Ce guide vous explique comment configurer les autorisations basées sur les rôles pour votre organisation Enterprise. Cela vous permet de contrôler les fonctionnalités auxquelles des équipes ou des groupes de membres spécifiques peuvent accéder, plutôt que de donner les mêmes autorisations à tout le monde.
Avant de commencer, assurez-vous de connaître :
Gérer les groupes et les limites de dépenses des groupes pour les plans Enterprise — comment créer et gérer les groupes
Gérer les rôles personnalisés pour les plans Enterprise — comment fonctionnent les rôles personnalisés et les capacités
Avant de commencer
Vous devez avoir un accès Propriétaire ou Propriétaire principal à votre organisation Enterprise.
Vérifiez les capacités activées au niveau de l'organisation. Allez dans Paramètres de l'organisation et assurez-vous de connaître les capacités auxquelles les membres peuvent accéder actuellement. Pour les paramètres gérés par RBAC, le paramètre d'organisation et le paramètre de rôle doivent tous deux être activés pour que les utilisateurs aient accès.
Sauvegardez votre liste de membres. Exportez un CSV de vos membres actuels depuis Paramètres de l'organisation > Membres avant d'apporter des modifications. Si quelque chose se passe mal lors de la migration, cela vous donne une référence pour restaurer l'accès. Voir Gérer les membres pour les plans Team et Enterprise.
Déterminez les équipes ou fonctions qui ont besoin de chaque capacité. Par exemple, l'Ingénierie obtient Claude Code + Mode rapide et le Marketing obtient Cowork + Recherche Web. À partir de là, définissez vos rôles personnalisés.
Plans à double siège. Si votre organisation utilise un plan Enterprise à double siège (avec des sièges Chat et Chat + Claude Code), les rôles personnalisés ne remplacent pas les restrictions au niveau du siège. Un membre assigné à un siège Chat uniquement ne peut pas accéder à Claude Code même si son rôle personnalisé l'autorise. L'inverse s'applique également : si le rôle personnalisé d'un membre n'accorde pas la capacité de chat, il n'aura pas accès au chat quel que soit son type de siège. Planifiez votre structure de rôles en tenant compte des assignations de sièges.
Remarque : « Chat + Claude Code » fait référence à un type de siège sur les plans à double siège hérités. La capacité « chat » dans les rôles personnalisés est distincte — elle régit l'accès au chat pour tout membre dont le rôle est défini sur « Rôles personnalisés », sur n'importe quel plan.
Décidez comment vous allez créer des groupes. Vous pouvez créer des groupes manuellement dans Claude, ou les synchroniser à partir de votre fournisseur d'identité (IdP) via SCIM. Vous pouvez également utiliser les deux méthodes simultanément. Si vous prévoyez d'utiliser des groupes IdP d'Okta, Entra ID ou un autre fournisseur, assurez-vous que la synchronisation du répertoire SCIM est configurée. Voir Configurer l'approvisionnement JIT ou SCIM.
Planifier votre structure de rôles
Avant de créer quoi que ce soit, décidez quelles fonctionnalités chaque équipe ou groupe de membres devrait avoir accès. Voici trois modèles courants :
Rôles de base plus additifs
C'est l'approche recommandée pour la plupart des organisations. Créez un rôle « Accès standard » pour tous avec des fonctionnalités courantes comme la recherche Web, la mémoire et les projets. Ensuite, créez des rôles additifs qui accordent des capacités spécifiques — par exemple, un rôle « Cowork activé » qui ajoute uniquement Cowork. Assignez tous les membres au rôle de base via un groupe « Tous les utilisateurs », et ajoutez des membres spécifiques à des groupes supplémentaires qui ajoutent des fonctionnalités supplémentaires.
Ce modèle est flexible car les autorisations sont additives — la combinaison d'un rôle de base avec des rôles additifs se compose proprement sans conflits.
Rôles basés sur les niveaux
Créez des niveaux distincts : « Accès complet » avec toutes les fonctionnalités, « Accès standard » avec la plupart des fonctionnalités, et « Accès restreint » avec des fonctionnalités minimales. Chaque membre va dans exactement un groupe assigné à un niveau.
