Les restrictions de locataire sont disponibles pour les membres des plans Enterprise et des organisations Console.
Les restrictions de locataire permettent aux administrateurs informatiques des plans Enterprise d'appliquer le contrôle d'accès au niveau du réseau pour Claude. Cette fonctionnalité garantit que les utilisateurs sur les réseaux d'entreprise ne peuvent accéder qu'aux comptes organisationnels approuvés, empêchant l'utilisation non autorisée de comptes personnels.
Fonctionnement
Lorsqu'elle est activée, votre proxy réseau injecte un en-tête HTTP dans les demandes à Claude. Anthropic valide cet en-tête et bloque l'accès de toute organisation ne figurant pas sur la liste autorisée.
Méthodes d'authentification prises en charge :
Accès Web (claude.ai)
Accès Bureau / Application
Authentification par clé API
Authentification par jeton OAuth
Format d'en-tête
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Liste délimitée par des virgules d'UUID d'organisation
Pas d'espaces entre les valeurs
Exemple :
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Répartir les grandes listes autorisées sur plusieurs en-têtes
Si votre liste autorisée est trop longue pour une seule ligne d'en-tête sur votre plateforme proxy, répartissez-la sur des en-têtes de continuation numérotés. Ajoutez ;n=K à l'en-tête de base pour déclarer le nombre total de lignes d'en-tête, puis ajoutez les UUID restants dans les en-têtes anthropic-allowed-org-ids1 à anthropic-allowed-org-ids{K-1}.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Maximum de 10 lignes d'en-tête (
K≤ 10)Maximum de 500 UUID d'organisation au total sur toutes les lignes
Votre proxy doit envoyer chaque emplacement déclaré. Si vous définissez
;n=3, les trois en-têtes doivent être présents dans la demande.Configurez votre proxy pour remplacer ces en-têtes à chaque demande plutôt que de les ajouter uniquement s'ils sont absents.
Étapes de configuration
1. Trouvez votre UUID d'organisation
Les membres des plans Enterprise peuvent trouver ceci à deux endroits différents :
Accédez à Paramètres > Compte et trouvez ID d'organisation.
Accédez à Paramètres d'organisation > Organisation et faites défiler jusqu'au bas de la page pour localiser ID d'organisation.
Les membres des organisations Console peuvent trouver ceci dans Paramètres > Organisation.
2. Configurez votre proxy réseau
Configurez votre proxy pour injecter l'en-tête pour le trafic Claude :
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Testez votre configuration
À partir du réseau restreint, testez avec la clé API de votre organisation :
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Réponses d'erreur
Accès bloqué
Lorsque l'organisation d'un utilisateur ne figure pas sur la liste autorisée, il reçoit une erreur 403 :
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Erreurs de configuration d'en-tête
Si votre proxy envoie les en-têtes de manière incorrecte, les demandes échouent avec un statut 400 et l'un de ces messages :
Plusieurs en-têtes
anthropic-allowed-org-ids: Un nom d'en-tête est apparu plus d'une fois dans la même demande. Configurez votre proxy pour remplacer chaque en-tête plutôt que d'ajouter un doublon.En-têtes
anthropic-allowed-org-idsmal formés : La valeur;n=Kest invalide, un emplacement de continuation déclaré est manquant ou supplémentaire, ou la liste autorisée totale dépasse 500 UUID.
Plateformes proxy prises en charge
Zscaler ZIA (politiques Cloud App Control)
Palo Alto Prisma Access (gestion des applications SaaS)
Cato Networks (politique de restriction de locataire)
Netskope (règles d'insertion d'en-tête)
Proxies HTTPS génériques avec capacité d'injection d'en-tête
Cas d'utilisation
Scénario | Valeur d'en-tête |
Organisation unique |
|
Plusieurs organisations (partenaires) |
|
Avantages en matière de sécurité
Prévention de la perte de données : Bloquer l'utilisation de comptes personnels à partir des réseaux d'entreprise.
Conformité : Appliquer les politiques de résidence des données et d'accès.
Contrôle de l'informatique fantôme : Empêcher l'utilisation non autorisée de Claude.
Piste d'audit : Visibilité complète sur les tentatives d'accès.
Compatibilité rétroactive
Aucun impact sur les réseaux sans restrictions de locataire configurées.
L'authentification standard continue pour les réseaux non gérés.
L'authentification par clé API existante reste inchangée.
