Passer au contenu principal

Incompatibilité d'e-mail SSO/SCIM — Ping Identity

Résumé : Claude utilise l'adresse e-mail comme identifiant principal pour faire correspondre les connexions SSO aux sièges provisionnés. Les produits Ping Identity (PingOne et PingFederate) disposent d'une configuration d'attributs flexible et en couches. Lorsque le provisionnement SCIM et l'authentification SSO SAML/OIDC extraient des attributs utilisateur différents, une non-correspondance bloque l'accès.

Symptômes

Les utilisateurs peuvent rencontrer un ou plusieurs des problèmes suivants lorsqu'ils tentent d'accéder à Claude for Enterprise via SSO :

  • « La création de compte est bloquée » — L'utilisateur s'authentifie via SSO mais Claude ne peut pas trouver de compte provisionné correspondant.

  • Accès à un compte personnel gratuit — Si la création d'organisation n'est pas restreinte, l'utilisateur contourne entièrement l'organisation d'entreprise.

  • Non-correspondance « Veuillez confirmer votre e-mail » — Le rappel SSO affiche une adresse e-mail différente de celle que l'utilisateur a saisie lors de la connexion.

  • Échec de l'authentification Claude Code — L'interface de ligne de commande Claude Code affiche une erreur de non-correspondance d'e-mail lors du flux d'authentification.

Comment cela se produit

Les produits Ping Identity permettent un mappage d'attributs granulaire à plusieurs niveaux (répertoire, adaptateur IdP, connecteur SP, application). SCIM et SSO peuvent chacun traverser différents chemins à travers ces couches, ce qui entraîne des valeurs d'e-mail différentes atteignant Claude :

Attribut Ping

Valeur typique

Couramment utilisé par

email (PingOne)

[email protected]

Recommandé pour SCIM et SAML/OIDC

username (PingOne)

testuser1 ou [email protected]

Identifiant de connexion par défaut ; peut différer de l'e-mail

Attribut d'adaptateur IdP (PingFederate)

Varie selon le type d'adaptateur (LDAP, formulaire HTML, etc.)

Sources d'identité PingFederate

Attribut LDAP mail

[email protected]

E-mail provenant du répertoire dans PingFederate

LDAP sAMAccountName ou uid

Peut être un ID d'employé ou un nom d'utilisateur court

Parfois mappé à l'e-mail par erreur

Attributs de population personnalisés

Champs personnalisés définis par environnement

Configurations PingOne avancées

Claude nécessite une correspondance exacte de chaîne entre l'e-mail provisionné par SCIM et l'e-mail affirmé par SSO.

Remarque PingFederate : Le système de contrat d'attribut de PingFederate est particulièrement complexe — l'e-mail peut passer par plusieurs couches (LDAP → adaptateur IdP → contrat d'adaptateur → connecteur SP → assertion). Une non-correspondance à n'importe quelle couche entraînera une valeur incorrecte atteignant Claude. Tracez la valeur de bout en bout.

Étapes de diagnostic

Étape 1 — Confirmer la non-correspondance (PingOne)

  1. Vérifier le mappage d'attributs SCIM : Dans PingOne Admin, allez à Connexions → Applications → [Application Claude] → Mappages d'attributs. Trouvez l'attribut mappé à emails[primary].value ou email. Notez l'attribut utilisateur PingOne utilisé comme source.

  2. Vérifier le mappage d'attributs SSO : Dans la même application, allez à l'onglet SAML ou OIDC et trouvez l'attribut ou la revendication mappée à email. Notez son attribut source.

  3. Si SCIM et SSO font référence à des attributs PingOne différents, vous avez confirmé la non-correspondance.

Étape 1 (alternative) — Confirmer la non-correspondance (PingFederate)

  1. Dans la console d'administration PingFederate, localisez la connexion SP pour Claude.

  2. Dans Accomplissement du contrat d'attribut, trouvez l'attribut email et tracez sa source jusqu'à l'adaptateur IdP ou au magasin de données LDAP.

  3. Séparément, vérifiez le connecteur de provisionnement SCIM ou le canal de provisionnement sortant pour Claude et tracez la source de l'attribut e-mail envoyé.

  4. Si les deux traces mènent à des attributs de répertoire différents, vous avez confirmé la non-correspondance.

Étape 2 — Identifier l'étendue du problème

Déterminez s'il s'agit d'un utilisateur affecté ou d'un problème systémique :

  • Si la plupart ou tous les utilisateurs provisionnés partagent la même non-correspondance de format d'e-mail, c'est un problème systémique de mappage d'attributs. La correction se trouve dans le mappage d'attributs SCIM de votre IdP.

  • Si seul un ou deux utilisateurs sont affectés, le problème est probablement spécifique à ces comptes utilisateur. Vérifiez leur profil utilisateur directement.

Étape 3 — Vérifier les valeurs d'attributs pour un utilisateur spécifique

  1. PingOne : Allez à Identités → Utilisateurs → [Utilisateur] et comparez les valeurs des champs Nom d'utilisateur et E-mail.

  2. PingFederate avec LDAP : Vérifiez l'enregistrement LDAP de l'utilisateur et comparez mail, userPrincipalName, sAMAccountName et tout autre attribut utilisé dans votre mappage d'adaptateur.

