Les restrictions de locataire sont disponibles pour les membres des plans Enterprise et des organisations Console.
Les restrictions de locataire permettent aux administrateurs informatiques des plans Enterprise d'appliquer un contrôle d'accès au niveau du réseau pour Claude. Cette fonctionnalité garantit que les utilisateurs sur les réseaux d'entreprise ne peuvent accéder qu'aux comptes organisationnels approuvés, empêchant l'utilisation non autorisée de comptes personnels.
Fonctionnement
Lorsqu'elle est activée, votre proxy réseau injecte un en-tête HTTP dans les demandes adressées à Claude. Anthropic valide cet en-tête et bloque l'accès de toute organisation ne figurant pas sur la liste autorisée.
Méthodes d'authentification prises en charge :
Accès Web (claude.ai)
Accès Bureau / Application
Authentification par clé API
Authentification par jeton OAuth
Format de l'en-tête
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Liste délimitée par des virgules d'UUID d'organisation
Pas d'espaces entre les valeurs
Exemple :
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Étapes de configuration
1. Trouver votre UUID d'organisation
Les membres des plans Enterprise peuvent trouver ceci à deux endroits différents :
Accédez à Paramètres > Compte et trouvez ID d'organisation.
Accédez à Paramètres d'administration > Organisation et faites défiler jusqu'au bas de la page pour localiser ID d'organisation.
Les membres des organisations Console peuvent trouver ceci dans Paramètres > Organisation.
2. Configurer votre proxy réseau
Configurez votre proxy pour injecter l'en-tête pour le trafic Claude :
Règle : Restriction de locataire Claude
Application : claude.ai, api.anthropic.com
Action : Injecter l'en-tête
Nom de l'en-tête : anthropic-allowed-org-ids
Valeur de l'en-tête :
Inspection TLS : Requise
3. Tester votre configuration
À partir du réseau restreint, testez avec la clé API de votre organisation :
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-20250514","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Réponse d'erreur
Lorsque l'accès est bloqué, les utilisateurs reçoivent l'erreur suivante :
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Plateformes de proxy prises en charge
Zscaler ZIA (Politiques de contrôle des applications cloud)
Palo Alto Prisma Access (Gestion des applications SaaS)
Cato Networks (Politique de restriction de locataire)
Netskope (Règles d'insertion d'en-tête)
Proxies HTTPS génériques avec capacité d'injection d'en-tête
Cas d'utilisation
Scénario | Valeur de l'en-tête |
Organisation unique |
|
Plusieurs organisations (Partenaires) |
|
Avantages en matière de sécurité
Prévention de la perte de données : Bloquer l'utilisation de comptes personnels à partir des réseaux d'entreprise.
Conformité : Appliquer les politiques de résidence des données et d'accès.
Contrôle de l'informatique fantôme : Empêcher l'utilisation non autorisée de Claude.
Piste d'audit : Visibilité complète sur les tentatives d'accès.
Compatibilité rétroactive
Aucun impact sur les réseaux sans restrictions de locataire configurées.
L'authentification standard continue pour les réseaux non gérés.
L'authentification par clé API existante reste inchangée.