Passer au contenu principal

Configurer les autorisations basées sur les rôles pour les plans Enterprise

Ce guide vous explique comment configurer les autorisations basées sur les rôles pour votre organisation Enterprise. Cela vous permet de contrôler les fonctionnalités et les connecteurs auxquels des équipes ou des groupes de membres spécifiques peuvent accéder, et de déléguer des accès administrateur spécifiques comme la facturation ou la gestion des utilisateurs, plutôt que de donner les mêmes autorisations à tout le monde.

Avant de commencer, assurez-vous de connaître :


Avant de commencer

Vous devez avoir un accès Propriétaire ou Propriétaire principal à votre organisation Enterprise, ou un rôle personnalisé avec Identité et accès défini sur Gérer.

Remarque : Certaines de ces étapes nécessitent plus que le rôle personnalisé Identité et accès : l'activation des fonctionnalités au niveau de l'organisation nécessite le rôle Propriétaire, et la modification des rôles des membres nécessite que la Gestion des utilisateurs soit définie sur Gérer.

Vérifiez les capacités activées au niveau de l'organisation. Accédez aux Paramètres de l'organisation et assurez-vous de connaître les capacités auxquelles les membres peuvent actuellement accéder. Pour les paramètres gérés par RBAC, le paramètre d'organisation et le paramètre de rôle doivent tous deux être activés pour que les utilisateurs aient accès.

Sauvegardez votre liste de membres. Exportez un fichier CSV de vos membres actuels à partir des Paramètres de l'organisation > Membres avant d'apporter des modifications. Si quelque chose se passe mal lors de la migration, cela vous donne une référence pour restaurer l'accès. Consultez Gérer les membres pour les plans Team et Enterprise.

Déterminez les équipes ou fonctions qui ont besoin de chaque capacité. Par exemple, l'Ingénierie obtient Claude Code + Mode rapide et le Marketing obtient Cowork + Recherche Web. À partir de là, définissez vos rôles personnalisés.

Plans à double siège. Si votre organisation utilise un plan Enterprise à double siège (avec des sièges Chat et Chat + Claude Code), les rôles personnalisés ne remplacent pas les restrictions au niveau du siège. Un membre assigné à un siège Chat uniquement ne peut pas accéder à Claude Code même si son rôle personnalisé l'autorise. L'inverse s'applique également : si le rôle personnalisé d'un membre n'accorde pas la capacité de chat, il n'aura pas accès au chat quel que soit son type de siège. Planifiez votre structure de rôles en tenant compte des assignations de sièges.

Remarque : « Chat + Claude Code » fait référence à un type de siège sur les plans à double siège hérités. La capacité « chat » dans les rôles personnalisés est distincte — elle régit l'accès au chat pour tout membre dont le rôle est défini sur « Personnalisé » sur n'importe quel plan.

Décidez comment vous allez créer des groupes. Vous pouvez créer des groupes manuellement dans Claude, ou les synchroniser à partir de votre fournisseur d'identité (IdP) via SCIM. Vous pouvez également utiliser les deux méthodes simultanément. Si vous prévoyez d'utiliser des groupes IdP d'Okta, Entra ID ou un autre fournisseur, assurez-vous que la synchronisation du répertoire SCIM est configurée. Consultez Configurer l'approvisionnement JIT ou SCIM.

Ajoutez les connecteurs que vous prévoyez de gouverner. Les autorisations de connecteur ne couvrent que les connecteurs qu'un Propriétaire ou Propriétaire principal a déjà ajoutés sous Paramètres de l'organisation > Connecteurs et connectés avec des identifiants administrateur. Consultez également votre politique d'outils à l'échelle de l'organisation, car les octrois de rôles se réduisent dans celle-ci et ne peuvent pas la dépasser. Consultez Utiliser les connecteurs pour étendre les capacités de Claude.


Planifier votre structure de rôles

Avant de créer quoi que ce soit, décidez quelles fonctionnalités chaque équipe ou groupe de membres devrait avoir accès. Voici quatre modèles courants :

Rôles de base plus additifs

C'est l'approche recommandée pour la plupart des organisations. Créez un rôle « Accès standard » pour tous avec des fonctionnalités courantes comme la recherche Web, la mémoire et les projets. Ensuite, créez des rôles additifs qui accordent des capacités spécifiques — par exemple, un rôle « Cowork activé » qui ajoute uniquement Cowork. Assignez tous les membres au rôle de base via un groupe « Tous les utilisateurs », et ajoutez des membres spécifiques à des groupes supplémentaires qui superposent des fonctionnalités supplémentaires.

