Esta guía te acompaña en la configuración de permisos basados en roles para tu organización Enterprise. Esto te permite controlar qué características pueden acceder equipos específicos o grupos de miembros, en lugar de otorgar los mismos permisos a todos.
Antes de comenzar, asegúrate de estar familiarizado con:
Administrar grupos y límites de gasto de grupos en planes Enterprise — cómo crear y administrar grupos
Administrar roles personalizados en planes Enterprise — cómo funcionan los roles personalizados y las capacidades
Antes de comenzar
Necesitarás acceso de Propietario o Propietario Principal a tu organización Enterprise.
Verifica qué capacidades están habilitadas a nivel de organización. Ve a Configuración de la organización y asegúrate de saber qué capacidades pueden acceder los miembros actualmente. Para configuraciones administradas por RBAC, tanto la configuración de la organización como la configuración de rol deben estar activadas para que los usuarios obtengan acceso.
Haz una copia de seguridad de tu lista de miembros. Exporta un CSV de tus miembros actuales desde Configuración de la organización > Miembros antes de hacer cambios. Si algo sale mal durante la migración, esto te da una referencia para restaurar el acceso. Consulta Administrar miembros en planes Team y Enterprise.
Determina qué equipos o funciones necesitan cada capacidad. Por ejemplo, Ingeniería obtiene Claude Code + Modo Rápido y Marketing obtiene Cowork + Búsqueda web. A partir de aquí, define tus roles personalizados.
Planes de doble asiento. Si tu organización está en un plan Enterprise de doble asiento (con asientos de Chat y Chat + Claude Code), los roles personalizados no anulan las restricciones a nivel de asiento. Un miembro asignado a un asiento solo de Chat no puede acceder a Claude Code incluso si su rol personalizado lo permite. Lo mismo se aplica a la inversa: si el rol personalizado de un miembro no otorga la capacidad de chat, no tendrá acceso a chat independientemente de su tipo de asiento. Planifica tu estructura de roles teniendo en cuenta las asignaciones de asientos.
Nota: "Chat + Claude Code" se refiere a un tipo de asiento en planes de doble asiento heredados. La capacidad "chat" en roles personalizados es separada—controla el acceso a chat para cualquier miembro cuyo rol esté configurado en "Roles personalizados", en cualquier plan.
Decide cómo crearás grupos. Puedes crear grupos manualmente en Claude, o sincronizarlos desde tu proveedor de identidad (IdP) a través de SCIM. También puedes usar ambos métodos simultáneamente. Si planeas usar grupos de IdP de Okta, Entra ID u otro proveedor, asegúrate de que la sincronización del directorio SCIM esté configurada. Consulta Configurar aprovisionamiento JIT o SCIM.
Planificación de tu estructura de roles
Antes de crear nada, decide qué características debe tener acceso cada equipo o grupo de miembros. Aquí hay tres patrones comunes:
Roles base más aditivos
Este es el enfoque recomendado para la mayoría de las organizaciones. Crea un rol "Acceso Estándar" para todos con características comunes como búsqueda web, memoria y proyectos. Luego crea roles aditivos que otorguen capacidades específicas — por ejemplo, un rol "Cowork Habilitado" que solo agregue Cowork. Asigna todos los miembros al rol base a través de un grupo "Todos los Usuarios", y agrega miembros específicos a grupos adicionales que agreguen características extra.
Este patrón es flexible porque los permisos son aditivos — combinar un rol base con roles aditivos se compone limpiamente sin conflictos.
Roles basados en niveles
Crea niveles distintos: "Acceso Completo" con todas las características, "Acceso Estándar" con la mayoría de características, y "Acceso Restringido" con características mínimas. Cada miembro va en exactamente un grupo asignado a un nivel.
Roles basados en departamentos
Crea roles que se asignen a departamentos: "Ingeniería" con chat, Cowork, Claude Code y ejecución de código; "Investigación" con chat, búsqueda web, memoria y proyectos; "Negocios" con chat, búsqueda web y proyectos solamente. Asigna cada grupo de departamento a su rol correspondiente.
Paso 1: Audita tu configuración actual
Revisa qué características están actualmente habilitadas o deshabilitadas a nivel de organización en Configuración de la organización > Capacidades.
Ve a Configuración de la organización > Miembros para exportar o revisar tu lista de miembros.
Anota el rol integrado actual de cada miembro (Usuario, Admin u Propietario).
Para cada equipo o departamento, decide qué características necesitan acceso.
Recuerda: cualquier característica que quieras controlar por grupo debe estar habilitada a nivel de organización. Si una característica está desactivada a nivel de organización, ningún rol personalizado puede otorgar acceso a ella.