Rôles basés sur les départements
Créez des rôles qui correspondent aux départements : « Ingénierie » avec chat, Cowork, Claude Code et exécution de code ; « Recherche » avec chat, recherche Web, mémoire et projets ; « Affaires » avec chat, recherche Web et projets uniquement. Assignez chaque groupe de département à son rôle correspondant.
Étape 1 : Auditez vos paramètres actuels
Vérifiez les fonctionnalités actuellement activées ou désactivées au niveau de l'organisation dans Paramètres de l'organisation > Capacités.
Allez dans Paramètres de l'organisation > Membres pour exporter ou vérifier votre liste de membres.
Notez le rôle intégré actuel de chaque membre (Utilisateur, Admin ou Propriétaire).
Pour chaque équipe ou département, décidez des fonctionnalités auxquelles ils doivent avoir accès.
Rappelez-vous : toute fonctionnalité que vous souhaitez contrôler par groupe doit être activée au niveau de l'organisation. Si une fonctionnalité est désactivée au niveau de l'organisation, aucun rôle personnalisé ne peut accorder l'accès à celle-ci.
Important : Contrairement aux membres ayant le rôle Utilisateur, les membres assignés à des rôles personnalisés n'héritent pas automatiquement des capacités activées par l'organisation. Chaque capacité dont un membre avec rôles personnalisés a besoin doit être explicitement accordée par un rôle personnalisé assigné à l'un de ses groupes.
Étape 2 : Créer des rôles personnalisés
Créez vos rôles personnalisés avant d'activer des fonctionnalités ou de migrer des membres. Cela garantit que vos rôles sont prêts à appliquer l'accès dès que les fonctionnalités s'activent.
Cliquez sur « Ajouter rôle ».
Nommez le rôle et activez les capacités appropriées.
Cliquez sur « Ajouter un rôle ».
Répétez pour chaque rôle dans votre plan.
Les modifications apportées aux rôles personnalisés peuvent prendre jusqu'à cinq minutes pour se propager. Les membres peuvent avoir besoin d'actualiser leurs navigateurs pour voir l'accès mis à jour.
Voir Gérer les rôles personnalisés pour les plans Enterprise pour plus de détails sur les capacités disponibles.
Étape 3 : Créer des groupes et assigner des rôles
Accédez à Paramètres de l'organisation > Groupes.
Cliquez sur « Ajouter un groupe » pour créer un groupe pour chaque équipe ou niveau dans votre plan.
Ajoutez des membres aux groupes appropriés.
Assignez chaque groupe aux rôles personnalisés que vous avez créés à l'étape 2.
Si vous utilisez la synchronisation du répertoire SCIM, vous pouvez synchroniser les groupes à partir de votre fournisseur d'identité au lieu de les créer manuellement. Pour plus de détails sur la synchronisation des groupes SCIM, voir Gérer les groupes et les limites de dépenses des groupes pour les plans Enterprise.
Plusieurs organisations sous la même organisation parent : Les groupes sont gérés au niveau de l'organisation parent et se propagent à toutes les organisations enfants. Vous pouvez voir des membres d'autres organisations listés dans un groupe — cela ne signifie pas qu'ils ont accès à votre organisation. Les rôles personnalisés assignés à un groupe accordent uniquement des capacités aux membres qui font partie de votre organisation spécifique.
Si vous demandez de déplacer une organisation d'un parent à un autre (c'est rare en pratique), les groupes et les rôles deviendront indéfinis et vous devrez les recréer.
Important : Si votre organisation utilise l'approvisionnement « Invitation uniquement » ou JIT, vous ne pouvez utiliser que des groupes créés manuellement pour RBAC. Les groupes synchronisés par SCIM ne sont pas pris en charge dans ces modes.
Étape 4 : Vérifier les assignations de groupes et de rôles
Avant de migrer les membres vers des rôles personnalisés, confirmez que chaque membre que vous prévoyez de migrer se trouve dans au moins un groupe assigné à un rôle personnalisé. Les membres migrés sans couverture de groupe ou de rôle perdront l'accès à toutes les fonctionnalités gouvernées.
Accédez à Paramètres de l'organisation > Membres.
Utilisez les filtres Rôle et Groupe pour identifier les membres qui ne sont assignés à aucun groupe.
Vous pouvez également cliquer sur « Exporter CSV » pour télécharger la liste complète des membres avec les colonnes de rôle et de groupe à examiner.
