L'approvisionnement JIT est disponible pour les plans Team, les plans Enterprise et les organisations Console. L'approvisionnement SCIM est disponible uniquement pour les organisations Enterprise et Console.
Ce guide explique comment configurer l'approvisionnement des utilisateurs et l'attribution des rôles pour votre organisation Claude ou Claude Console.
Avant de commencer : Ce guide suppose que vous avez déjà suivi les étapes décrites dans Configuration de l'authentification unique (SSO), y compris la vérification du domaine et la configuration de l'authentification unique auprès de votre fournisseur d'identité (IdP), et que vous disposez d'un rôle Admin (Console) ou Owner (Claude).
Étape 1 : Choisir votre mode d'approvisionnement
Une fois l'authentification unique configurée, vous devez décider comment les utilisateurs seront approvisionnés dans votre organisation. Ceci est contrôlé par le paramètre Mode d'approvisionnement dans vos paramètres d'identité et d'accès.
Options d'approvisionnement
Manuel est l'option par défaut. Les utilisateurs sont ajoutés et supprimés directement dans les paramètres Claude ou Console.
JIT (Just-in-Time) : Les utilisateurs assignés à votre application IdP Anthropic sont automatiquement approvisionnés lors de leur première connexion. Cette option est disponible pour tous les plans.
SCIM : Les utilisateurs sont automatiquement approvisionnés et déprovisionés en fonction des attributions dans votre IdP, sans qu'ils aient besoin de se connecter en premier. SCIM est disponible pour les plans Enterprise et les organisations Console disposant de leur propre organisation parent ou jointes à une organisation parent Enterprise. SCIM n'est pas disponible pour les plans Team ou les organisations Console jointes à l'organisation parent d'un plan Team.
Aperçu du comportement d'approvisionnement
Utilisez ce tableau pour vous aider à décider quel mode d'approvisionnement convient le mieux à votre organisation :
Mode | Approvisionnement | Modifications des rôles et des niveaux de siège | Suppression |
Manuel | Les utilisateurs sont ajoutés manuellement | Les rôles et les niveaux de siège sont modifiés manuellement | Les utilisateurs sont supprimés manuellement |
JIT | Les utilisateurs assignés à votre application IdP sont approvisionnés à la connexion avec le rôle User | Les rôles et les niveaux de siège sont modifiés manuellement | Suppression manuelle requise : les utilisateurs supprimés de votre application IdP ne peuvent plus se connecter, mais restent dans la liste des utilisateurs jusqu'à ce qu'ils tentent de se connecter ou soient supprimés |
JIT + mappages de groupes avancés | Les utilisateurs appartenant à au moins un groupe mappé sont approvisionnés à la connexion avec le rôle le plus autorisé de leurs appartenances aux groupes | Les rôles et les niveaux de siège sont mis à jour à la prochaine connexion en fonction de l'appartenance au groupe | Les utilisateurs sans accès au groupe ne peuvent pas se connecter mais restent dans la liste jusqu'à une tentative de connexion ou une suppression manuelle |
SCIM | Les utilisateurs assignés à votre application IdP sont automatiquement approvisionnés dans toutes les organisations jointes à votre organisation parent. | Les rôles et les niveaux de siège sont modifiés manuellement | Les utilisateurs supprimés de votre application IdP sont automatiquement supprimés |
SCIM + mappages de groupes avancés | Les utilisateurs appartenant à au moins un groupe mappé sont automatiquement approvisionnés avec les rôles appropriés | Les modifications des rôles et des niveaux de siège se propagent automatiquement en fonction de l'appartenance au groupe | Suppression automatique lorsque l'accès au groupe est révoqué |
JIT et SCIM peuvent tous deux être combinés avec Mappages de groupes avancés pour contrôler l'attribution des rôles ou des niveaux de siège en fonction de l'appartenance au groupe IdP.
Rôles et niveaux de siège disponibles
Produit | Rôles | Niveaux de siège |
Claude (Team/Enterprise) | Owner, Admin, User | Premium, Standard |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Pour des instructions détaillées sur l'ajout et la suppression de membres, consultez Achat et gestion des sièges.
Étape 2 : Configurer la synchronisation du répertoire SCIM (si vous utilisez SCIM)
Remarque : Ignorez cette étape si vous utilisez l'approvisionnement Manuel ou JIT.
Si vous avez choisi SCIM comme mode d'approvisionnement, vous devez établir la connexion entre votre fournisseur d'identité et Anthropic avant de l'activer.
Accédez à vos paramètres d'identité et d'accès dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)
Dans la section « Configuration SSO globale », cliquez sur « Configurer SCIM » (ou « Gérer SCIM ») à côté de « Synchronisation du répertoire (SCIM) ».
Suivez le guide de configuration WorkOS pour configurer SCIM dans votre fournisseur d'identité. Vous devrez copier les valeurs de WorkOS dans votre application Anthropic de l'IdP.
‼️ Lorsque vous atteignez l'étape Groupe IdP, faites une pause pour examiner les étapes 3 et 4 de ce guide, ainsi que les autres guides.
Pour les instructions de configuration JIT / SCIM spécifiques à l'IdP, consultez :
Consultez les IdP supplémentaires ici
Une fois votre IdP connecté, passez à l'étape 3.
Étape 3 : Configurer le mode d'approvisionnement et les mappages de groupes avancés
Dans la section Configuration SSO de l'organisation de vos paramètres d'identité et d'accès, trouvez Mode d'approvisionnement.
