Ce guide vous explique comment configurer les autorisations basées sur les rôles pour votre organisation Enterprise. Cela vous permet de contrôler les fonctionnalités auxquelles des équipes ou des groupes de membres spécifiques peuvent accéder, plutôt que de donner les mêmes autorisations à tout le monde.
Avant de commencer, assurez-vous de connaître :
Gérer les groupes et les limites de dépenses des groupes sur les plans Enterprise — comment créer et gérer les groupes
Gérer les rôles personnalisés sur les plans Enterprise — comment fonctionnent les rôles personnalisés et les capacités
Avant de commencer
Vous devez avoir un accès Propriétaire ou Propriétaire principal à votre organisation Enterprise.
Déconnectez-vous et reconnectez-vous à votre compte Claude avant de commencer. Cela garantit que la barre latérale des paramètres d'administration mise à jour s'affiche, avec les nouvelles pages Groupes et Rôles personnalisés sous Personnes.
Sauvegardez votre liste de membres. Exportez un fichier CSV de vos membres actuels à partir de Paramètres de l'organisation > Membres avant d'apporter des modifications. Si quelque chose se passe mal lors de la migration, cela vous donne une référence pour restaurer l'accès. Voir Gérer les membres sur les plans Team et Enterprise.
Plans à deux sièges : Si votre organisation utilise un plan Enterprise à deux sièges (avec des sièges Chat et Chat + Claude Code), les rôles personnalisés ne remplacent pas les restrictions au niveau des sièges. Un membre assigné à un siège Chat uniquement ne peut pas accéder à Claude Code même si son rôle personnalisé l'autorise. Planifiez votre structure de rôles en tenant compte des assignations de sièges.
Si vous prévoyez d'utiliser des groupes de fournisseur d'identité (IdP) à partir d'Okta, Entra ID ou d'un autre fournisseur, assurez-vous que la synchronisation du répertoire SCIM est configurée. Voir Configurer l'approvisionnement JIT ou SCIM.
Remarque sur le mode d'approvisionnement : Si votre organisation utilise l'approvisionnement Invitation uniquement ou JIT, vous ne pouvez utiliser que des groupes créés manuellement pour RBAC. Les groupes synchronisés par SCIM ne sont pas pris en charge dans ces modes.
Planifier votre structure de rôles
Avant de créer quoi que ce soit, décidez quelles fonctionnalités chaque équipe ou groupe de membres devrait avoir accès. Voici trois modèles courants :
Rôles de base plus additifs
C'est l'approche recommandée pour la plupart des organisations. Créez un rôle « Accès standard » pour tout le monde avec des fonctionnalités courantes comme la recherche web, la mémoire et les projets. Ensuite, créez des rôles additifs qui accordent des capacités spécifiques — par exemple, un rôle « Cowork activé » qui ajoute uniquement Cowork. Assignez tous les membres au rôle de base via un groupe « Tous les utilisateurs », et ajoutez des membres spécifiques à des groupes supplémentaires qui ajoutent des fonctionnalités supplémentaires.
Ce modèle est flexible car les autorisations sont additives — la combinaison d'un rôle de base avec des rôles additifs se compose proprement sans conflits.
Rôles basés sur les niveaux
Créez des niveaux distincts : « Accès complet » avec toutes les fonctionnalités, « Accès standard » avec la plupart des fonctionnalités, et « Accès restreint » avec des fonctionnalités minimales. Chaque membre va dans exactement un groupe assigné à un niveau.
Rôles basés sur les départements
Créez des rôles qui correspondent aux départements : « Ingénierie » avec Cowork, Claude Code et exécution de code ; « Recherche » avec recherche web, mémoire et projets ; « Affaires » avec recherche web et projets uniquement. Assignez chaque groupe de département à son rôle correspondant.
Étape 1 : Vérifier vos paramètres actuels
Vérifiez quelles fonctionnalités sont actuellement activées ou désactivées au niveau de l'organisation dans Paramètres de l'organisation > Capacités.
Allez à Paramètres de l'organisation > Organisation pour exporter ou vérifier votre liste de membres.
Notez le rôle intégré actuel de chaque membre (Utilisateur, Admin ou Propriétaire).
Pour chaque équipe ou département, décidez quelles fonctionnalités ils doivent avoir accès.
Rappelez-vous : toute fonctionnalité que vous souhaitez contrôler par groupe doit être activée au niveau de l'organisation. Si une fonctionnalité est désactivée au niveau de l'organisation, aucun rôle personnalisé ne peut accorder l'accès à celle-ci.
