Esta guía te ayuda a configurar permisos basados en roles para tu organización Enterprise. Esto te permite controlar qué características pueden acceder equipos específicos o grupos de miembros, en lugar de dar los mismos permisos a todos.
Antes de comenzar, asegúrate de estar familiarizado con:
Administrar grupos y límites de gasto de grupos en planes Enterprise — cómo crear y administrar grupos
Administrar roles personalizados en planes Enterprise — cómo funcionan los roles personalizados y las capacidades
Antes de comenzar
Necesitarás acceso de Propietario o Propietario Principal a tu organización Enterprise.
Cierra sesión e inicia sesión nuevamente en tu cuenta de Claude antes de comenzar. Esto asegura que aparezca la barra lateral de configuración de administrador actualizada, con las nuevas páginas de Grupos y Roles personalizados bajo Personas.
Haz una copia de seguridad de tu lista de miembros. Exporta un CSV de tus miembros actuales desde Configuración de la organización > Miembros antes de hacer cambios. Si algo sale mal durante la migración, esto te da una referencia para restaurar el acceso. Consulta Administrar miembros en planes Team y Enterprise.
Planes de doble asiento: Si tu organización está en un plan Enterprise de doble asiento (con asientos de Chat y Chat + Claude Code), los roles personalizados no anulan las restricciones a nivel de asiento. Un miembro asignado a un asiento solo de Chat no puede acceder a Claude Code incluso si su rol personalizado lo permite. Planifica tu estructura de roles teniendo en cuenta las asignaciones de asientos.
Si planeas usar grupos de proveedor de identidad (IdP) de Okta, Entra ID u otro proveedor, asegúrate de que la sincronización de directorio SCIM esté configurada. Consulta Configurar aprovisionamiento JIT o SCIM.
Nota sobre modo de aprovisionamiento: Si tu organización usa aprovisionamiento Solo invitación o JIT, solo puedes usar grupos creados manualmente para RBAC. Los grupos sincronizados por SCIM no son compatibles en estos modos.
Planificar tu estructura de roles
Antes de crear nada, decide qué características debe tener acceso cada equipo o grupo de miembros. Aquí hay tres patrones comunes:
Roles base más aditivos
Este es el enfoque recomendado para la mayoría de las organizaciones. Crea un rol "Acceso Estándar" para todos con características comunes como búsqueda web, memoria y proyectos. Luego crea roles aditivos que otorguen capacidades específicas — por ejemplo, un rol "Cowork Habilitado" que solo añade Cowork. Asigna todos los miembros al rol base a través de un grupo "Todos los Usuarios", y añade miembros específicos a grupos adicionales que añadan características extra.
Este patrón es flexible porque los permisos son aditivos — combinar un rol base con roles aditivos se compone limpiamente sin conflictos.
Roles basados en niveles
Crea niveles distintos: "Acceso Completo" con todas las características, "Acceso Estándar" con la mayoría de características, y "Acceso Restringido" con características mínimas. Cada miembro va en exactamente un grupo asignado a un nivel.
Roles basados en departamentos
Crea roles que se asignen a departamentos: "Ingeniería" con Cowork, Claude Code y ejecución de código; "Investigación" con búsqueda web, memoria y proyectos; "Negocios" solo con búsqueda web y proyectos. Asigna cada grupo de departamento a su rol correspondiente.
Paso 1: Audita tu configuración actual
Revisa qué características están actualmente habilitadas o deshabilitadas a nivel de organización en Configuración de la organización > Capacidades.
Ve a Configuración de la organización > Organización para exportar o revisar tu lista de miembros.
Anota el rol integrado actual de cada miembro (Usuario, Administrador u Propietario).
Para cada equipo o departamento, decide qué características necesitan acceso.
Recuerda: cualquier característica que quieras controlar por grupo debe estar habilitada a nivel de organización. Si una característica está desactivada a nivel de organización, ningún rol personalizado puede otorgar acceso a ella.