Importante: A diferencia de los miembros con el rol Usuario, los miembros asignados a Roles personalizados no heredan automáticamente las capacidades habilitadas en la organización. Cada capacidad que un miembro de Roles personalizados necesita debe ser otorgada explícitamente por un rol personalizado asignado a uno de sus grupos.
Paso 2: Crear roles personalizados
Crea tus roles personalizados antes de habilitar cualquier característica o migrar miembros. Esto asegura que tus roles estén listos para aplicar acceso en el momento en que se activen las características.
Haz clic en "Agregar rol".
Nombra el rol y activa las capacidades apropiadas.
Haz clic en "Agregar rol".
Repite para cada rol en tu plan.
Los cambios en los roles personalizados pueden tardar hasta cinco minutos en propagarse. Los miembros pueden necesitar actualizar sus navegadores para ver el acceso actualizado.
Consulta Administrar roles personalizados en planes Enterprise para obtener detalles sobre las capacidades disponibles.
Paso 3: Crear grupos y asignar roles
Haz clic en "Agregar grupo" para crear un grupo para cada equipo o nivel en tu plan.
Agrega miembros a los grupos apropiados.
Asigna cada grupo a los roles personalizados que creaste en el paso 2.
Si usas sincronización de directorio SCIM, puedes sincronizar grupos desde tu proveedor de identidad en lugar de crearlos manualmente. Para obtener detalles sobre la sincronización de grupos SCIM, consulta Administrar grupos y límites de gasto de grupos en planes Enterprise.
Múltiples organizaciones bajo la misma organización padre: Los grupos se administran a nivel de organización padre y se propagan a todas las organizaciones secundarias. Puedes ver miembros de otras organizaciones listados en un grupo—esto no significa que tengan acceso a tu organización. Los roles personalizados asignados a un grupo solo otorgan capacidades a miembros que son parte de tu organización específica.
Si solicitas mover una organización de un padre a otro (esto es raro en la práctica), los grupos y roles quedarán indefinidos y tendrás que recrearlos.
Importante: Si tu organización usa Solo invitación o aprovisionamiento JIT, solo puedes usar grupos creados manualmente para RBAC. Los grupos sincronizados por SCIM no son compatibles en estos modos.
Paso 4: Verificar asignaciones de grupos y roles
Antes de migrar miembros a Roles personalizados, confirma que cada miembro que planeas migrar está en al menos un grupo asignado a un rol personalizado. Los miembros que se migran sin cobertura de grupo o rol perderán acceso a todas las características gobernadas.
Utiliza los filtros de Rol y Grupo para identificar miembros que no estén asignados a ningún grupo.
Alternativamente, haz clic en "Exportar CSV" para descargar la lista completa de miembros con columnas de rol y grupo para revisión.
Añade los miembros sin asignar a los grupos apropiados antes de continuar.
Paso 5: Migra miembros a roles personalizados
Para que las capacidades de rol personalizado surtan efecto, los miembros deben tener su rol establecido en "Roles personalizados". Los miembros con los roles Usuario, Administrador o Propietario obtienen sus permisos de esos roles directamente, no de roles personalizados.
Importante: Completa este paso solo después de haber creado tus roles personalizados, creado tus grupos y verificado que todos los miembros estén asignados a grupos (pasos 2–4). Los miembros movidos a Roles personalizados antes de que la configuración esté completa perderán inmediatamente el acceso a todas las funciones controladas.
Elige la ruta de migración según si tu organización ya ha habilitado asignaciones de grupo:
Ruta A: Habilita asignaciones de grupo (solo si ya está en uso)
Utiliza esta ruta solo si tu organización ya ha habilitado asignaciones de grupo para la asignación de roles. Si aún no estás usando esta configuración, salta a la Ruta B.
Navega a Configuración de la organización > Organización y acceso.
En la sección de asignaciones de roles, asigna los grupos de IdP que deseas que sean controlados por roles personalizados al rol Roles personalizados.
Guarda tus cambios. Los miembros en esos grupos de IdP se migran a Roles personalizados en la siguiente sincronización.
Los miembros en grupos de IdP asignados a Roles personalizados siguen los permisos de los roles personalizados asignados a sus grupos en Claude. Los miembros en grupos de IdP asignados a Usuario siguen la configuración de capacidades a nivel de organización. Si un miembro está en grupos en ambas asignaciones, Roles personalizados tiene prioridad.
Ruta B: Herramienta de asignación masiva
Utiliza esta ruta si tu organización no ha habilitado asignaciones de grupo.