Important : Contrairement aux membres ayant le rôle Utilisateur, les membres assignés à des rôles personnalisés n'héritent pas automatiquement des capacités activées par l'organisation. Chaque capacité dont un membre avec un rôle personnalisé a besoin doit être explicitement accordée par un rôle personnalisé assigné à l'un de ses groupes.
Étape 2 : Créer des rôles personnalisés
Créez vos rôles personnalisés avant d'activer des fonctionnalités ou de migrer des membres. Cela garantit que vos rôles sont prêts à appliquer l'accès dès que les fonctionnalités s'activent.
Cliquez sur « + Ajouter rôle ».
Nommez le rôle et activez les capacités appropriées.
Cliquez sur « Ajouter un rôle ».
Répétez pour chaque rôle dans votre plan.
Voir Gérer les rôles personnalisés sur les plans Enterprise pour plus de détails sur les capacités disponibles.
Étape 3 : Créer des groupes et assigner des rôles
Accédez à Paramètres de l'organisation > Groupes.
Cliquez sur « Ajouter un groupe » pour créer un groupe pour chaque équipe ou niveau dans votre plan.
Ajoutez des membres aux groupes appropriés.
Assignez chaque groupe aux rôles personnalisés que vous avez créés à l'étape 2.
Si vous utilisez la synchronisation du répertoire SCIM, vous pouvez synchroniser les groupes à partir de votre fournisseur d'identité au lieu de les créer manuellement. Pour plus de détails sur la synchronisation des groupes SCIM, voir Gérer les groupes et les limites de dépenses des groupes sur les plans Enterprise.
Plusieurs organisations sous la même organisation parent : Les groupes sont gérés au niveau de l'organisation parent et se propagent à toutes les organisations enfants. Vous pouvez voir des membres d'autres organisations listés dans un groupe — cela ne signifie pas qu'ils ont accès à votre organisation. Les rôles personnalisés assignés à un groupe accordent uniquement des capacités aux membres qui font partie de votre organisation spécifique.
Étape 4 : Vérifier les assignations de groupes et de rôles
Avant de migrer les membres vers des rôles personnalisés, confirmez que chaque membre que vous prévoyez de migrer est dans au moins un groupe assigné à un rôle personnalisé. Les membres migrés sans couverture de groupe ou de rôle perdront l'accès à toutes les fonctionnalités gouvernées.
Accédez à Paramètres de l'organisation > Membres.
Utilisez les filtres Rôle et Groupe pour identifier les membres qui ne sont assignés à aucun groupe.
Vous pouvez également cliquer sur « Exporter CSV » pour télécharger la liste complète des membres avec les colonnes de rôle et de groupe pour examen.
Ajoutez tous les membres non assignés aux groupes appropriés avant de continuer.
Étape 5 : Migrer les membres vers les rôles personnalisés
Pour que les capacités des rôles personnalisés prennent effet, les membres doivent avoir leur rôle défini sur « Rôles personnalisés ». Les membres ayant les rôles Utilisateur, Admin ou Propriétaire obtiennent leurs autorisations directement de ces rôles, et non des rôles personnalisés.
Important : Complétez cette étape uniquement après avoir créé vos rôles personnalisés, créé vos groupes et vérifié que tous les membres sont assignés à des groupes (étapes 2–4). Les membres migrés vers les rôles personnalisés avant la fin de la configuration perdront immédiatement l'accès à toutes les fonctionnalités gouvernées.
Choisissez le chemin de migration en fonction de si votre organisation a déjà activé les mappages de groupes :
Chemin A : Activer les mappages de groupes (uniquement s'ils sont déjà utilisés)
Utilisez ce chemin uniquement si votre organisation a déjà activé les mappages de groupes pour l'attribution de rôles. Si vous n'utilisez pas déjà ce paramètre, passez au Chemin B.
Accédez à Paramètres de l'organisation > Identité et accès.
Dans la section des mappages de rôles, assignez les groupes IdP que vous souhaitez gouverner par des rôles personnalisés au rôle Rôles personnalisés.
Enregistrez vos modifications. Les membres de ces groupes IdP sont migrés vers les rôles personnalisés lors de la prochaine synchronisation.
Les membres des groupes IdP mappés aux rôles personnalisés suivent les autorisations des rôles personnalisés assignés à leurs groupes dans Claude. Les membres des groupes IdP mappés à Utilisateur suivent les paramètres de capacité au niveau de l'organisation. Si un membre se trouve dans des groupes avec les deux mappages, les rôles personnalisés ont la priorité.
Chemin B : Outil d'assignation en masse
Utilisez ce chemin si votre organisation n'a pas activé les mappages de groupes.
