Passer au contenu principal

Appliquer le contrôle d'accès au niveau du réseau avec les restrictions de locataire

Les restrictions de locataire sont disponibles pour les membres des plans Enterprise et des organisations Console.

Les restrictions de locataire permettent aux administrateurs informatiques des plans Enterprise d'appliquer le contrôle d'accès au niveau du réseau pour Claude. Cette fonctionnalité garantit que les utilisateurs sur les réseaux d'entreprise ne peuvent accéder qu'aux comptes organisationnels approuvés, empêchant l'utilisation non autorisée de comptes personnels.

Fonctionnement

Lorsqu'elle est activée, votre proxy réseau injecte un en-tête HTTP dans les demandes à Claude. Anthropic valide cet en-tête et bloque l'accès de toute organisation ne figurant pas sur la liste autorisée.

Méthodes d'authentification prises en charge :

  • Accès Web (claude.ai)

  • Accès Bureau / Application

  • Authentification par clé API

  • Authentification par jeton OAuth

Format d'en-tête

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • Liste délimitée par des virgules d'UUID d'organisation

  • Pas d'espaces entre les valeurs

Exemple :

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Répartir les grandes listes autorisées sur plusieurs en-têtes

Si votre liste autorisée est trop longue pour une seule ligne d'en-tête sur votre plateforme proxy, répartissez-la sur des en-têtes de continuation numérotés. Ajoutez ;n=K à l'en-tête de base pour déclarer le nombre total de lignes d'en-tête, puis ajoutez les UUID restants dans les en-têtes anthropic-allowed-org-ids1 à anthropic-allowed-org-ids{K-1}.

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • Maximum de 10 lignes d'en-tête (K ≤ 10)

  • Maximum de 500 UUID d'organisation au total sur toutes les lignes

  • Votre proxy doit envoyer chaque emplacement déclaré. Si vous définissez ;n=3, les trois en-têtes doivent être présents dans la demande.

  • Configurez votre proxy pour remplacer ces en-têtes à chaque demande plutôt que de les ajouter uniquement s'ils sont absents.


Étapes de configuration

1. Trouvez votre UUID d'organisation

Les membres des plans Enterprise peuvent trouver ceci à deux endroits différents :

  1. Accédez à Paramètres > Compte et trouvez ID d'organisation.

  2. Accédez à Paramètres d'organisation > Organisation et faites défiler jusqu'au bas de la page pour localiser ID d'organisation.

Les membres des organisations Console peuvent trouver ceci dans Paramètres > Organisation.

2. Configurez votre proxy réseau

Configurez votre proxy pour injecter l'en-tête pour le trafic Claude :

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. Testez votre configuration

À partir du réseau restreint, testez avec la clé API de votre organisation :

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


Réponses d'erreur

Accès bloqué

Lorsque l'organisation d'un utilisateur ne figure pas sur la liste autorisée, il reçoit une erreur 403 :

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

Erreurs de configuration d'en-tête

Si votre proxy envoie les en-têtes de manière incorrecte, les demandes échouent avec un statut 400 et l'un de ces messages :

  • Plusieurs en-têtes anthropic-allowed-org-ids : Un nom d'en-tête est apparu plus d'une fois dans la même demande. Configurez votre proxy pour remplacer chaque en-tête plutôt que d'ajouter un doublon.

  • En-têtes anthropic-allowed-org-ids mal formés : La valeur ;n=K est invalide, un emplacement de continuation déclaré est manquant ou supplémentaire, ou la liste autorisée totale dépasse 500 UUID.

Plateformes proxy prises en charge

  • Zscaler ZIA (politiques Cloud App Control)

  • Palo Alto Prisma Access (gestion des applications SaaS)

  • Cato Networks (politique de restriction de locataire)

  • Netskope (règles d'insertion d'en-tête)

  • Proxies HTTPS génériques avec capacité d'injection d'en-tête

Cas d'utilisation

Scénario

Valeur d'en-tête

Organisation unique

<your-org-uuid>

Plusieurs organisations (partenaires)

<org-uuid-1>,<org-uuid-2>

Avantages en matière de sécurité

  • Prévention de la perte de données : Bloquer l'utilisation de comptes personnels à partir des réseaux d'entreprise.

  • Conformité : Appliquer les politiques de résidence des données et d'accès.

  • Contrôle de l'informatique fantôme : Empêcher l'utilisation non autorisée de Claude.

  • Piste d'audit : Visibilité complète sur les tentatives d'accès.

Compatibilité rétroactive

  • Aucun impact sur les réseaux sans restrictions de locataire configurées.

  • L'authentification standard continue pour les réseaux non gérés.

  • L'authentification par clé API existante reste inchangée.

Avez-vous trouvé la réponse à votre question ?