Importante: A diferencia de los miembros con el rol Usuario, los miembros asignados a Roles personalizados no heredan automáticamente las capacidades habilitadas en la organización. Cada capacidad que un miembro de Roles personalizados necesita debe ser otorgada explícitamente por un rol personalizado asignado a uno de sus grupos.
Paso 2: Crear roles personalizados
Crea tus roles personalizados antes de habilitar cualquier característica o migrar miembros. Esto asegura que tus roles estén listos para aplicar acceso en el momento en que se activen las características.
Haz clic en "+ Añadir rol".
Nombra el rol y activa las capacidades apropiadas.
Haz clic en "Añadir rol".
Repite para cada rol en tu plan.
Consulta Administrar roles personalizados en planes Enterprise para obtener detalles sobre las capacidades disponibles.
Paso 3: Crear grupos y asignar roles
Haz clic en "Añadir grupo" para crear un grupo para cada equipo o nivel en tu plan.
Añade miembros a los grupos apropiados.
Asigna cada grupo a los roles personalizados que creaste en el paso 2.
Si usas sincronización de directorio SCIM, puedes sincronizar grupos desde tu proveedor de identidad en lugar de crearlos manualmente. Para obtener detalles sobre la sincronización de grupos SCIM, consulta Administrar grupos y límites de gasto de grupos en planes Enterprise.
Múltiples organizaciones bajo la misma organización principal: Los grupos se administran a nivel de organización principal y se propagan a todas las organizaciones secundarias. Puedes ver miembros de otras organizaciones listados en un grupo — esto no significa que tengan acceso a tu organización. Los roles personalizados asignados a un grupo solo otorgan capacidades a miembros que forman parte de tu organización específica.
Paso 4: Verificar asignaciones de grupos y roles
Antes de migrar miembros a Roles personalizados, confirma que cada miembro que planeas migrar está en al menos un grupo asignado a un rol personalizado. Los miembros que se migren sin cobertura de grupo o rol perderán acceso a todas las características gobernadas.
Usa los filtros de Rol y Grupo para identificar miembros que no estén asignados a ningún grupo.
Alternativamente, haz clic en "Exportar CSV" para descargar la lista completa de miembros con columnas de rol y grupo para revisar.
Añade cualquier miembro sin asignar a los grupos apropiados antes de continuar.
Paso 5: Migrar miembros a roles personalizados
Para que las capacidades de roles personalizados surtan efecto, los miembros deben tener su rol establecido en "Roles personalizados". Los miembros con roles de Usuario, Administrador o Propietario obtienen sus permisos de esos roles directamente, no de roles personalizados.
Importante: Completa este paso solo después de haber creado tus roles personalizados, creado tus grupos y verificado que todos los miembros estén asignados a grupos (pasos 2–4). Los miembros movidos a Roles personalizados antes de que se complete la configuración perderán inmediatamente el acceso a todas las funciones controladas.
Elige la ruta de migración según si tu organización ya ha habilitado asignaciones de grupos:
Ruta A: Habilitar asignaciones de grupos (solo si ya está en uso)
Usa esta ruta solo si tu organización ya ha habilitado asignaciones de grupos para la asignación de roles. Si aún no estás usando esta configuración, salta a la Ruta B.
Ve a Configuración de la organización > Identidad y acceso.
En la sección de asignaciones de roles, asigna los grupos de IdP que deseas que sean controlados por roles personalizados al rol Roles personalizados.
Guarda tus cambios. Los miembros en esos grupos de IdP se migran a Roles personalizados en la próxima sincronización.
Los miembros en grupos de IdP asignados a Roles personalizados siguen los permisos de los roles personalizados asignados a sus grupos en Claude. Los miembros en grupos de IdP asignados a Usuario siguen la configuración de capacidades a nivel de organización. Si un miembro está en grupos en ambas asignaciones, Roles personalizados tiene prioridad.
Ruta B: Herramienta de asignación masiva
Usa esta ruta si tu organización no ha habilitado asignaciones de grupos.