Ajoutez les membres non assignés aux groupes appropriés avant de continuer.
Étape 5 : Migrer les membres vers les rôles personnalisés
Pour que les capacités des rôles personnalisés prennent effet, les membres doivent avoir leur rôle défini sur « Rôles personnalisés ». Les membres ayant les rôles Utilisateur, Admin ou Propriétaire obtiennent leurs autorisations directement de ces rôles, et non des rôles personnalisés.
Important : Complétez cette étape uniquement après avoir créé vos rôles personnalisés, créé vos groupes et vérifié que tous les membres sont assignés à des groupes (étapes 2–4). Les membres migrés vers les Rôles personnalisés avant la fin de la configuration perdront immédiatement l'accès à toutes les fonctionnalités gouvernées.
Choisissez le chemin de migration en fonction de si votre organisation a déjà activé les mappages de groupes :
Chemin A : Activer les mappages de groupes (uniquement s'ils sont déjà utilisés)
Utilisez ce chemin uniquement si votre organisation a déjà activé les mappages de groupes pour l'assignation de rôles. Si vous n'utilisez pas déjà ce paramètre, passez au Chemin B.
Accédez à Paramètres de l'organisation > Organisation et accès.
Dans la section des mappages de rôles, assignez les groupes IdP que vous souhaitez gouverner par les rôles personnalisés au rôle Rôles personnalisés.
Enregistrez vos modifications. Les membres de ces groupes IdP sont migrés vers les Rôles personnalisés lors de la prochaine synchronisation.
Les membres des groupes IdP mappés aux Rôles personnalisés suivent les autorisations des rôles personnalisés assignés à leurs groupes dans Claude. Les membres des groupes IdP mappés à Utilisateur suivent les paramètres de capacité au niveau de l'organisation. Si un membre appartient à des groupes dans les deux mappages, les Rôles personnalisés ont la priorité.
Chemin B : Outil d'assignation en masse
Utilisez ce chemin si votre organisation n'a pas activé les mappages de groupes.
Avertissement : Si vous n'avez pas déjà activé les mappages de groupes, ne les activez pas pendant la configuration RBAC. L'activation sans d'abord assigner tous les membres à des groupes mappés peut entraîner la perte d'accès à votre organisation pour certains membres.
Accédez à Paramètres de l'organisation > Membres.
Utilisez les filtres Rôle et Groupe pour sélectionner les membres que vous souhaitez migrer.
Utilisez l'outil d'assignation en masse dans le tableau Membres pour modifier le rôle des membres sélectionnés en Rôles personnalisés.
Nous recommandons de migrer d'abord un groupe pilote—une équipe ou un département—et de vérifier que leur accès est correct avant de l'étendre au reste de l'organisation.
Déploiement progressif
Quel que soit le chemin que vous utilisez, nous recommandons de migrer par étapes :
Commencez par un groupe pilote d'une équipe ou d'un département.
Après la migration, vérifiez que le groupe pilote a le bon accès aux fonctionnalités en fonction de ses assignations de groupe et de rôle.
Si quelque chose ne va pas, revenez les membres affectés à leur rôle précédent pendant que vous ajustez.
Étendez à plus de membres une fois que vous avez confirmé que la configuration fonctionne.
Étape 6 : Activer les fonctionnalités au niveau de l'organisation
Activez uniquement les fonctionnalités au niveau de l'organisation après que les rôles, les groupes et la migration des membres soient terminés. Cela garantit que les capacités des rôles personnalisés sont déjà en place, sans fenêtre où les membres non autorisés pourraient accéder à une fonctionnalité.
Pour toute fonctionnalité que vous souhaitez contrôler par groupe :
Accédez à la page des paramètres de la fonctionnalité dans Paramètres de l'organisation (par exemple, Paramètres de l'organisation > Cowork).
Activez la fonctionnalité au niveau de l'organisation.
Activer une fonctionnalité au niveau de l'organisation ne signifie pas que tout le monde l'obtient—les autorisations des rôles personnalisés sont déjà en place pour contrôler qui peut l'utiliser. Pensez au bouton bascule au niveau de l'organisation comme rendant la fonctionnalité « disponible pour l'assignation basée sur les rôles » plutôt que « activée pour tout le monde ».