Sélectionnez votre option choisie dans la liste déroulante (« Just in time (JIT) » ou « Synchronisation du répertoire (SCIM) »).
Activez Mappages de groupes avancés si vous les utilisez.
Important : Ne cliquez PAS sur « Enregistrer les modifications » pour le moment. Vous devez d'abord vous assurer que tous les utilisateurs sont assignés à votre application Anthropic dans votre IdP. Pour les mappages de groupes avancés, les utilisateurs doivent également être assignés aux groupes appropriés (étapes 4 et 5). L'enregistrement avant que les utilisateurs ne soient correctement assignés entraînera leur déprovision de l'organisation.
Si vous n'utilisez pas les mappages de groupes avancés : Assurez-vous que tous les utilisateurs sont assignés à votre application Anthropic dans votre IdP pour l'approvisionnement SCIM, puis cliquez sur « Enregistrer les modifications » pour terminer votre configuration.
Étape 4 : Configurer les groupes et assigner les utilisateurs dans votre fournisseur d'identité pour les mappages de groupes avancés
Créez des groupes dans votre IdP pour chaque rôle et niveau de siège que vous souhaitez assigner.
Bien qu'il n'y ait plus d'exigences de nommage pour ces groupes, nous recommandons d'inclure quelque chose dans le nom du groupe (par exemple,
anthropic-claude-ouanthropic-console-) pour les identifier plus facilement.
Ajoutez des utilisateurs aux groupes que vous avez créés, en vous assurant qu'au moins un utilisateur (y compris vous-même) se trouve dans un groupe qui sera mappé à un rôle Admin (Console) ou Owner (Claude).
Important : Tous les utilisateurs qui ont besoin d'accès doivent être assignés aux groupes appropriés avant d'enregistrer votre configuration de mappages de groupes avancés à l'étape suivante. Ces utilisateurs doivent déjà être assignés à votre application Anthropic dans votre IdP depuis l'activation de l'authentification unique.
Étape 5 : Mapper les groupes aux rôles et niveaux de siège
Retournez à vos paramètres d'identité et d'accès dans Claude ou Console, et activez Mappages de groupes avancés (s'il ne l'est pas déjà).
Dans la section Mappages des rôles, cliquez sur « Ajouter » à côté de chaque rôle et sélectionnez le groupe correspondant de votre IdP dans la liste déroulante.
Pour les organisations Claude : Dans la section Mappages des niveaux de siège, cliquez sur « Ajouter » à côté de chaque niveau (Premium, Standard) et sélectionnez le groupe correspondant. Si un utilisateur n'est pas assigné à un groupe de niveau de siège, il sera assigné au niveau disponible le plus élevé par défaut.
Vérifiez que tous les groupes nécessaires sont mappés aux rôles et niveaux de siège appropriés.
Cliquez sur « Enregistrer les modifications ».
Remarque : Microsoft Entra pousse les modifications SCIM uniquement toutes les 40 minutes, il peut donc y avoir un délai avant que les modifications n'apparaissent.
Dépannage
Les utilisateurs sont assignés correctement et apparaissent dans le répertoire mais ne sont pas ajoutés à Claude en tant que membres ?
Vérifiez que vous disposez de suffisamment de sièges achetés et disponibles pour ajouter des membres à votre organisation.
Vérifiez le « Nombre total de sièges » affiché sur la page Organisation, si nécessaire, achetez des sièges supplémentaires.
Une fois que vous avez des sièges disponibles, retournez à la page Identité et accès et cliquez sur « Synchroniser maintenant », à côté de Synchronisation du répertoire (SCIM). Cela déclenchera une synchronisation pour approvisionner les comptes des utilisateurs qui n'ont pas encore été ajoutés en tant que membres.
Les utilisateurs ne sont pas approvisionnés avec le rôle correct
Vérifiez que l'utilisateur est assigné au groupe correct dans votre IdP.
Vérifiez que le groupe est mappé au rôle correct dans vos paramètres d'identité et d'accès.
Pour JIT : L'utilisateur doit se déconnecter et se reconnecter pour que les modifications de rôle prennent effet.
Pour SCIM : Cliquez sur « Synchroniser maintenant » pour forcer une synchronisation immédiate, ou attendez le cycle de synchronisation automatique.
J'ai perdu l'accès Admin/Owner après l'activation des mappages de groupes avancés
Cela se produit lorsque la personne qui configure les mappages de groupes avancés n'est pas assignée à un groupe mappé à un rôle Admin ou Owner, ce qui entraîne le rétrogradage de ses autorisations au rôle User. Pour corriger cela :
Option 1 : Demander à un autre Admin/Owner de rétablir votre rôle
Contactez un autre Admin ou Owner de votre organisation.
Demandez-lui de naviguer vers Paramètres d'administration > Organisation (pour Claude) ou Paramètres > Membres (pour Console).
Demandez-lui de rétablir votre rôle à Admin ou Owner.
Option 2 : Corriger via votre fournisseur d'identité
Dans votre IdP, assignez-vous à un groupe avec le préfixe correct qui correspond à un rôle Admin ou Owner.
Pour JIT : Déconnectez-vous et reconnectez-vous pour rétablir l'accès.
Pour SCIM : Demandez à un autre Admin ou Owner de cliquer sur « Synchroniser maintenant » dans les paramètres d'identité et d'accès, ou attendez le cycle de synchronisation automatique.