L'approvisionnement JIT est disponible pour les plans Team, les plans Enterprise et les organisations Console. L'approvisionnement SCIM est disponible uniquement pour les organisations Enterprise et Console.
Ce guide explique comment configurer l'approvisionnement des utilisateurs et l'attribution des rôles pour votre organisation Claude ou Claude Console.
Avant de commencer : Ce guide suppose que vous avez déjà suivi les étapes décrites dans Configurer l'authentification unique (SSO), y compris la vérification du domaine et la configuration de l'authentification unique avec votre fournisseur d'identité (IdP), et que vous disposez d'un rôle Admin (Console) ou Owner (Claude).
Étape 1 : Choisir votre mode d'approvisionnement
Une fois l'authentification unique configurée, vous devez décider comment les utilisateurs seront approvisionnés dans votre organisation. Ceci est contrôlé par le paramètre Mode d'approvisionnement dans Organisation paramètres > Identité et accès.
Options d'approvisionnement
Manuel est l'option par défaut. Les utilisateurs sont ajoutés et supprimés directement dans les paramètres Claude ou Console.
JIT (Just-in-Time) : Les utilisateurs assignés à votre application IdP Anthropic sont automatiquement approvisionnés lors de leur première connexion. Cette option est disponible pour tous les plans.
SCIM : Les utilisateurs sont automatiquement approvisionnés et déprovisionés en fonction des assignations dans votre IdP, sans qu'ils aient besoin de se connecter en premier. SCIM est disponible pour les plans Enterprise et les organisations Console avec leur propre organisation parent ou jointes à une organisation parent Enterprise. SCIM n'est pas disponible pour les plans Team ou les organisations Console jointes à l'organisation parent d'un plan Team.
Aperçu du comportement d'approvisionnement
Utilisez ce tableau pour vous aider à décider quel mode d'approvisionnement convient à votre organisation :
Mode | Approvisionnement | Modifications de rôle et de type de siège | Suppression |
Manuel | Les utilisateurs sont ajoutés manuellement | Les rôles et types de siège sont modifiés manuellement | Les utilisateurs sont supprimés manuellement |
JIT | Les utilisateurs assignés à votre application IdP sont approvisionnés à la connexion avec le rôle User | Les rôles et types de siège sont modifiés manuellement | Suppression manuelle requise : les utilisateurs supprimés de votre application IdP ne peuvent plus se connecter, mais restent dans la liste des utilisateurs jusqu'à ce qu'ils tentent de se connecter ou soient supprimés |
JIT + mappages de groupes | Les utilisateurs dans au moins un groupe mappé sont approvisionnés à la connexion avec le rôle le plus autorisé de leurs appartenances à des groupes | Les rôles et types de siège se mettent à jour à la prochaine connexion en fonction de l'appartenance au groupe | Les utilisateurs sans accès au groupe ne peuvent pas se connecter mais restent dans la liste jusqu'à une tentative de connexion ou une suppression manuelle |
SCIM | Les utilisateurs assignés à votre application IdP sont automatiquement approvisionnés dans toutes les organisations jointes à votre organisation parent. | Les rôles et types de siège sont modifiés manuellement | Les utilisateurs supprimés de votre application IdP sont automatiquement supprimés |
SCIM + mappages de groupes | Les utilisateurs dans au moins un groupe mappé sont automatiquement approvisionnés avec les rôles appropriés | Les modifications de rôle et de type de siège se propagent automatiquement en fonction de l'appartenance au groupe | Suppression automatique lorsque l'accès au groupe est révoqué |
JIT et SCIM peuvent tous deux être combinés avec Activer les mappages de groupes pour contrôler l'attribution de rôle ou de niveau de siège en fonction de l'appartenance au groupe IdP.
Rôles et niveaux de siège disponibles
Produit | Rôles | Types de siège |
Plan Team / Plan Enterprise basé sur les sièges | Owner, Admin, User | Premium, Standard |
Plan Enterprise basé sur l'utilisation (avec deux types de siège) | Owner, Admin, User | Chat, Chat + Claude Code |
Plan Enterprise basé sur l'utilisation (type de siège unique) | Owner, Admin, User | Enterprise |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Pour plus d'informations sur l'achat de sièges ou l'ajustement de l'allocation de sièges de votre plan, consultez nos guides pour les plans Team et les plans Enterprise.
Étape 2 : Configurer la synchronisation du répertoire SCIM (si vous utilisez SCIM)
Remarque : Ignorez cette étape si vous utilisez l'approvisionnement Manuel ou JIT.
Si vous avez choisi SCIM comme mode d'approvisionnement, vous devez établir la connexion entre votre fournisseur d'identité et Anthropic avant de l'activer.
Accédez à vos paramètres Identité et accès dans Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)
Dans la section Paramètres d'accès global / Accès à l'organisation, cliquez sur « Configurer SCIM » (ou « Gérer SCIM ») à côté de Synchronisation du répertoire (SCIM).
Suivez le guide de configuration WorkOS pour configurer SCIM dans votre fournisseur d'identité. Vous devrez copier les valeurs de WorkOS dans votre application Anthropic de l'IdP.
‼️ Lorsque vous atteignez l'étape Groupe IdP, faites une pause pour examiner les étapes 3 et 4 de ce guide, ainsi que les autres guides.
Pour les instructions de configuration JIT / SCIM spécifiques à l'IdP, consultez :
Voir les IdP supplémentaires ici
Une fois votre IdP connecté, passez à l'étape 3.
Étape 3 : Configurer le mode d'approvisionnement et activer les mappages de groupes
Dans la section Paramètres d'accès global / Accès à l'organisation de vos paramètres Identité et accès, trouvez Mode d'approvisionnement.