Avertissement : Si vous n'avez pas déjà activé les mappages de groupes, ne les activez pas pendant la configuration RBAC. L'activation sans d'abord assigner tous les membres à des groupes mappés peut entraîner la perte d'accès à votre organisation pour les membres.
Utilisez les filtres Rôle et Groupe pour sélectionner les membres que vous souhaitez migrer.
Utilisez l'outil d'assignation en masse dans le tableau Membres pour modifier le rôle des membres sélectionnés en Rôles personnalisés.
Nous recommandons de migrer d'abord un groupe pilote — une équipe ou un département — et de vérifier que leur accès est correct avant de l'étendre au reste de l'organisation.
Déploiement progressif
Quel que soit le chemin que vous utilisez, nous recommandons de migrer par étapes :
Commencez par un groupe pilote d'une équipe ou d'un département.
Après la migration, vérifiez que le groupe pilote a le bon accès aux fonctionnalités en fonction de ses assignations de groupe et de rôle.
Si quelque chose ne va pas, revenez les membres affectés à leur rôle précédent pendant que vous ajustez.
Étendez à plus de membres une fois que vous avez confirmé que la configuration fonctionne.
Étape 6 : Activer les fonctionnalités au niveau de l'organisation
Activez uniquement les fonctionnalités au niveau de l'organisation après que les rôles, les groupes et la migration des membres soient terminés. Cela garantit que les capacités des rôles personnalisés sont déjà en place, sans fenêtre où les membres non autorisés pourraient accéder à une fonctionnalité.
Pour toute fonctionnalité que vous souhaitez contrôler par groupe :
Accédez à la page des paramètres de la fonctionnalité dans Paramètres de l'organisation (par exemple, Paramètres de l'organisation > Cowork).
Activez la fonctionnalité au niveau de l'organisation.
Activer une fonctionnalité au niveau de l'organisation ne signifie pas que tout le monde l'obtient — les autorisations des rôles personnalisés sont déjà en place pour contrôler qui peut l'utiliser. Pensez au bouton bascule au niveau de l'organisation comme rendant la fonctionnalité « disponible pour l'assignation basée sur les rôles » plutôt que « activée pour tout le monde ».
Étape 7 : Vérifier et surveiller
Vérification rapide de l'accès : Vérifiez quelques membres de chaque groupe pour confirmer qu'ils voient les bonnes fonctionnalités.
Testez l'état restreint : Connectez-vous en tant que (ou demandez à) un membre qui ne devrait pas avoir une fonctionnalité comme Cowork. Il devrait la voir grisée avec le message « Contactez votre administrateur pour demander l'accès à cette fonctionnalité ».
Testez l'état accordé : Confirmez qu'un membre qui devrait avoir la fonctionnalité la voit fonctionner normalement.
Vérifiez les cas limites : Testez les membres dans plusieurs groupes, les membres sans groupe et les nouveaux membres rejoignant via SSO.
Les modifications d'autorisations prennent jusqu'à cinq minutes pour se synchroniser complètement sur la plateforme. Les membres peuvent avoir besoin d'actualiser leur navigateur pour voir l'accès mis à jour.
Utiliser SCIM avec les capacités basées sur les rôles
SCIM se connecte à vos capacités basées sur les rôles par deux mécanismes qui fonctionnent ensemble.
Mappage de groupe IdP à rôle
Cela contrôle quel rôle intégré un membre obtient lorsqu'il est provisionné. Mappez vos groupes IdP à « Rôles personnalisés » afin que l'accès des nouveaux membres soit automatiquement gouverné par les capacités des rôles personnalisés.
Dans le tableau des mappages de rôles, mappez vos groupes IdP à « Rôles personnalisés ».
Synchronisation des groupes
Cela extrait vos groupes IdP dans Claude afin qu'ils puissent être assignés à des rôles personnalisés.
Cliquez sur « Vérifier les mises à jour » dans la section Synchronisation SCIM.
Lorsque vous êtes invité à synchroniser Groupes, Membres ou Les deux, sélectionnez Groupes uniquement. La synchronisation des membres peut affecter le provisionnement et l'accès des membres.
Vos groupes IdP apparaissent comme des groupes sourced par SCIM dans la liste.
Assignez les groupes SCIM aux rôles personnalisés tout comme les groupes créés manuellement.
Dans votre IdP, ne poussez que les groupes que vous avez réellement l'intention d'utiliser pour RBAC ou les limites de dépenses. La synchronisation de tous les groupes IdP peut ralentir les chargements de pages dans la section Groupes.