Ce modèle est flexible car les autorisations sont additives — la combinaison d'un rôle de base avec des rôles additifs se compose proprement sans conflits.

Rôles basés sur les niveaux

Créez des niveaux distincts : « Accès complet » avec toutes les fonctionnalités, « Accès standard » avec la plupart des fonctionnalités, et « Accès restreint » avec des fonctionnalités minimales. Chaque membre va dans exactement un groupe assigné à un niveau.

Rôles basés sur les départements

Créez des rôles qui correspondent aux départements : « Ingénierie » avec chat, Cowork, Claude Code et exécution de code ; « Recherche » avec chat, recherche Web, mémoire et projets ; « Affaires » avec chat, recherche Web et projets uniquement. Assignez chaque groupe de département à son rôle correspondant.

Rôles de délégation administrative

Créez des rôles qui délèguent des parties de l'administration sans accorder le rôle Propriétaire. Un rôle personnalisé avec des autorisations administrateur n'a pas besoin d'avoir de capacités utilisateur, et vice versa. Vous pouvez créer un rôle « Finance » qui accorde l'accès à la Facturation mais aucune capacité de chat ou Claude Code, ou un rôle « Chef d'ingénierie » qui accorde l'accès à Claude Code plus l'accès à la vue Analytique. En savoir plus sur les autorisations administrateur pour les rôles personnalisés.


Étape 1 : Auditez vos paramètres actuels

  1. Vérifiez les fonctionnalités actuellement activées ou désactivées au niveau de l'organisation dans Paramètres de l'organisation > Capacités.

  2. Accédez aux Paramètres de l'organisation > Membres pour exporter ou consulter votre liste de membres.

  3. Notez le rôle intégré actuel de chaque membre (Utilisateur, Administrateur ou Propriétaire).

  4. Pour chaque équipe ou département, décidez des fonctionnalités auxquelles ils ont besoin d'accéder.

Image de la page Paramètres de l'organisation dans Claude, avec une boîte autour de la section Personnes qui contient trois options : Membres, Groupes et Rôles.

Rappelez-vous : toute fonctionnalité que vous souhaitez contrôler par groupe doit être activée au niveau de l'organisation. Si une fonctionnalité est désactivée au niveau de l'organisation, aucun rôle personnalisé ne peut accorder l'accès à celle-ci.

Important : Contrairement aux membres ayant le rôle Utilisateur, les membres assignés à des rôles personnalisés n'héritent pas automatiquement des capacités activées par l'organisation. Chaque capacité dont un membre avec un rôle « Personnalisé » a besoin doit être explicitement accordée par un rôle personnalisé assigné à l'un de ses groupes.


Étape 2 : Créer des rôles personnalisés

Créez vos rôles personnalisés avant d'activer des fonctionnalités ou de migrer des membres. Cela garantit que vos rôles sont prêts à appliquer l'accès dès que les fonctionnalités s'activent.

  1. Cliquez sur « Ajouter un rôle ».

  2. Nommez le rôle et activez les capacités appropriées sur l'onglet Capacités.

  3. Sur l'onglet Autorisations, définissez les autorisations administrateur pour le rôle. Consultez l'Étape 3.

  4. Sur l'onglet Connecteurs, définissez les autorisations de connecteur pour le rôle. Consultez l'Étape 4.

  5. Sur l'onglet Modèles, définissez l'accès au modèle et un modèle par défaut pour le rôle. Consultez l'Étape 5.

  6. Cliquez sur « Enregistrer le rôle ».

  7. Répétez pour chaque rôle de votre plan.

Les modifications de rôle peuvent prendre jusqu'à 15 minutes pour prendre effet. Les membres peuvent avoir besoin d'actualiser leur navigateur pour voir l'accès mis à jour.

Consultez Gérer les rôles personnalisés pour les plans Enterprise pour plus de détails sur les capacités disponibles, les autorisations administrateur et les connecteurs.


Étape 3 : Configurer les autorisations administrateur (facultatif)

Définissez les autorisations administrateur sur chaque rôle pour déléguer l'accès aux paramètres administrateur, comme la facturation, la gestion des utilisateurs ou la confidentialité, sans accorder le rôle Propriétaire. Cette étape est facultative. Si vous ne la configurez pas, les rôles n'accordent aucun accès administrateur et l'administration reste avec les Propriétaires et Propriétaires principaux. Pour savoir ce que couvre chaque zone d'autorisation, consultez Gérer les rôles personnalisés pour les plans Enterprise.

