L'approvisionnement JIT est disponible pour les plans Team, les plans Enterprise et les organisations Console. L'approvisionnement SCIM est disponible uniquement pour les organisations Enterprise et Console.
Ce guide explique comment configurer l'approvisionnement des utilisateurs et l'attribution des rôles pour votre organisation Claude ou Claude Console.
Avant de commencer : Ce guide suppose que vous avez déjà suivi les étapes décrites dans Configurer l'authentification unique (SSO), notamment la vérification du domaine et la configuration de l'authentification unique auprès de votre fournisseur d'identité (IdP), et que vous disposez d'un rôle Admin (Console) ou Owner (Claude).
Étape 1 : Choisir votre mode d'approvisionnement
Une fois l'authentification unique configurée, vous devez décider comment les utilisateurs seront approvisionnés dans votre organisation. Ceci est contrôlé par le paramètre Mode d'approvisionnement dans Organisation paramètres > Identité et accès.
Options d'approvisionnement
Invitation uniquement est l'option par défaut. Les utilisateurs sont ajoutés et supprimés directement dans les paramètres Claude ou Console.
Approuver automatiquement (JIT) : Les utilisateurs assignés à votre application IdP Anthropic sont automatiquement approvisionnés lors de leur première connexion. Cette option est disponible pour tous les plans.
Synchroniser avec SCIM : Les utilisateurs sont automatiquement approvisionnés et déprovisionés en fonction des attributions dans votre IdP, sans qu'ils aient besoin de se connecter en premier. SCIM est disponible pour les plans Enterprise et les organisations Console disposant de leur propre organisation parent ou rejointes à une organisation parent Enterprise. SCIM n'est pas disponible pour les plans Team ou les organisations Console rejointes à l'organisation parent d'un plan Team.
Aperçu du comportement d'approvisionnement
Utilisez ce tableau pour vous aider à décider quel mode d'approvisionnement convient le mieux à votre organisation :
Mode | Approvisionnement | Modifications des rôles et des types de siège | Suppression |
Invitation uniquement | Les utilisateurs sont ajoutés manuellement | Les rôles et les types de siège sont modifiés manuellement | Les utilisateurs sont supprimés manuellement |
Approuver automatiquement (JIT) | Les utilisateurs assignés à votre application IdP sont approvisionnés à la connexion avec le rôle Utilisateur | Les rôles et les types de siège sont modifiés manuellement | Suppression manuelle requise : les utilisateurs supprimés de votre application IdP ne peuvent plus se connecter, mais restent dans la liste des utilisateurs jusqu'à ce qu'ils tentent de se connecter ou soient supprimés |
JIT + mappages de groupes | Les utilisateurs appartenant à au moins un groupe mappé sont approvisionnés à la connexion avec le rôle le plus autorisé de leurs appartenances à des groupes | Les rôles et les types de siège se mettent à jour à la prochaine connexion en fonction de l'appartenance au groupe | Les utilisateurs sans accès au groupe ne peuvent pas se connecter mais restent dans la liste jusqu'à une tentative de connexion ou une suppression manuelle |
Synchroniser avec SCIM | Les utilisateurs assignés à votre application IdP sont automatiquement approvisionnés à toutes les organisations rejointes à votre organisation parent. | Les rôles et les types de siège sont modifiés manuellement | Les utilisateurs supprimés de votre application IdP sont automatiquement supprimés |
SCIM + mappages de groupes | Les utilisateurs appartenant à au moins un groupe mappé sont automatiquement approvisionnés, avec le rôle approprié, uniquement à l'organisation (ou aux organisations) rejointe(s) à l'organisation parent où ce groupe est ajouté. | Les modifications des rôles et des types de siège se propagent automatiquement en fonction de l'appartenance au groupe | Suppression automatique lorsque l'accès au groupe est révoqué |
JIT et SCIM peuvent tous deux être combinés avec Activer les mappages de groupes pour contrôler l'attribution des rôles ou des niveaux de siège en fonction de l'appartenance au groupe IdP. Si vous sélectionnez l'une de ces options pour votre mode d'approvisionnement, Activer les mappages de groupes apparaîtra dans cette section :
Rôles et niveaux de siège disponibles
Produit | Rôles | Types de siège |
Plan Team / Plan Enterprise basé sur les sièges | Owner, Admin, User | Premium, Standard |
Plan Enterprise basé sur l'utilisation (avec deux types de siège) | Owner, Admin, User | Chat, Chat + Claude Code |
Plan Enterprise basé sur l'utilisation (type de siège unique) | Owner, Admin, User | Entreprise |
Console | Admin, Développeur, Facturation, Utilisateur Claude Code, Utilisateur | — |
Pour obtenir des informations sur l'achat de sièges ou l'ajustement de l'allocation de sièges de votre plan, consultez nos guides pour les plans d'équipe et les plans Entreprise.