Advertencia: Si aún no has habilitado asignaciones de grupos, no las habilites durante la configuración de RBAC. Habilitarlas sin antes asignar todos los miembros a grupos asignados puede resultar en que los miembros pierdan acceso a tu organización.
Usa los filtros de Rol y Grupo para seleccionar los miembros que deseas migrar.
Usa la herramienta de asignación masiva en la tabla de Miembros para cambiar el rol de los miembros seleccionados a Roles personalizados.
Recomendamos migrar primero un grupo piloto —un equipo o departamento— y verificar que su acceso sea correcto antes de expandir al resto de la organización.
Implementación gradual
Sea cual sea la ruta que uses, recomendamos migrar en etapas:
Comienza con un grupo piloto de un equipo o departamento.
Después de la migración, verifica que el grupo piloto tenga el acceso correcto a las funciones según sus asignaciones de grupo y rol.
Si algo no es correcto, cambia los miembros afectados de vuelta a su rol anterior mientras realizas ajustes.
Expande a más miembros una vez que hayas confirmado que la configuración funciona.
Paso 6: Habilitar funciones a nivel de organización
Solo habilita funciones a nivel de organización después de que los roles, grupos y la migración de miembros estén completos. Esto asegura que las capacidades de roles personalizados ya estén en su lugar, sin una ventana donde miembros no autorizados pudieran acceder a una función.
Para cualquier función que desees controlar por grupo:
Ve a la página de configuración de la función en Configuración de la organización (por ejemplo, Configuración de la organización > Cowork).
Habilita la función a nivel de organización.
Habilitar una función a nivel de organización no significa que todos la obtengan—los permisos de roles personalizados ya están en su lugar para controlar quién puede usarla. Piensa en el interruptor a nivel de organización como hacer que la función esté "disponible para asignación basada en roles" en lugar de "activada para todos".
Paso 7: Verificar y monitorear
Verificación rápida del acceso: Verifica algunos miembros de cada grupo para confirmar que ven las funciones correctas.
Prueba el estado restringido: Inicia sesión como (o pide a) un miembro que no debería tener una función como Cowork. Debería verla atenuada con el mensaje "Contacta a tu administrador para solicitar acceso a esta función".
Prueba el estado otorgado: Confirma que un miembro que debería tener la función la ve funcionando normalmente.
Verifica casos extremos: Prueba miembros en múltiples grupos, miembros sin grupo y nuevos miembros que se unen a través de SSO.
Los cambios de permisos tardan hasta cinco minutos en sincronizarse completamente en toda la plataforma. Los miembros pueden necesitar actualizar su navegador para ver el acceso actualizado.
Usar SCIM con capacidades basadas en roles
SCIM se conecta a tus capacidades basadas en roles a través de dos mecanismos que funcionan juntos.
Asignación de grupo de IdP a rol
Esto controla qué rol integrado obtiene un miembro cuando se aprovisiona. Asigna tus grupos de IdP a "Roles personalizados" para que el acceso de los nuevos miembros sea automáticamente controlado por capacidades de roles personalizados.
En la tabla de asignaciones de roles, asigna tus grupos de IdP a "Roles personalizados".
Sincronización de grupos
Esto extrae tus grupos de IdP en Claude para que puedan asignarse a roles personalizados.
Haz clic en "Buscar actualizaciones" en la sección Sincronización SCIM.
Cuando se te pida que sincronices Grupos, Miembros o Ambos, selecciona solo Grupos. Sincronizar Miembros puede afectar el aprovisionamiento y el acceso de miembros.
Tus grupos de IdP aparecen como grupos originarios de SCIM en la lista.
Asigna grupos SCIM a roles personalizados igual que los grupos creados manualmente.
En tu IdP, solo envía los grupos que realmente tengas la intención de usar para RBAC o límites de gasto. Sincronizar todos los grupos de IdP puede ralentizar la carga de páginas en la sección Grupos.
