Passer au contenu principal

Décalage d'e-mail SSO/SCIM — OneLogin

Résumé : Claude utilise l'adresse e-mail comme identifiant principal pour faire correspondre les connexions SSO aux sièges provisionnés. Dans OneLogin, le provisionnement SCIM et l'authentification SAML sont configurés dans des onglets distincts de l'application et peuvent référencer différents champs de profil utilisateur, ce qui provoque une incompatibilité qui bloque l'accès.

Symptômes

Les utilisateurs peuvent rencontrer un ou plusieurs des problèmes suivants lorsqu'ils tentent d'accéder à Claude for Enterprise via SSO :

  • « La création de compte est bloquée » — L'utilisateur s'authentifie via SSO mais Claude ne peut pas trouver un compte provisionné correspondant. Si votre organisation a restreint la création d'organisations (recommandé), l'utilisateur est complètement bloqué et ne peut pas continuer.

  • Accès à un compte personnel gratuit — Si la création d'organisations n'est pas restreinte, l'utilisateur contourne entièrement l'organisation d'entreprise et crée ou accède à un compte personnel gratuit au lieu de son siège d'entreprise.

  • Incompatibilité « Veuillez confirmer votre e-mail » — Le rappel SSO affiche une adresse e-mail différente de celle que l'utilisateur a saisie lors de la connexion.

  • Échec de l'authentification Claude Code — L'interface de ligne de commande Claude Code affiche une erreur d'incompatibilité d'e-mail lors du flux d'authentification.

Comment cela se produit

Les profils utilisateur OneLogin contiennent des champs distincts pour le nom d'utilisateur et l'e-mail, qui peuvent contenir des valeurs différentes. Les paramètres de provisionnement SCIM et les déclarations d'attributs SAML sont configurés indépendamment et peuvent chacun extraire d'un champ différent :

Champ OneLogin

Valeur typique

Couramment utilisé par

Username

testuser1 ou [email protected]

Parfois utilisé dans le mappage SCIM userName

Email

[email protected]

Recommandé pour SCIM et SAML

Login Name

Peut différer de l'e-mail si SSO est utilisé pour des connexions sans e-mail

Configurations héritées ou personnalisées

Champs utilisateur personnalisés

Attributs personnalisés définis par organisation

Mappages d'attributs avancés

Une incompatibilité courante : l'onglet des paramètres SCIM mappe l'attribut e-mail à Username (qui peut être un identifiant d'employé ou un nom court) tandis que la déclaration d'attributs SAML envoie le champ Email. Claude nécessite une correspondance exacte de chaîne.

Confusion courante : Les paramètres SCIM et les déclarations d'attributs SAML de OneLogin se trouvent dans des onglets différents de la même application — Parameters pour SCIM et SSO (ou Parameters avec des champs spécifiques à SAML) pour SSO. Les deux doivent être vérifiés et alignés.

Étapes de diagnostic

Étape 1 — Confirmer l'incompatibilité

  1. Vérifiez l'e-mail SCIM : Dans le portail d'administration OneLogin, allez à Applications → [Application Claude] → Parameters. Trouvez le champ mappé à l'e-mail que Claude reçoit. Notez la colonne OneLogin value — cela montre quel champ utilisateur est envoyé.

  2. Vérifiez l'e-mail SAML : Dans la même application, allez à l'onglet SSO. Cliquez sur More Actions → Edit SAML Response ou vérifiez la section SAML Attribute Statements. Trouvez l'attribut pour email et notez son champ source.

  3. Vérifiez un utilisateur spécifique : Dans Users → [User], comparez les champs Username et Email de l'utilisateur. S'ils diffèrent, tout mappage utilisant l'un ou l'autre provoquera une incompatibilité.

Étape 2 — Identifier l'étendue du problème

Déterminez s'il s'agit d'un utilisateur affecté ou d'un problème systémique :

  • Si la plupart ou tous les utilisateurs provisionnés partagent la même incompatibilité de format d'e-mail, c'est un problème systémique de mappage d'attributs affectant tout votre répertoire. La correction se trouve dans le mappage d'attributs SCIM de votre IdP.

  • Si seul un ou deux utilisateurs sont affectés tandis que d'autres fonctionnent correctement, le problème est probablement spécifique à ces comptes utilisateur. Vérifiez directement leur profil utilisateur.

Étape 3 — Examiner les valeurs des champs utilisateur

  1. Allez à Users → [Affected User] → User Info.

  2. Vérifiez les champs Username et Email.

  3. Si Username est dans un format qui ne correspond pas à une adresse e-mail valide, SCIM peut envoyer une valeur invalide ou non correspondante.

Résolution

Aligner les deux mappages sur le champ Email

Le champ Email de OneLogin est la source la plus fiable pour SCIM et SAML, car il est conçu pour contenir une adresse e-mail valide.

  1. Mettez à jour le paramètre SCIM : Dans Applications → [Application Claude] → Parameters, trouvez la ligne pour l'attribut e-mail que Claude reçoit. Changez la Value en Email (le champ Email utilisateur OneLogin).