Résolution

PingOne — Aligner les deux mappages sur l'attribut e-mail

  1. Dans Connexions → Applications → [Application Claude], ouvrez Mappages d'attributs.

  2. Pour SCIM : Assurez-vous que emails[primary].value est mappé à l'attribut Adresse e-mail de PingOne.

  3. Pour SAML/OIDC : Assurez-vous que l'attribut ou la revendication email est également mappé à l'attribut Adresse e-mail de PingOne.

  4. Enregistrez les modifications.

PingFederate — Aligner le contrat d'attribut sur toutes les couches

  1. Dans la connexion SP pour Claude, allez à Accomplissement du contrat d'attribut.

  2. Trouvez l'attribut email. Assurez-vous que sa source est le même attribut LDAP ou magasin de données utilisé dans votre canal de provisionnement sortant SCIM.

  3. Si vous utilisez un adaptateur IdP personnalisé, assurez-vous que le contrat de l'adaptateur inclut l'attribut e-mail canonique et qu'il est correctement mappé jusqu'à la connexion SP.

  4. Mettez à jour le provisionnement SCIM pour utiliser le même attribut source.

Déclencher une resynchronisation complète

Critique — Synchronisation complète requise : Une synchronisation incrémentale ne mettra pas à jour les utilisateurs existants après avoir modifié un mappage d'attributs. Vous devez déclencher un redémarrage complet du cycle de provisionnement.

  1. PingOne : Dans les paramètres de provisionnement de l'application, déclenchez un cycle de provisionnement complet. Vous devrez peut-être désactiver et réactiver le provisionnement pour forcer une réinsertion complète de tous les utilisateurs.

  2. PingFederate : Déclenchez une synchronisation complète dans votre canal de provisionnement sortant. Vérifiez vos journaux de provisionnement pour confirmer que les valeurs d'e-mail mises à jour sont envoyées.

  3. Vérifiez que les valeurs d'e-mail mises à jour apparaissent dans les journaux de provisionnement avant de demander aux utilisateurs de réessayer la connexion.

Nettoyage après correction

Après correction du mappage d'attributs et fin de la synchronisation complète, vous devrez peut-être effectuer un nettoyage supplémentaire :

  • Comptes gratuits non autorisés : Contactez Anthropic Support pour les faire supprimer.

  • Comptes fantômes (sièges avec mauvais e-mail) : Contactez Anthropic Support pour déprovisionner ces comptes fantômes.

  • Disponibilité des sièges : Si les comptes fantômes occupent tous les sièges contractés, les nouvelles connexions échoueront. Contactez le support.

  • Réajout des utilisateurs affectés : Après suppression des comptes fantômes, les utilisateurs devront peut-être être réinvités ou reprovisionnés.

Prévenir les occurrences futures : Activez « Restreindre la création d'organisation » dans vos paramètres d'entreprise.

Vérification

  1. Vérifiez un échantillon d'utilisateurs provisionnés — confirmez que leur e-mail dans le journal de provisionnement de votre IdP correspond au format d'e-mail que SSO envoie.

  2. Demandez à un utilisateur affecté d'effacer les cookies du navigateur pour claude.ai, puis de se connecter via SSO.

  3. Confirmez que les utilisateurs ne créent pas accidentellement de comptes gratuits.

  4. Si Claude Code a été affecté, demandez à l'utilisateur de réexécuter claude auth login --enterprise et confirmez que l'e-mail correspond à son siège d'entreprise.

Pièges courants

Piège

Solution

Champ PingOne username utilisé au lieu de email

Changez le mappage SCIM à l'attribut Adresse e-mail de PingOne.

Non-correspondance d'attribut PingFederate sur les couches de contrat

Tracez l'attribut e-mail de bout en bout : source LDAP → adaptateur IdP → contrat d'adaptateur → connecteur SP → assertion.

LDAP sAMAccountName ou uid mappé comme source d'e-mail

Utilisez l'attribut LDAP mail à la place.

La synchronisation de provisionnement incrémentale ne met pas à jour les utilisateurs existants

Une resynchronisation complète est requise après modification des mappages d'attributs.

Contrat d'attribut mis à jour dans PingFederate mais connecteur SCIM non mis à jour

La connexion SP et le canal de provisionnement sortant SCIM doivent être mis à jour indépendamment.

E-mails mis à jour dans SCIM mais l'utilisateur ne peut toujours pas se connecter

Vérifiez les organisations gratuites non autorisées ou les comptes fantômes. Effacez les cookies du navigateur et réessayez.

Quand contacter Anthropic Support

  • Les attributs SCIM et SSO semblent identiques mais les utilisateurs ne peuvent toujours pas accéder à leurs sièges.

  • Vous devez confirmer quel e-mail Claude a enregistré lors du provisionnement SCIM pour des utilisateurs spécifiques.

  • Vous avez besoin d'aide pour nettoyer les comptes fantômes ou les organisations gratuites non autorisées.

  • Les utilisateurs rencontrent une erreur de sièges épuisés malgré votre contrat disposant de sièges disponibles.

Contactez [email protected] avec le domaine de votre organisation, l'adresse e-mail de l'utilisateur affecté et des captures d'écran de vos mappages d'attributs.

Articles connexes
Décalage d'e-mail SSO/SCIM — Google Workspace
Incompatibilité d'e-mail SSO/SCIM — Microsoft Entra ID
Décalage d'e-mail SSO/SCIM — Okta
Décalage d'e-mail SSO/SCIM — OneLogin
Configuration SSO — Ping Identity
Avez-vous trouvé la réponse à votre question ?