Étape 2 : Configurer la synchronisation du répertoire SCIM (si vous utilisez SCIM)
Remarque : Ignorez cette étape si vous utilisez l'invitation uniquement ou l'approvisionnement JIT.
Si vous avez choisi SCIM comme mode d'approvisionnement, vous devez établir la connexion entre votre fournisseur d'identité et Anthropic avant de l'activer.
Accédez à vos paramètres d'identité et d'accès dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)
Dans la section Paramètres d'accès global, cliquez sur « Configurer SCIM » (ou « Gérer SCIM ») à côté de Synchronisation du répertoire (SCIM).
Suivez le guide de configuration WorkOS pour configurer SCIM dans votre fournisseur d'identité. Vous devrez copier les valeurs de WorkOS dans l'application Anthropic de votre IdP.
‼️ Lorsque vous atteignez l'étape du groupe IdP, pausez pour examiner les étapes 3 et 4 de ce guide, ainsi que les autres guides.
Pour les instructions de configuration JIT / SCIM spécifiques à l'IdP, consultez :
Voir les IdP supplémentaires ici
Une fois votre IdP connecté, passez à l'étape 3.
Étape 3 : Configurer le mode d'approvisionnement et activer les mappages de groupes
Dans la section Paramètres d'accès global de vos paramètres d'identité et d'accès, trouvez Mode d'approvisionnement.
Sélectionnez votre option choisie dans la liste déroulante :
Invitation uniquement : Les nouveaux membres ne peuvent rejoindre que s'ils sont invités manuellement par un membre existant. L'accès SSO seul ne les ajoutera pas à votre organisation.
Approuver automatiquement (JIT) : Permettez aux personnes ayant accès à SSO de rejoindre lors de leur première connexion. Chaque nouveau membre utilise l'un de vos sièges disponibles.
Synchroniser avec SCIM : Ajoutez ou supprimez automatiquement les membres à mesure que votre répertoire change. Votre organisation reste toujours à jour.
Si vous avez sélectionné « Approuver automatiquement (JIT) » ou « Synchroniser avec SCIM », ne cliquez PAS sur « Enregistrer les modifications » immédiatement. Vous devez d'abord vous assurer que tous les utilisateurs sont assignés à votre application Anthropic dans votre IdP.
Une fois que vous avez confirmé que tous les utilisateurs sont assignés dans votre IdP, vous pouvez soit :
Cliquez sur « Enregistrer les modifications » pour terminer la configuration et déclencher l'approvisionnement initial, ou
Activez Activer les mappages de groupes et passez à l'étape 4.
Important : L'enregistrement avant que les utilisateurs ne soient correctement assignés entraînera la déprovision de ces utilisateurs de l'organisation.
Étape 4 : Configurer les groupes dans votre fournisseur d'identité et mapper les groupes aux rôles et types de sièges
Créez des groupes dans votre IdP pour chaque rôle que vous souhaitez assigner. À moins que vous ne soyez sur le plan Entreprise à siège unique, créez également des groupes pour chaque type de siège.
Bien qu'il n'y ait plus d'exigences de nommage pour ces groupes, nous recommandons d'inclure quelque chose dans le nom du groupe (par exemple,
anthropic-claude-ouanthropic-console-) pour les identifier plus facilement.
Ajoutez des utilisateurs aux groupes que vous avez créés, en vous assurant qu'au moins un utilisateur (y compris vous-même) se trouve dans un groupe qui sera mappé à un rôle Admin (Console) ou Propriétaire (Claude).
Retournez à vos paramètres d'identité et d'accès dans Claude ou Console, et trouvez Mode d'approvisionnement.
Activez Activer les mappages de groupes (s'il ne l'est pas déjà) :
Dans la section Activer les mappages de groupes, cliquez sur « Ajouter » à côté de chaque rôle et sélectionnez le groupe correspondant de votre IdP dans la liste déroulante.