  2. Mettez à jour la déclaration d'attributs SAML : Dans l'onglet SSO (ou Parameters pour les attributs SAML), mettez à jour la valeur de l'attribut email pour utiliser le même champ Email.

  3. Cliquez sur Save.

Déclencher une resynchronisation complète

Critique — Synchronisation complète requise : Une synchronisation incrémentale ne mettra pas à jour les utilisateurs existants après avoir modifié un mappage d'attributs. Vous devez déclencher un redémarrage complet du cycle de provisionnement.

  1. Dans l'onglet Provisioning de l'application, recherchez une option Re-sync ou Sync All et exécutez-la.

  2. Pour reprovisioner des utilisateurs individuels : Allez à Users → [User] → Applications, trouvez l'application Claude, et utilisez Re-provision.

  3. Vérifiez le journal d'activité de provisionnement OneLogin pour les erreurs.

  4. Vérifiez que les valeurs d'e-mail mises à jour apparaissent dans le journal avant de demander aux utilisateurs de réessayer la connexion.

Nettoyage après correction

Après avoir corrigé le mappage d'attributs et complété la synchronisation complète, vous devrez peut-être effectuer un nettoyage supplémentaire selon votre situation :

  • Comptes gratuits non autorisés : Si la création d'organisations n'était pas restreinte avant la correction, certains utilisateurs ont peut-être involontairement créé des comptes Claude personnels gratuits. Contactez Anthropic Support pour les faire supprimer.

  • Comptes fantômes (sièges avec mauvais e-mail) : Les comptes provisionnés à l'origine (avec l'e-mail incorrect) peuvent toujours exister dans votre organisation d'entreprise, occupant des sièges qui ne peuvent jamais être utilisés. Contactez Anthropic Support pour déprovisionner ces comptes fantômes.

  • Disponibilité des sièges : Si les comptes fantômes occupent tous les sièges contractés, les nouvelles connexions échoueront avec une erreur de manque de sièges même après la correction du mappage. Contactez le support si vous rencontrez ce problème.

  • Réajout des utilisateurs affectés : Après la suppression des comptes fantômes, les utilisateurs avec l'e-mail corrigé devront peut-être être réinvités ou reprovisionnés.

Prévenir les occurrences futures : Activez « Restrict organization creation » dans vos paramètres d'entreprise.

Vérification

Après avoir complété la correction et tout nettoyage, vérifiez les éléments suivants :

  1. Vérifiez un échantillon d'utilisateurs provisionnés — confirmez que leur e-mail dans le journal de provisionnement de votre IdP correspond au format d'e-mail que SSO envoie.

  2. Demandez à un utilisateur affecté d'effacer les cookies du navigateur pour claude.ai, puis de se connecter via SSO.

  3. Confirmez que les utilisateurs ne créent pas accidentellement de comptes gratuits.

  4. Si Claude Code a été affecté, demandez à l'utilisateur de réexécuter claude auth login --enterprise et confirmez que l'e-mail correspond à son siège d'entreprise.

Pièges courants

Piège

Solution

Le champ Username contient un nom court ou un identifiant d'employé, pas une adresse e-mail

Basculez SCIM pour utiliser le champ Email.

Les attributs SAML ont été mis à jour mais les paramètres SCIM n'ont pas été modifiés

L'onglet Parameters (pour SCIM) et les attributs SSO/SAML doivent être mis à jour indépendamment.

La resynchronisation ne semble pas se déclencher

Essayez de supprimer et de réassigner les utilisateurs affectés individuels de l'application.

Les champs utilisateur personnalisés sont mappés mais vides pour certains utilisateurs

Basculez vers le champ Email standard.

Les e-mails ont été mis à jour dans SCIM mais l'utilisateur ne peut toujours pas se connecter

Vérifiez les organisations gratuites non autorisées ou les comptes fantômes. Effacez les cookies du navigateur et réessayez.

« Invite domain not allowed » lors de la tentative de réajout d'utilisateurs

Le domaine de votre organisation peut ne pas être vérifié dans Claude. Contactez Anthropic Support.

Quand contacter Anthropic Support

  • Les attributs SCIM et SSO semblent identiques mais les utilisateurs ne peuvent toujours pas accéder à leurs sièges.

  • Vous devez confirmer quel e-mail Claude a enregistré lors du provisionnement SCIM pour des utilisateurs spécifiques.

  • Vous avez besoin d'aide pour nettoyer les comptes fantômes ou les organisations gratuites non autorisées.

  • Les utilisateurs rencontrent une erreur de manque de sièges malgré votre contrat ayant des sièges disponibles.

Contactez [email protected] avec le domaine de votre organisation, l'adresse e-mail de l'utilisateur affecté, et des captures d'écran de vos mappages d'attributs.

Articles connexes
Décalage d'e-mail SSO/SCIM — Google Workspace
Incompatibilité d'e-mail SSO/SCIM — Microsoft Entra ID
Décalage d'e-mail SSO/SCIM — Okta
Incompatibilité d'e-mail SSO/SCIM — Ping Identity
Configuration SSO — OneLogin
Avez-vous trouvé la réponse à votre question ?