Étape 7 : Appliquer une limite de dépenses de groupe (organisations basées sur l'utilisation uniquement)
Accédez à la page « Utilisation » pour assigner une limite de dépenses mensuelle par utilisateur à n'importe quel groupe.
Notez les règles de priorité suivantes :
Les limites individuelles remplacent toujours les limites de groupe, indépendamment de laquelle est plus élevée.
Si un utilisateur appartient à plusieurs groupes avec des limites différentes, l'organisation peut appliquer la limite de dépenses la plus basse ou la plus élevée. Utilisez la liste déroulante sous « Paramètres par défaut de dépenses » pour déterminer la priorité que vous souhaitez appliquer.
Les limites à l'échelle de l'organisation restent le plafond absolu.
Les changements d'adhésion prennent effet automatiquement—les utilisateurs héritent ou perdent des limites dès que leur adhésion au groupe change. Pertinent uniquement pour les organisations de facturation basée sur l'utilisation.
Étape 8 : Vérifier et surveiller
Vérification rapide de l'accès : Vérifiez quelques membres de chaque groupe pour confirmer qu'ils voient les bonnes fonctionnalités.
Testez l'état restreint : Connectez-vous en tant que (ou demandez à) un membre qui ne devrait pas avoir une fonctionnalité comme Cowork. Il devrait la voir grisée avec le message « Contactez votre administrateur pour demander l'accès à cette fonctionnalité ».
Testez l'état accordé : Confirmez qu'un membre qui devrait avoir la fonctionnalité la voit fonctionner normalement.
Vérifiez les cas limites : Testez les membres dans plusieurs groupes, les membres sans groupe et les nouveaux membres rejoignant via SSO.
Les changements d'autorisations prennent jusqu'à cinq minutes pour se synchroniser complètement sur la plateforme. Les membres peuvent avoir besoin d'actualiser leur navigateur pour voir l'accès mis à jour.
Utiliser SCIM avec les capacités basées sur les rôles
SCIM se connecte à vos capacités basées sur les rôles par deux mécanismes qui fonctionnent ensemble.
Mappage de groupe IdP à rôle
Cela contrôle quel rôle intégré un membre obtient lorsqu'il est provisionné. Mappez vos groupes IdP à « Rôles personnalisés » afin que l'accès des nouveaux membres soit automatiquement gouverné par les capacités des rôles personnalisés.
Dans le tableau des mappages de rôles, mappez vos groupes IdP aux « Rôles personnalisés ».
Synchronisation de groupes
Cela importe vos groupes IdP dans Claude pour qu'ils puissent être assignés à des rôles personnalisés.
Accédez à Paramètres de l'organisation > Groupes
Cliquez sur « Vérifier les mises à jour » dans la section Synchronisation SCIM.
Lorsque vous êtes invité à synchroniser les groupes, les membres ou les deux, sélectionnez Groupes uniquement. La synchronisation des membres peut affecter l'approvisionnement et l'accès des membres.
Vos groupes IdP apparaissent comme des groupes sourced par SCIM dans la liste.
Assignez les groupes SCIM aux rôles personnalisés comme les groupes créés manuellement.
Dans votre IdP, ne poussez que les groupes que vous avez l'intention d'utiliser pour le RBAC ou les limites de dépenses. La synchronisation de tous les groupes IdP peut ralentir le chargement des pages dans la section Groupes.
Remarque : Les permissions des rôles personnalisés s'appliquent uniquement aux membres ayant « Rôles personnalisés » sélectionnés dans Paramètres de l'organisation > Membres. Si vous mappez un groupe IdP à un rôle différent (comme Utilisateur) via le mapage groupe-à-rôle mais assignez ce même groupe SCIM à un rôle personnalisé, les permissions du rôle personnalisé n'ont aucun effet—le membre obtient ses permissions de son rôle assigné à la place. Pour utiliser les rôles personnalisés, assurez-vous que le groupe IdP est mappé à « Rôles personnalisés ».
Gestion continue avec SCIM
Pour accorder à un membre l'accès à une fonctionnalité, ajoutez-le au groupe IdP approprié. Lors de la prochaine synchronisation, il récupère le rôle personnalisé assigné à ce groupe.