Sélectionnez votre option choisie dans la liste déroulante (« Just in time (JIT) » ou « Synchronisation du répertoire (SCIM) »).
Activez Activer les mappages de groupes si vous l'utilisez.
Important : Ne cliquez PAS sur « Enregistrer les modifications » pour le moment. Vous devez d'abord vous assurer que tous les utilisateurs sont assignés à votre application Anthropic dans votre IdP. Lorsque vous activez les mappages de groupes, les utilisateurs doivent également être assignés aux groupes appropriés (étapes 4 et 5). L'enregistrement avant que les utilisateurs ne soient correctement assignés entraînera leur déprovision de l'organisation.
Si vous n'utilisez pas les mappages de groupes : Assurez-vous que tous les utilisateurs sont assignés à votre application Anthropic dans votre IdP pour l'approvisionnement SCIM, puis cliquez sur « Enregistrer les modifications » pour terminer votre configuration.
Étape 4 : Configurer les groupes et assigner les utilisateurs dans votre fournisseur d'identité pour les mappages de groupes
Créez des groupes dans votre IdP pour chaque rôle que vous souhaitez assigner. À moins que vous ne soyez sur le plan Enterprise à siège unique, créez également des groupes pour chaque type de siège.
Bien qu'il n'y ait plus d'exigences de nommage pour ces groupes, nous recommandons d'inclure quelque chose dans le nom du groupe (par exemple,
anthropic-claude-ouanthropic-console-) pour les identifier plus facilement.
Ajoutez des utilisateurs aux groupes que vous avez créés, en vous assurant qu'au moins un utilisateur (y compris vous-même) se trouve dans un groupe qui sera mappé à un rôle Admin (Console) ou Owner (Claude).
Important : Tous les utilisateurs qui ont besoin d'accès doivent être assignés aux groupes appropriés avant d'enregistrer votre configuration de mappages de groupes à l'étape suivante. Ces utilisateurs doivent déjà être assignés à votre application Anthropic dans votre IdP depuis l'activation de l'authentification unique.
Étape 5 : Mapper les groupes aux rôles et types de siège
Retournez à vos paramètres Identité et accès dans Claude ou Console, et activez Activer les mappages de groupes (s'il ne l'est pas déjà).
Dans la section Activer les mappages de groupes, cliquez sur « Ajouter » à côté de chaque rôle et sélectionnez le groupe correspondant de votre IdP dans la liste déroulante.
Pour tous les plans sauf Enterprise à siège unique : Dans la section Assigner les niveaux de siège aux groupes IdP, cliquez sur « Ajouter » à côté de chaque type de siège et sélectionnez le groupe correspondant de votre IdP. Si un utilisateur n'est pas assigné à un groupe de type de siège, il sera assigné au type le plus élevé disponible par défaut.
Pour Enterprise à siège unique : Le mappage du type de siège ne s'applique pas. Tous les utilisateurs approvisionnés se voient automatiquement assigner un siège Enterprise, à condition qu'un soit disponible dans votre organisation.
Vérifiez que tous les groupes nécessaires sont mappés aux rôles et types de siège appropriés.
Cliquez sur « Enregistrer les modifications ».
Remarque : Microsoft Entra ne pousse les modifications SCIM que toutes les 40 minutes, il peut donc y avoir un délai avant que les modifications n'apparaissent.
Dépannage
Les utilisateurs sont assignés correctement et s'affichent dans le répertoire mais ne sont pas ajoutés à Claude en tant que membres ?
Vérifiez que vous avez suffisamment de sièges achetés et disponibles pour ajouter des membres à votre organisation.
Vérifiez le nombre de sièges disponibles affichés dans Paramètres de l'organisation > Facturation et achetez des sièges supplémentaires si nécessaire (consultez nos guides pour les plans Team et les plans Enterprise).
Une fois que vous avez des sièges disponibles, retournez à la page Identité et accès et cliquez sur « Synchroniser maintenant », à côté de Synchronisation du répertoire (SCIM). Cela déclenchera une synchronisation pour approvisionner les comptes de ces utilisateurs qui n'ont pas encore été ajoutés en tant que membres.
Les utilisateurs ne sont pas approvisionnés avec le rôle correct
Vérifiez que l'utilisateur est assigné au groupe correct dans votre IdP.
Vérifiez que le groupe est mappé au rôle correct dans vos paramètres Identité et accès.
Pour JIT : L'utilisateur doit se déconnecter et se reconnecter pour que les modifications de rôle prennent effet.
Pour SCIM : Cliquez sur « Synchroniser maintenant » pour forcer une synchronisation immédiate, ou attendez le cycle de synchronisation automatique.
J'ai perdu l'accès Admin/Owner après l'activation des mappages de groupes
Cela se produit lorsque la personne qui configure les mappages de groupes n'est pas assignée à un groupe mappé à un rôle Admin ou Owner, ce qui entraîne le rétrogradage de ses autorisations à User.
Pour corriger cela :
Option 1 : Demander à un autre Admin/Owner de rétablir votre rôle
Contactez un autre Admin ou Owner de votre organisation.
Demandez-leur de naviguer vers Paramètres de l'organisation > Organisation (pour Claude) ou Paramètres > Membres (pour Console).
Demandez-leur de rétablir votre rôle à Admin ou Owner.
Option 2 : Corriger via votre fournisseur d'identité
Dans votre IdP, assignez-vous à un groupe avec le préfixe correct qui correspond à un rôle Admin ou Owner.
Pour JIT : Déconnectez-vous et reconnectez-vous pour regagner l'accès.
Pour SCIM : Demandez à un autre Admin ou Owner de cliquer sur « Synchroniser maintenant » dans les paramètres Identité et accès, ou attendez le cycle de synchronisation automatique.