Nota: Los permisos de roles personalizados solo se aplican a miembros con "Roles personalizados" seleccionados en Configuración de la organización > Organización. Si asignas un grupo de IdP a un rol diferente (como Usuario) a través de la asignación de grupo a rol pero asignas ese mismo grupo SCIM a un rol personalizado, los permisos del rol personalizado no tienen efecto—el miembro obtiene sus permisos de su rol asignado en su lugar. Para usar roles personalizados, asegúrate de que el grupo de IdP esté asignado a "Roles personalizados".
Gestión continua con SCIM
Para otorgar a un miembro acceso a una función, añádelo al grupo IdP apropiado. En la siguiente sincronización, obtendrá el rol personalizado asignado a ese grupo.
Para revocar el acceso, elimínalo del grupo IdP. En la siguiente sincronización, se elimina el permiso.
Haz clic en "Sincronización SCIM" en la sección Grupos para forzar una sincronización inmediata en lugar de esperar la siguiente sincronización programada.
Plan de reversión
Si observas que tu estructura de roles está mal configurada después de la migración:
Desactiva cualquier función a nivel de organización que se haya habilitado como parte de la migración.
Cambia los miembros afectados a su rol integrado anterior (por ejemplo, Usuario).
Recuperan inmediatamente los permisos estáticos de ese rol, y los permisos de rol personalizado dejan de aplicarse.
Ajusta los roles y grupos según sea necesario, luego vuelve a migrar.
Si habilitaste asignaciones de grupos durante la configuración y perdiste acceso de administrador, sigue los pasos de recuperación en Configurar aprovisionamiento JIT o SCIM bajo "Perdí acceso de Administrador/Propietario después de habilitar asignaciones de grupos."
Preguntas frecuentes
¿Necesito habilitar una función a nivel de organización si solo quiero que algunos miembros la tengan?
Sí. El conmutador a nivel de organización debe estar activado para que los roles personalizados controlen el acceso por miembro. Si una función está desactivada a nivel de organización, nadie puede acceder a ella independientemente de su rol. Piénsalo como un interruptor principal: los roles personalizados controlan quién obtiene acceso debajo de él.
¿Qué sucede si un miembro configurado como "Roles personalizados" no está en ningún grupo?
No tienen permisos de rol personalizado, por lo que todas las funciones que requieren permisos están deshabilitadas u ocultas. Asegúrate de que cada miembro configurado como "Roles personalizados" esté en al menos un grupo asignado a un rol personalizado.
¿Puedo usar tanto roles integrados como personalizados?
Sí. Los miembros con los roles Usuario, Administrador o Propietario no se ven afectados por los permisos de rol personalizado porque obtienen sus permisos de esos roles directamente. Solo los miembros configurados como Roles personalizados se controlan mediante el sistema de grupo y rol. Esto permite una migración gradual.
¿Qué sucede si un miembro está en dos grupos con roles diferentes?
Los permisos son acumulativos. Si algún rol en la cadena de un miembro otorga una función, la tiene. No puedes usar un rol para eliminar un permiso otorgado por otro rol.
¿Puedo usar grupos SCIM y grupos manuales juntos?
Sí. Ambos tipos pueden asignarse a roles personalizados. La diferencia es que la pertenencia al grupo SCIM se gestiona en tu proveedor de identidad, mientras que la pertenencia al grupo manual se gestiona en la configuración de la organización de Claude.
¿Se ven afectados los Propietarios y Propietarios Principales por los permisos de rol personalizado?
No. Los Propietarios y Propietarios Principales siempre tienen acceso completo a todas las funciones.
¿Cómo funciona esto en organizaciones principales y secundarias?
Los grupos y la sincronización SCIM se gestionan a nivel de organización principal y se comparten en todas las organizaciones secundarias. Las asignaciones de roles y límites de gasto se configuran independientemente en cada organización secundaria: los cambios en una organización secundaria no afectan a otras. Los cambios de pertenencia a grupos y las resincronizaciones SCIM se propagan en todas las organizaciones secundarias bajo la misma organización principal.