Pour révoquer l'accès, supprimez-le du groupe IdP. Lors de la prochaine synchronisation, la permission est supprimée.
Cliquez sur « Synchronisation SCIM » dans la section Groupes pour forcer une synchronisation immédiate plutôt que d'attendre la prochaine synchronisation programmée.
Plan de restauration
Si vous remarquez que votre structure de rôles est mal configurée après la migration :
Désactivez toutes les fonctionnalités au niveau de l'organisation qui ont été activées dans le cadre de la migration.
Ramenez les membres affectés à leur rôle intégré précédent (par exemple, Utilisateur).
Ils retrouvent immédiatement les permissions statiques de ce rôle, et les permissions des rôles personnalisés cessent de s'appliquer.
Ajustez les rôles et les groupes selon les besoins, puis remigrez.
Si vous avez activé les mappages de groupes lors de la configuration et perdu l'accès administrateur, suivez les étapes de récupération dans Configurer l'approvisionnement JIT ou SCIM sous « J'ai perdu l'accès administrateur/propriétaire après l'activation des mappages de groupes ».
Questions fréquemment posées
Dois-je activer une fonctionnalité au niveau de l'organisation si je veux que seuls certains membres y aient accès ?
Oui. Le bouton au niveau de l'organisation doit être activé pour que les rôles personnalisés contrôlent l'accès par membre. Si une fonctionnalité est désactivée au niveau de l'organisation, personne ne peut y accéder quel que soit son rôle. Pensez-y comme un interrupteur principal—les rôles personnalisés contrôlent qui y a accès en dessous.
Que se passe-t-il si un membre défini sur « Rôles personnalisés » n'est dans aucun groupe ?
Il n'a aucune permission de rôle personnalisé, donc toutes les fonctionnalités qui nécessitent des permissions sont grisées ou masquées. Assurez-vous que chaque membre défini sur « Rôles personnalisés » est dans au moins un groupe assigné à un rôle personnalisé.
Et si un rôle personnalisé n'accorde pas l'accès au chat ?
Les membres de ce rôle ne verront pas l'interface de chat de Claude. Ils arriveront sur leur page de paramètres lorsqu'ils se connecteront. Si leur rôle accorde d'autres produits comme Cowork ou Claude Code, ceux-ci restent accessibles depuis leur page de paramètres et depuis les applications pertinentes.
Le chat est activé par défaut dans tous les rôles personnalisés, donc vous n'avez besoin de vous en préoccuper que si vous avez intentionnellement désactivé le chat pour un rôle.
Puis-je utiliser à la fois des rôles intégrés et des rôles personnalisés ?
Oui. Les membres ayant les rôles Utilisateur, Administrateur ou Propriétaire ne sont pas affectés par les permissions des rôles personnalisés car ils obtiennent leurs permissions de ces rôles directement. Seuls les membres définis sur Rôles personnalisés sont contrôlés par le système groupe-et-rôle. Cela permet une migration progressive.
Et si un membre est dans deux groupes avec des rôles différents ?
Les permissions sont cumulatives. Si un rôle dans la chaîne d'un membre accorde une fonctionnalité, il l'a. Vous ne pouvez pas utiliser un rôle pour supprimer une permission accordée par un autre rôle.
Puis-je utiliser les groupes SCIM et les groupes manuels ensemble ?
Oui. Les deux types peuvent être assignés à des rôles personnalisés. La différence est que l'appartenance au groupe SCIM est gérée dans votre fournisseur d'identité, tandis que l'appartenance au groupe manuel est gérée dans les paramètres de l'organisation de Claude.
Les propriétaires et propriétaires principaux sont-ils affectés par les permissions des rôles personnalisés ?
Non. Les propriétaires et propriétaires principaux ont toujours un accès complet à toutes les fonctionnalités.
Comment cela fonctionne-t-il entre les organisations parent et enfant ?
Les groupes et la synchronisation SCIM sont gérés au niveau de l'organisation parent et partagés entre toutes les organisations enfants. Les assignations de rôles et de limites de dépenses sont configurées indépendamment dans chaque organisation enfant—les modifications dans une organisation enfant n'affectent pas les autres. Les modifications d'appartenance aux groupes et les resynchronisations SCIM se propagent dans toutes les organisations enfants sous le même parent.