Localisez l'onglet Autorisations

  1. Ouvrez un rôle existant ou cliquez sur « Ajouter un rôle » pour en créer un.

  2. Sélectionnez l'onglet Autorisations, entre Capacités et Connecteurs.

Définir les autorisations d'administrateur

L'onglet Autorisations répertorie chaque zone d'administration : Identité et accès, Facturation, Analyses, Confidentialité, Gestion des utilisateurs et Bibliothèques. Définissez chaque zone d'administration sur l'une des options suivantes :

  • Aucun accès : Le membre ne voit pas cette zone dans ses paramètres d'organisation.

  • Peut afficher : L'affichage accorde un accès en lecture seule. Le membre voit les mêmes pages et paramètres que quelqu'un qui peut gérer cette zone, mais chaque contrôle est désactivé ou affiché en lecture seule. Utilisez ce niveau d'autorisation pour les auditeurs de conformité, les auditeurs financiers, les équipes de sécurité ou toute personne qui doit voir la configuration sans la modifier.

  • Peut gérer : La gestion accorde un accès complet en lecture et écriture à la zone et inclut l'accès à l'affichage.

Dans une zone, vous accordez tous les droits d'affichage ou tous les droits de gestion. Vous ne pouvez pas accorder ou restreindre des pages ou des paramètres individuels.

Remarque : Un rôle avec Identité et accès défini sur Gérer peut créer et modifier des groupes et des rôles, y compris sa propre définition de rôle. Les membres ayant cette autorisation peuvent étendre leur propre accès, réservez-la donc aux administrateurs de sécurité et informatiques de confiance.

Vérifier l'application

Vérifiez les autorisations d'administrateur après avoir migré les membres vers les rôles « Personnalisé » (Étape 7). Voir Étape 11 : Vérifier et surveiller.


Étape 4 : Configurer les autorisations des connecteurs (facultatif)

Définissez les autorisations des connecteurs sur chaque rôle pour contrôler quels connecteurs et quels outils sur ces connecteurs le rôle peut utiliser. Cette étape est facultative. Si vous ne la configurez pas, vos rôles reviennent au comportement par défaut décrit ci-dessous. Pour savoir comment le modèle d'autorisation fonctionne de bout en bout, consultez Gérer les rôles personnalisés sur les plans Entreprise.

Important : Lorsqu'Anthropic active les autorisations des connecteurs pour votre organisation, chaque rôle personnalisé existant est initialisé avec l'autorisation « Tous les connecteurs » définie sur « Toujours autoriser ». Comme « Toujours autoriser » est l'autorisation la plus permissive, votre politique d'outils à l'échelle de l'organisation détermine seule le plafond effectif de chaque membre à l'activation. Les membres ne gagnent ni ne perdent d'accès à l'activation. Votre première passe de configuration se rétrécit à partir de cette ligne de base.

Remarque : Un rôle nouvellement créé est défini par défaut sur « Nécessite une approbation » sur chaque connecteur. Le flux de création de rôle parcourt l'onglet Connecteurs pour que vous voyiez cette valeur par défaut avant d'enregistrer. Augmentez un connecteur à « Toujours autoriser » ou réduisez-le à « Bloqué » selon les besoins.

Localiser l'onglet Connecteurs

  1. Ouvrez un rôle existant ou cliquez sur « Ajouter un rôle » pour en créer un.

  2. Sélectionnez l'onglet Connecteurs, à côté de Autorisations.

Les paramètres par défaut pour les nouveaux rôles sont permissifs. Lors de la création ou de la modification d'un rôle, confirmez les paramètres de chaque onglet pour éviter d'accorder des autorisations involontaires.

Définir les autorisations au niveau du connecteur

L'onglet Connecteurs répertorie une ligne Tous les connecteurs en haut, suivie de chaque connecteur que votre organisation a ajouté. Chaque ligne a une liste déroulante avec quatre options :

  • Toujours autoriser : Chaque outil du connecteur est disponible et les membres peuvent définir leur propre approbation sur « Toujours autoriser ».

  • Nécessite une approbation : Chaque outil est disponible, mais les membres confirment chaque appel.

  • Bloqué : Le connecteur est masqué aux membres ayant ce rôle.

  • Personnalisé : Définissez chaque outil du connecteur individuellement. Voir « Définir les autorisations par outil » ci-dessous.