Remarque : Lors de l'utilisation des mappages de groupes, vous devez assigner tous les utilisateurs à un groupe basé sur les rôles afin de vous assurer qu'ils sont approvisionnés d'un compte. L'assignation des utilisateurs à des groupes basés sur les niveaux de sièges est facultative.
Pour tous les plans sauf Entreprise à siège unique : Dans la section Assigner les niveaux de sièges aux groupes IdP (facultatif), cliquez sur « Ajouter » à côté de chaque type de siège et sélectionnez le groupe correspondant de votre IdP. Si un utilisateur n'est pas assigné à un groupe de type de siège, il sera assigné au type disponible le plus élevé par défaut.
Pour Entreprise à siège unique : Le mappage du type de siège ne s'applique pas. Tous les utilisateurs approvisionnés se voient automatiquement assigner un siège Entreprise, à condition qu'un soit disponible dans votre organisation.
Vérifiez que tous les groupes nécessaires sont mappés aux rôles et types de sièges appropriés.
Cliquez sur « Enregistrer les modifications ».
Remarque : Microsoft Entra ne pousse les modifications SCIM que toutes les 40 minutes, il peut donc y avoir un délai avant que les modifications n'apparaissent. Vous pouvez vérifier quels utilisateurs sont synchronisés à partir de votre IdP en cliquant sur « Gérer SCIM » et en affichant le répertoire. Les utilisateurs du répertoire seront approvisionnés à Claude / Console.
Important : Tous les utilisateurs qui ont besoin d'accès doivent être assignés aux groupes appropriés avant d'enregistrer votre configuration de mappages de groupes. Ces utilisateurs devraient déjà être assignés à votre application Anthropic dans votre IdP à partir du moment où vous avez activé SSO.
Dépannage
Les utilisateurs assignés correctement et affichés dans le répertoire ne sont pas ajoutés à Claude en tant que membres ?
Vérifiez que vous avez suffisamment de sièges achetés et disponibles pour ajouter des membres à votre organisation.
Vérifiez le nombre de sièges disponibles affichés dans les paramètres Organisation > Facturation et achetez des sièges supplémentaires si nécessaire (consultez nos guides pour les plans d'équipe et les plans Entreprise).
Une fois que vous avez des sièges disponibles, retournez à la page Identité et accès et cliquez sur « Synchroniser maintenant », à côté de Synchronisation du répertoire (SCIM). Cela déclenchera une synchronisation pour approvisionner des comptes pour les utilisateurs qui n'ont pas encore été ajoutés en tant que membres.
Les utilisateurs ne reçoivent pas le rôle correct
Vérifiez que l'utilisateur est assigné au groupe correct dans votre IdP.
Vérifiez que le groupe est mappé au rôle correct dans vos paramètres d'identité et d'accès.
Pour JIT : L'utilisateur doit se déconnecter et se reconnecter pour que les modifications de rôle prennent effet.
Pour SCIM : Cliquez sur « Synchroniser maintenant » pour forcer une synchronisation immédiate, ou attendez le cycle de synchronisation automatique.
J'ai perdu l'accès Admin/Propriétaire après l'activation des mappages de groupes
Cela se produit lorsque la personne qui configure les mappages de groupes n'est pas assignée à un groupe mappé à un rôle Admin ou Propriétaire, ce qui réduit ses permissions à Utilisateur.
Pour corriger cela :
Option 1 : Demander à un autre Admin/Propriétaire de rétablir votre rôle
Contactez un autre Admin ou Propriétaire de votre organisation.
Demandez-leur de naviguer vers Paramètres de l'organisation > Organisation (pour Claude) ou Paramètres > Membres (pour Console).
Demandez-leur de rétablir votre rôle à Admin ou Propriétaire.
Option 2 : Corriger via votre fournisseur d'identité
Dans votre IdP, assignez-vous à un groupe avec le préfixe correct qui correspond à un rôle Admin ou Propriétaire.
Pour JIT : Déconnectez-vous et reconnectez-vous pour retrouver l'accès.
Pour SCIM : Demandez à un autre Admin ou Propriétaire de cliquer sur « Synchroniser maintenant » dans les paramètres d'identité et d'accès, ou attendez le cycle de synchronisation automatique.