Advertencia: Si aún no has habilitado asignaciones de grupo, no las habilites durante la configuración de RBAC. Habilitarlas sin antes asignar todos los miembros a grupos asignados puede resultar en que los miembros pierdan acceso a tu organización.
Utiliza los filtros de Rol y Grupo para seleccionar los miembros que deseas migrar.
Utiliza la herramienta de asignación masiva en la tabla Miembros para cambiar el rol de los miembros seleccionados a Roles personalizados.
Recomendamos migrar primero un grupo piloto—un equipo o departamento—y verificar que su acceso sea correcto antes de expandir al resto de la organización.
Implementación gradual
Sea cual sea la ruta que uses, recomendamos migrar en etapas:
Comienza con un grupo piloto de un equipo o departamento.
Después de la migración, verifica que el grupo piloto tenga el acceso correcto a las funciones según sus asignaciones de grupo y rol.
Si algo no es correcto, cambia los miembros afectados de vuelta a su rol anterior mientras ajustas.
Expande a más miembros una vez que hayas confirmado que la configuración funciona.
Paso 6: Habilita funciones a nivel de organización
Solo habilita funciones a nivel de organización después de que los roles, grupos y la migración de miembros estén completos. Esto asegura que las capacidades de rol personalizado ya estén en su lugar, sin una ventana donde miembros no autorizados pudieran acceder a una función.
Para cualquier función que desees controlar por grupo:
Navega a la página de configuración de la función en Configuración de la organización (por ejemplo, Configuración de la organización > Cowork).
Habilita la función a nivel de organización.
Habilitar una función a nivel de organización no significa que todos la obtengan—los permisos de rol personalizado ya están en su lugar para controlar quién puede usarla. Piensa en el interruptor a nivel de organización como hacer que la función esté "disponible para asignación basada en roles" en lugar de "activada para todos".
Paso 7: Aplica un límite de gasto por grupo (solo organizaciones basadas en uso)
Navega a la página "Uso" para asignar un límite de gasto mensual por usuario a cualquier grupo.
Ten en cuenta las siguientes reglas de precedencia:
Los límites individuales siempre anulan los límites de grupo, independientemente de cuál sea mayor.
Si un usuario pertenece a múltiples grupos con diferentes límites, la organización puede aplicar el límite de gasto más bajo o más alto. Utiliza el menú desplegable bajo "Valores predeterminados de gasto" para determinar la precedencia que deseas aplicar.
Los límites a nivel de organización siguen siendo el techo máximo.
Los cambios de membresía surten efecto automáticamente—los usuarios heredan o pierden límites tan pronto como su membresía de grupo cambia. Relevante solo para organizaciones de facturación basada en uso.
Paso 8: Verifica y monitorea
Verificación rápida de acceso: Verifica algunos miembros de cada grupo para confirmar que ven las funciones correctas.
Prueba el estado restringido: Inicia sesión como (o pide a) un miembro que no debería tener una función como Cowork. Debería verla atenuada con el mensaje "Contacta a tu administrador para solicitar acceso a esta función".
Prueba el estado otorgado: Confirma que un miembro que debería tener la función la ve funcionando normalmente.
Verifica casos extremos: Prueba miembros en múltiples grupos, miembros sin grupo y nuevos miembros que se unen a través de SSO.
Los cambios de permisos tardan hasta cinco minutos en sincronizarse completamente en la plataforma. Los miembros pueden necesitar actualizar su navegador para ver el acceso actualizado.
Uso de SCIM con capacidades basadas en roles
SCIM se conecta a tus capacidades basadas en roles a través de dos mecanismos que funcionan juntos.
Asignación de grupo de IdP a rol
Esto controla qué rol integrado obtiene un miembro cuando se aprovisiona. Asigna tus grupos de IdP a "Roles personalizados" para que el acceso de los nuevos miembros sea automáticamente controlado por capacidades de rol personalizado.
En la tabla de asignaciones de roles, asigna tus grupos de IdP a "Roles personalizados".
Sincronización de grupos
Esto extrae tus grupos de IdP a Claude para que puedan asignarse a roles personalizados.
Haz clic en "Buscar actualizaciones" en la sección Sincronización SCIM.
Cuando se te pida sincronizar Grupos, Miembros o Ambos, selecciona solo Grupos. La sincronización de Miembros puede afectar el aprovisionamiento y el acceso de los miembros.
Tus grupos de IdP aparecen como grupos originados de SCIM en la lista.
Asigna grupos SCIM a roles personalizados igual que los grupos creados manualmente.
En tu IdP, solo envía los grupos que realmente tienes la intención de usar para RBAC o límites de gasto. La sincronización de todos los grupos de IdP puede ralentizar la carga de páginas en la sección Grupos.