Le choix de « Toujours autoriser », « Nécessite une approbation » ou « Bloqué » applique ce niveau à chaque outil du connecteur. La ligne Tous les connecteurs fonctionne de la même manière à un niveau supérieur : elle définit une ligne de base pour chaque connecteur à la fois, y compris tout connecteur que vous ajoutez ultérieurement. Utilisez-la pour définir la valeur par défaut d'un rôle, puis remplacez les connecteurs individuels.

Définir les autorisations par outil

Définissez un connecteur sur Personnalisé pour révéler ses outils sous forme de lignes individuelles. Chaque outil a sa propre liste déroulante : « Toujours autoriser », « Nécessite une approbation » ou « Bloqué ».

Les autorisations par outil permettent à un rôle d'accéder à une partie d'un connecteur. Par exemple, avec Jira défini sur Personnalisé, son outil search_issues défini sur « Nécessite une approbation » et tous les autres outils Jira définis sur « Bloqué », les membres ayant le rôle peuvent rechercher dans Jira mais rien d'autre. Claude ne voit que les outils que vous avez accordés, donc lui demander de créer un ticket retourne « Je n'ai pas d'outil pour cela » plutôt qu'une erreur.

Examiner les conflits entre rôles

Comme les autorisations des connecteurs sont additives entre les rôles, bloquer un connecteur dans un rôle n'a aucun effet sur un membre qui détient également un autre rôle qui l'accorde. Chaque ligne de connecteur affiche un avertissement lorsque d'autres rôles accordent le même connecteur à un niveau différent. L'avertissement nomme ces rôles et les relie, et l'autorisation la plus permissive est celle qui s'applique.

Si vous avez des modifications non enregistrées lorsque vous ouvrez un rôle lié, vous êtes invité à les abandonner d'abord.

Vérifier l'application

Vérifiez les autorisations des connecteurs après avoir migré les membres vers les rôles « Personnalisé » (Étape 7). Voir Étape 11 : Vérifier et surveiller.

Important : Si votre organisation utilise Claude Code, l'activation des autorisations des connecteurs applique également votre politique d'outils à l'échelle de l'organisation à Claude Code. Cela ne peut que réduire l'accès aux outils, jamais l'élargir, et cela affecte tous les membres. Examinez votre politique d'outils à l'échelle de l'organisation avant l'activation si Claude Code est largement déployé. Les autorisations des connecteurs et les paramètres gérés de Claude Code se composent par le plus restrictif. Voir Paramètres de Claude Code.


Étape 5 : Configurer l'accès au modèle (facultatif)

Définissez l'accès au modèle sur chaque rôle pour contrôler quels modèles Claude le rôle peut utiliser, limiter le niveau d'effort maximal par modèle et choisir le modèle sur lequel les nouvelles conversations commencent. Cette étape est facultative ; si vous ne la configurez pas, les nouveaux rôles peuvent utiliser chaque modèle activé au niveau de l'organisation, à n'importe quel niveau d'effort, et commencer sur le modèle par défaut de l'organisation.

Pour savoir comment les paramètres d'accès au modèle et de modèle par défaut fonctionnent de bout en bout, consultez Gérer l'accès au modèle pour votre organisation et Définir un modèle par défaut pour votre organisation.

Localiser l'onglet Modèles

  1. Ouvrez un rôle existant ou cliquez sur « Ajouter un rôle » pour en créer un.

  2. Sélectionnez l'onglet Modèles, à côté de Connecteurs.

Définir l'accès au modèle

Sous Accès au modèle, activez ou désactivez chaque modèle pour ce rôle. Les modèles désactivés au niveau de l'organisation apparaissent mais ne peuvent pas être activés ici jusqu'à ce que vous les activiez pour l'organisation dans Paramètres de l'organisation > Modèles. Les modèles Haiku sont toujours activés et ne peuvent pas être désactivés.

Pour limiter le niveau d'effort qu'un rôle peut sélectionner sur un modèle, cliquez sur l'icône d'engrenage à côté du modèle et choisissez un niveau.

Sous Modèle par défaut, sélectionnez éventuellement le modèle sur lequel les nouvelles conversations commencent pour ce rôle. Seuls les modèles auxquels le rôle a accès peuvent être sélectionnés.

Vérifier l'application

Vérifiez l'accès au modèle après avoir migré les membres vers les rôles « Personnalisé ». Voir Étape 11 : Vérifier et surveiller.


