Passer au contenu principal

Incompatibilité d'e-mail SSO/SCIM — Microsoft Entra ID

Ce que cela couvre : Claude utilise l'email comme identifiant principal pour faire correspondre les connexions SSO aux sièges provisionnés. Dans Microsoft Entra ID, le provisionnement SCIM et l'authentification SSO sont configurés dans des emplacements distincts et peuvent extraire l'email d'attributs utilisateur différents — ce qui peut causer une incompatibilité qui bloque l'accès. Ce guide vous explique comment identifier le problème, corriger le mappage des attributs et nettoyer les effets secondaires.

Symptômes

Les utilisateurs peuvent rencontrer un ou plusieurs des problèmes suivants lorsqu'ils tentent d'accéder à Claude for Enterprise via SSO :

  • « La création de compte est bloquée » — L'utilisateur s'authentifie via SSO mais Claude ne peut pas trouver de compte provisionné correspondant. Si la création d'organisation est restreinte (recommandé), l'utilisateur est complètement bloqué.

  • Accès à un compte personnel gratuit — Si la création d'organisation n'est pas restreinte, l'utilisateur contourne l'organisation d'entreprise et crée ou accède à un compte personnel gratuit.

  • Incompatibilité « Veuillez confirmer votre email » — Le rappel SSO affiche un email différent de celui que l'utilisateur a saisi à la connexion.

  • Échec de l'authentification Claude Code — La CLI Claude Code affiche une erreur d'incompatibilité d'email lors du flux d'authentification.

Comment cela se produit

Les comptes utilisateur Microsoft Entra ID ont plusieurs attributs de type email qui peuvent contenir des valeurs différentes. Le provisionnement SCIM et l'authentification SSO sont configurés dans des zones d'administration distinctes et chacun peut extraire d'un attribut différent :

Attribut Entra

Valeur typique

Couramment utilisé par

userPrincipalName

[email protected] (peut être au format ID d'employé)

Mappage userName SCIM par défaut

mail

[email protected] (email standard)

Revendication email OIDC / SAML

proxyAddresses

SMTP:[email protected]

Adresse principale Exchange / M365

otherMails

Peut contenir des alias ou des adresses secondaires

Emails de contact alternatifs

L'incompatibilité se produit lorsque SCIM extrait l'email d'un attribut tandis que SSO envoie l'email d'un autre. Même une différence subtile bloque l'accès — Claude nécessite une correspondance exacte de la chaîne.

Confusion courante : Entra dispose de deux zones d'administration distinctes. L'application de provisionnement SCIM se trouve sous Applications d'entreprise. L'application SSO/OIDC se trouve sous Inscriptions d'applications. Les administrateurs informatiques naviguent fréquemment vers le mauvais emplacement.

Étapes de diagnostic

Étape 1 — Confirmer l'incompatibilité

  1. Vérifier l'email SCIM : Dans Entra Admin Center → Applications d'entreprise → [Application Claude SCIM] → Provisionnement → Journaux de provisionnement, trouvez un utilisateur récemment provisionné et inspectez les Attributs modifiés. La valeur mappée à emails[type eq "work"].value est ce que SCIM a envoyé à Claude.

  2. Vérifier l'email SSO : Dans Applications d'entreprise → [Application Claude] → Authentification unique → Attributs et revendications, trouvez la revendication email. Pour les applications OIDC, vérifiez Inscriptions d'applications → [Application Claude] → Configuration des jetons.

  3. Si les deux attributs source pointent vers des champs différents, vous avez confirmé l'incompatibilité.

Étape 2 — Identifier l'étendue

  • Si la plupart ou tous les utilisateurs provisionnés partagent la même incompatibilité de format, il s'agit d'un problème systémique de mappage d'attributs. La correction se trouve dans la configuration du mappage d'attributs SCIM.

  • Si seul un ou deux utilisateurs sont affectés, vérifiez leur profil utilisateur directement dans Entra.

Étape 3 — Vérifier les revendications du jeton OIDC (applications OIDC uniquement)

  1. Dans Entra Admin Center, accédez à Inscriptions d'applications (pas Applications d'entreprise).

  2. Trouvez l'application Claude OIDC et cliquez sur Configuration des jetons.

  3. Vérifiez la revendication facultative email.

  4. Croisez les références avec votre mappage d'attributs SCIM pour confirmer s'ils correspondent.

Résolution

Corriger le mappage d'attributs SCIM

Accédez à l'application de provisionnement SCIM — pas à l'application SSO/OIDC :

  1. Accédez à Entra Admin Center → Applications d'entreprise.

  2. Recherchez l'application Claude SCIM. Recherchez l'application avec une section Provisionnement.

  3. Cliquez sur Provisionnement → Modifier le provisionnement → Mappages d'attributs.

  4. Trouvez la ligne où l'attribut SCIM est emails[type eq "work"].value. Cliquez dessus pour modifier.

  5. Modifiez l'Attribut source pour qu'il corresponde à ce que SSO envoie — généralement mail.

  6. Vérifiez également le mappage userName et mettez-le à jour si nécessaire.

  7. Cliquez sur Enregistrer.

Déclencher une synchronisation complète du provisionnement

Synchronisation complète requise — l'incrémental ne fonctionnera pas. Vous devez déclencher un redémarrage complet du cycle de provisionnement.

  1. Accédez à la page de présentation du Provisionnement.

  2. Cliquez sur Redémarrer le provisionnement.

  3. Attendez que la synchronisation se termine.

  4. Vérifiez dans les journaux de provisionnement que les emails des utilisateurs ont été mis à jour au format correct.

Articles connexes
Décalage d'e-mail SSO/SCIM — Google Workspace
Décalage d'e-mail SSO/SCIM — Okta
Décalage d'e-mail SSO/SCIM — OneLogin
Incompatibilité d'e-mail SSO/SCIM — Ping Identity
Configuration SSO — Microsoft Entra ID
Avez-vous trouvé la réponse à votre question ?