Nota: Los permisos de roles personalizados solo se aplican a miembros con "Roles personalizados" seleccionados en Configuración de la organización > Miembros. Si asignas un grupo de IdP a un rol diferente (como Usuario) a través de la asignación de grupo a rol, pero asignas ese mismo grupo SCIM a un rol personalizado, los permisos del rol personalizado no tienen efecto—el miembro obtiene sus permisos del rol asignado. Para usar roles personalizados, asegúrate de que el grupo de IdP esté asignado a "Roles personalizados".
Gestión continua con SCIM
Para otorgar a un miembro acceso a una función, agrégalo al grupo de IdP apropiado. En la siguiente sincronización, obtiene el rol personalizado asignado a ese grupo.
Para revocar el acceso, elimínalo del grupo de IdP. En la siguiente sincronización, se elimina el permiso.
Haz clic en "Sincronización SCIM" en la sección Grupos para forzar una sincronización inmediata en lugar de esperar la siguiente sincronización programada.
Plan de reversión
Si notas que tu estructura de roles está mal configurada después de la migración:
Desactiva cualquier función a nivel de organización que se haya habilitado como parte de la migración.
Cambia los miembros afectados de vuelta a su rol integrado anterior (por ejemplo, Usuario).
Recuperan inmediatamente los permisos estáticos de ese rol, y los permisos de roles personalizados dejan de aplicarse.
Ajusta roles y grupos según sea necesario, luego vuelve a migrar.
Si habilitaste asignaciones de grupos durante la configuración y perdiste acceso de administrador, sigue los pasos de recuperación en Configurar aprovisionamiento JIT o SCIM bajo "Perdí acceso de Administrador/Propietario después de habilitar asignaciones de grupos".
Preguntas frecuentes
¿Necesito habilitar una función a nivel de organización si solo quiero que algunos miembros la tengan?
Sí. El interruptor a nivel de organización debe estar activado para que los roles personalizados controlen el acceso por miembro. Si una función está desactivada a nivel de organización, nadie puede acceder a ella independientemente de su rol. Piénsalo como un interruptor principal—los roles personalizados controlan quién obtiene acceso debajo de él.
¿Qué sucede si un miembro configurado como "Roles personalizados" no está en ningún grupo?
No tienen permisos de roles personalizados, por lo que todas las funciones que requieren permisos están deshabilitadas u ocultas. Asegúrate de que cada miembro configurado como "Roles personalizados" esté en al menos un grupo asignado a un rol personalizado.
¿Qué pasa si un rol personalizado no otorga acceso al chat?
Los miembros en ese rol no verán la interfaz de chat de Claude. Aterrizarán en su página de configuración cuando inicien sesión. Si su rol otorga otros productos como Cowork o Claude Code, esos permanecen accesibles desde su página de configuración y desde las aplicaciones relevantes.
El chat está habilitado por defecto en todos los roles personalizados, por lo que solo necesitas preocuparte por esto si intencionalmente desactivaste el chat para un rol.
¿Puedo usar tanto roles integrados como personalizados?
Sí. Los miembros con roles de Usuario, Administrador o Propietario no se ven afectados por los permisos de roles personalizados porque obtienen sus permisos de esos roles directamente. Solo los miembros configurados como Roles personalizados están controlados por el sistema de grupo y rol. Esto permite una migración gradual.
¿Qué pasa si un miembro está en dos grupos con roles diferentes?
Los permisos son aditivos. Si cualquier rol en la cadena de un miembro otorga una función, la tienen. No puedes usar un rol para eliminar un permiso otorgado por otro rol.
¿Puedo usar grupos SCIM y grupos manuales juntos?
Sí. Ambos tipos pueden asignarse a roles personalizados. La diferencia es que la pertenencia al grupo SCIM se gestiona en tu proveedor de identidad, mientras que la pertenencia al grupo manual se gestiona en la configuración de la organización de Claude.
¿Se ven afectados los Propietarios y Propietarios Principales por los permisos de roles personalizados?
No. Los Propietarios y Propietarios Principales siempre tienen acceso completo a todas las funciones.
¿Cómo funciona esto en organizaciones principales y secundarias?
Los grupos y la sincronización SCIM se gestionan a nivel de organización principal y se comparten en todas las organizaciones secundarias. Las asignaciones de roles y límites de gasto se configuran independientemente en cada organización secundaria—los cambios en una organización secundaria no afectan a otras. Los cambios de pertenencia al grupo y las resincronizaciones de SCIM se propagan en todas las organizaciones secundarias bajo la misma organización principal.