Étape 6 : Créer des groupes et attribuer des rôles

  1. Cliquez sur « Ajouter un groupe » pour créer un groupe pour chaque équipe ou niveau de votre plan.

  2. Ajoutez des membres aux groupes appropriés.

  3. Attribuez chaque groupe aux rôles personnalisés que vous avez créés à l'étape 2.

Si vous utilisez la synchronisation d'annuaire SCIM, vous pouvez synchroniser les groupes de votre fournisseur d'identité au lieu de les créer manuellement. Pour plus de détails sur la synchronisation des groupes SCIM, consultez Gérer les groupes et les limites de dépenses des groupes sur les plans Entreprise.

Plusieurs organisations sous la même organisation parent : Les groupes sont gérés au niveau de l'organisation parent et se propagent à toutes les organisations enfants. Vous pouvez voir des membres d'autres organisations répertoriés dans un groupe, ce qui ne signifie pas qu'ils ont accès à votre organisation. Les rôles personnalisés attribués à un groupe accordent uniquement des capacités aux membres qui font partie de votre organisation spécifique.

Si vous demandez de déplacer une organisation d'un parent à un autre (ce qui est rare en pratique), les groupes et les rôles deviendront indéfinis et vous devrez les recréer.

Important : Si votre organisation utilise l'invitation uniquement ou l'approvisionnement JIT, vous ne pouvez utiliser que des groupes créés manuellement pour RBAC. Les groupes synchronisés par SCIM ne sont pas pris en charge dans ces modes.


Étape 7 : Vérifier les attributions de groupes et de rôles

Avant de migrer les membres vers des rôles personnalisés, confirmez que chaque membre que vous prévoyez de migrer se trouve dans au moins un groupe attribué à un rôle personnalisé. Les membres migrés sans couverture de groupe ou de rôle perdront l'accès à toutes les fonctionnalités gouvernées.

  1. Utilisez les filtres Rôle et Groupe pour identifier les membres qui ne sont assignés à aucun groupe.

  2. Vous pouvez également cliquer sur « Exporter CSV » pour télécharger la liste complète des membres avec les colonnes de rôle et de groupe à examiner.

  3. Ajoutez tous les membres non assignés aux groupes appropriés avant de continuer.


Étape 8 : Migrer les membres vers des rôles personnalisés

Pour que les capacités des rôles personnalisés prennent effet, les membres doivent avoir leur rôle défini sur « Personnalisé ». Les membres ayant les rôles Utilisateur, Administrateur ou Propriétaire obtiennent leurs autorisations directement de ces rôles, et non des rôles personnalisés.

Important : Complétez cette étape uniquement après avoir créé vos rôles personnalisés, configuré les autorisations d'administrateur et de connecteur si vous les utilisez, créé vos groupes et vérifié que tous les membres sont assignés à des groupes. Les membres déplacés vers des rôles personnalisés avant la fin de la configuration perdront immédiatement l'accès à toutes les fonctionnalités gouvernées et à leur rôle précédent. Le passage d'un Propriétaire ou d'un Administrateur à des rôles personnalisés supprime leur accès Propriétaire ou Administrateur, donc ne migrez pas les Propriétaires ou les Administrateurs à moins que vous n'ayez l'intention de remplacer cet accès par des autorisations de rôle personnalisé.

Choisissez le chemin de migration en fonction de si votre organisation a déjà activé les mappages de groupes :

Chemin A : Activer les mappages de groupes (uniquement s'ils sont déjà utilisés)

Utilisez ce chemin uniquement si votre organisation a déjà activé les mappages de groupes pour l'attribution de rôles. Si vous n'utilisez pas déjà ce paramètre, passez au Chemin B.

  1. Dans la section des mappages de rôles, attribuez les groupes IdP que vous souhaitez gouverner par des rôles personnalisés au rôle « Personnalisé ».

  2. Enregistrez vos modifications. Les membres de ces groupes IdP sont migrés vers des rôles « Personnalisé » lors de la prochaine synchronisation.

Les membres des groupes IdP mappés aux rôles « Personnalisé » suivent les autorisations des rôles personnalisés attribués à leurs groupes dans Claude. Les membres des groupes IdP mappés à Utilisateur suivent les paramètres de capacité au niveau de l'organisation. Si un membre se trouve dans des groupes avec les deux mappages, les rôles « Personnalisé » ont la priorité.

Chemin B : Outil d'attribution en masse

Utilisez ce chemin si votre organisation n'a pas activé les mappages de groupes.

Avertissement : Si vous n'avez pas déjà activé les mappages de groupes, ne l'activez pas pendant la configuration RBAC. L'activer sans d'abord assigner tous les membres à des groupes mappés peut entraîner la perte d'accès à votre organisation par les membres.

