de Claude.
¿Se ven afectados los Propietarios y Propietarios Principales por los permisos de roles personalizados?
No. Los Propietarios y Propietarios Principales siempre tienen acceso completo a todas las funciones.
¿Cómo funciona esto en organizaciones principales y secundarias?
Los grupos y la sincronización SCIM se gestionan a nivel de organización principal y se comparten en todas las organizaciones secundarias. Las asignaciones de roles y límites de gasto se configuran independientemente en cada organización secundaria; los cambios en una organización secundaria no afectan a otras. Los cambios de pertenencia a grupos y las resincronizaciones SCIM se propagan en todas las organizaciones secundarias bajo la misma organización principal.
¿Qué sucede con mis roles personalizados existentes cuando se habilitan los permisos de conectores?
Cada rol existente se inicializa con la concesión "Todos los conectores" en "Permitir siempre", por lo que el acceso de los miembros no cambia al habilitarse. Desde allí, restringes el acceso.
¿Cuál es el permiso de conector predeterminado en un rol nuevo?
"Requiere aprobación" en cada conector. El flujo de creación de rol recorre la pestaña Conectores para que lo veas antes de guardar.
¿Qué sucede cuando agrego un nuevo conector después de que existan mis roles?
Un rol cuya fila "Todos los conectores" está establecida en "Permitir siempre", "Requiere aprobación" o "Bloqueado" cubre el nuevo conector en ese nivel automáticamente. Un rol cuya fila "Todos los conectores" está establecida en "Personalizado" trata el nuevo conector como "Bloqueado" hasta que lo configures.
Bloqueé un conector en un rol, pero un miembro con ese rol aún puede usarlo. ¿Por qué?
Verifica si el miembro tiene otro rol que lo otorgue, ya que la concesión más permisiva gana entre roles. La advertencia de conflicto en la fila del conector enumera esos roles. También confirma que el rol del miembro está establecido en "Personalizado".
Mi política de herramientas a nivel de organización ya bloquea una herramienta. ¿Necesito bloquearla en cada rol?
No. La política a nivel de organización es el límite máximo. Una herramienta bloqueada allí está bloqueada para todos, independientemente de los permisos de rol.
¿Puede un rol otorgar una herramienta que la política a nivel de organización establece en "Requiere aprobación"?
El rol puede otorgarla, pero la configuración más restrictiva gana, por lo que los miembros la ven limitada a "Requiere aprobación". Para permitir que los miembros establezcan "Permitir siempre", primero eleva la política a nivel de organización a "Permitir siempre".
¿Puedo otorgar una herramienta en un conector sin otorgar el conector completo?
Sí. Establece el conector en "Personalizado", establece la herramienta en "Permitir siempre" o "Requiere aprobación", y deja el resto "Bloqueado".
¿Se aplican los permisos de conectores a herramientas integradas como búsqueda web o ejecución de código?
No. Las funciones integradas se rigen en la pestaña Capacidades. La pestaña Conectores rige los conectores que tu organización ha agregado.
¿Con qué rapidez entran en vigor los cambios de permisos de conectores?
Los cambios de rol pueden tardar hasta 15 minutos en entrar en vigor. Los miembros pueden necesitar actualizar su navegador.
¿Puede alguien en un rol personalizado con permisos darse a sí mismo más acceso?
Solo si su rol incluye Identidad y Acceso establecido en Administrar, que cubre la edición de roles y grupos. Reserva ese permiso para administradores de seguridad e IT de confianza, ya que puede usarse para cambiar definiciones de roles, incluidas las suyas propias.
¿Puedo dar permisos de administrador a un miembro en el rol Usuario, Administrador, Propietario o Propietario Principal?
No. Los permisos de administrador solo se aplican a miembros en un rol personalizado. Los miembros en un rol integrado mantienen el acceso que ese rol otorga. Para dar a alguien permisos de administrador específicos, cambia el miembro a un rol personalizado y agrégalo a un grupo asignado a un rol con los permisos que necesita. Ten en cuenta que esto elimina su acceso anterior de rol integrado.
¿Qué ve alguien cuando no tiene permisos para una configuración determinada?
La configuración de la organización solo muestra las secciones que cubren sus permisos. Las secciones a las que no tienen acceso están completamente ocultas en su configuración de la organización.
¿Cómo audito quién tiene acceso de administrador?
Configuración de la organización > Roles muestra los permisos de administrador que cada rol personalizado otorga, y Configuración de la organización > Grupos muestra qué grupos están asignados a cada rol y quién pertenece a ellos. Para verificar un miembro específico, busca sus grupos en Configuración de la organización > Miembros, luego los roles a los que esos grupos están asignados.
¿Qué sucede si alguien necesita permisos en múltiples áreas?
Crea un rol que otorgue acceso a múltiples áreas, o agrega el miembro a múltiples grupos cuyos roles cubran las áreas que necesita. Los permisos se combinan de forma aditiva.