Remarque : Les autorisations des rôles personnalisés s'appliquent uniquement aux membres ayant « Rôles personnalisés » sélectionnés dans Paramètres de l'organisation > Organisation. Si vous mappez un groupe IdP à un rôle différent (comme Utilisateur) via le mappage de groupe à rôle mais assignez ce même groupe SCIM à un rôle personnalisé, les autorisations du rôle personnalisé n'ont aucun effet — le membre obtient ses autorisations de son rôle assigné à la place. Pour utiliser les rôles personnalisés, assurez-vous que le groupe IdP est mappé à « Rôles personnalisés ».
Gestion continue avec SCIM
Pour accorder à un membre l'accès à une fonctionnalité, ajoutez-le au groupe IdP approprié. Lors de la prochaine synchronisation, il reçoit le rôle personnalisé attribué à ce groupe.
Pour révoquer l'accès, supprimez-le du groupe IdP. Lors de la prochaine synchronisation, la permission est supprimée.
Cliquez sur « Synchronisation SCIM » dans la section Groupes pour forcer une synchronisation immédiate au lieu d'attendre la prochaine synchronisation planifiée.
Plan de restauration
Si vous remarquez que votre structure de rôles est mal configurée après la migration :
Désactivez toutes les fonctionnalités au niveau de l'organisation qui ont été activées dans le cadre de la migration.
Ramenez les membres affectés à leur rôle intégré précédent (par exemple, Utilisateur).
Ils retrouvent immédiatement les permissions statiques de ce rôle, et les permissions de rôle personnalisé cessent de s'appliquer.
Ajustez les rôles et les groupes selon les besoins, puis relancez la migration.
Si vous avez activé les mappages de groupes lors de la configuration et perdu l'accès administrateur, suivez les étapes de récupération dans Configurer l'approvisionnement JIT ou SCIM sous « J'ai perdu l'accès Admin/Propriétaire après l'activation des mappages de groupes. »
Questions fréquemment posées
Dois-je activer une fonctionnalité au niveau de l'organisation si je veux que seuls certains membres y aient accès ?
Oui. Le bouton au niveau de l'organisation doit être activé pour que les rôles personnalisés contrôlent l'accès par membre. Si une fonctionnalité est désactivée au niveau de l'organisation, personne ne peut y accéder, quel que soit son rôle. Pensez-y comme un interrupteur principal : les rôles personnalisés contrôlent qui y a accès en dessous.
Que se passe-t-il si un membre défini sur « Rôles personnalisés » n'est dans aucun groupe ?
Il n'a aucune permission de rôle personnalisé, donc toutes les fonctionnalités qui nécessitent des permissions sont grisées ou masquées. Assurez-vous que chaque membre défini sur « Rôles personnalisés » est dans au moins un groupe assigné à un rôle personnalisé.
Puis-je utiliser à la fois des rôles intégrés et des rôles personnalisés ?
Oui. Les membres ayant les rôles Utilisateur, Admin ou Propriétaire ne sont pas affectés par les permissions de rôle personnalisé car ils obtiennent leurs permissions directement de ces rôles. Seuls les membres définis sur Rôles personnalisés sont contrôlés par le système de groupes et de rôles. Cela permet une migration progressive.
Que se passe-t-il si un membre est dans deux groupes avec des rôles différents ?
Les permissions sont cumulatives. Si un rôle dans la chaîne d'un membre accorde une fonctionnalité, il l'a. Vous ne pouvez pas utiliser un rôle pour supprimer une permission accordée par un autre rôle.
Puis-je utiliser les groupes SCIM et les groupes manuels ensemble ?
Oui. Les deux types peuvent être assignés à des rôles personnalisés. La différence est que l'appartenance au groupe SCIM est gérée dans votre fournisseur d'identité, tandis que l'appartenance au groupe manuel est gérée dans les paramètres d'organisation de Claude.
Les Propriétaires et Propriétaires principaux sont-ils affectés par les permissions de rôle personnalisé ?
Non. Les Propriétaires et Propriétaires principaux ont toujours un accès complet à toutes les fonctionnalités.
Comment cela fonctionne-t-il entre les organisations parent et enfant ?
Les groupes et la synchronisation SCIM sont gérés au niveau de l'organisation parent et partagés entre toutes les organisations enfants. Les assignations de rôles et de limites de dépenses sont configurées indépendamment dans chaque organisation enfant : les modifications dans une organisation enfant n'affectent pas les autres. Les modifications d'appartenance aux groupes et les resynchronisations SCIM se propagent dans toutes les organisations enfants sous le même parent.