  1. Utilisez les filtres Rôle et Groupe pour sélectionner les membres que vous souhaitez migrer.

  2. Utilisez l'outil d'attribution en masse dans le tableau Membres pour modifier le rôle des membres sélectionnés en « Personnalisé ».

Nous recommandons de migrer d'abord un groupe pilote (une équipe ou un département) et de vérifier que son accès est correct avant de l'étendre au reste de l'organisation.

Déploiement progressif

Quel que soit le chemin que vous utilisez, nous recommandons de migrer par étapes :

  1. Commencez par un groupe pilote d'une équipe ou d'un département.

  2. Après la migration, vérifiez que le groupe pilote a le bon accès aux fonctionnalités en fonction de ses attributions de groupe et de rôle.

  3. Si quelque chose ne va pas, repassez les membres affectés à leur rôle précédent pendant que vous ajustez.

  4. Étendez à plus de membres une fois que vous avez confirmé que la configuration fonctionne.


Étape 9 : Activer les fonctionnalités au niveau de l'organisation

Activez uniquement les fonctionnalités au niveau de l'organisation après que les rôles, les groupes et la migration des membres soient terminés. Cela garantit que les capacités des rôles personnalisés sont déjà en place, sans fenêtre où les membres non autorisés pourraient accéder à une fonctionnalité.

Pour toute fonctionnalité que vous souhaitez contrôler par groupe :

  1. Accédez à la page des paramètres de la fonctionnalité dans Paramètres de l'organisation (par exemple, Paramètres de l'organisation > Cowork).

  2. Activez la fonctionnalité au niveau de l'organisation.

Activer une fonctionnalité au niveau de l'organisation ne signifie pas que tout le monde l'obtient. Les autorisations des rôles personnalisés sont déjà en place pour contrôler qui peut l'utiliser. Pensez au bouton bascule au niveau de l'organisation comme rendant la fonctionnalité « disponible pour l'attribution basée sur les rôles » plutôt que « activée pour tout le monde ».


Étape 10 : Appliquer une limite de dépenses de groupe (organisations basées sur l'utilisation uniquement)

Accédez à la page « Utilisation » pour attribuer une limite de dépenses mensuelle par utilisateur à n'importe quel groupe.

Notez les règles de priorité suivantes :

  • Les limites individuelles remplacent toujours les limites de groupe, indépendamment de laquelle est plus élevée.

  • Si un utilisateur appartient à plusieurs groupes avec des limites différentes, le paramètre Limite de dépenses multi-groupes sous Paramètres par défaut des dépenses contrôle si la limite supérieure ou inférieure s'applique.

  • Les limites à l'échelle de l'organisation restent le plafond absolu.

Les modifications d'adhésion prennent effet automatiquement : les utilisateurs héritent ou perdent les limites dès que leur adhésion au groupe change. Pertinent uniquement pour les organisations avec facturation basée sur l'utilisation.


Étape 11 : Vérifier et surveiller

  1. Vérification ponctuelle de l'accès : Ouvrez le menu « ⋮ » sur le côté droit de la ligne d'un membre dans Paramètres de l'organisation > Membres et sélectionnez « Afficher le rôle effectif ». La fenêtre modale affiche chaque capacité, permission d'administrateur et connecteur que le membre possède dans tous ses rôles, avec une étiquette « Accordé par » indiquant quel rôle fournit chacun. Vous pouvez faire la même chose pour un groupe à partir de Paramètres de l'organisation > Groupes. Pour plus de détails, consultez Gérer les rôles personnalisés sur les plans Entreprise.

  2. Testez l'état restreint : Connectez-vous en tant que (ou demandez à) un membre qui ne devrait pas avoir une fonctionnalité comme Cowork. Il devrait la voir grisée avec le message « Contactez votre administrateur pour demander l'accès à cette fonctionnalité. »

  3. Testez l'état accordé : Confirmez qu'un membre qui devrait avoir la fonctionnalité la voit fonctionner normalement.

  4. Vérifiez les cas limites : Testez les membres dans plusieurs groupes, les membres sans groupe et les nouveaux membres rejoignant via SSO.

Si vous avez configuré les permissions d'administrateur, vérifiez également :

  • Affectations de groupes et de rôles : Les propriétaires peuvent vérifier l'accès d'un membre en vérifiant ses affectations de groupe sur la page Membres et les rôles auxquels ces groupes sont affectés sur la page Rôles.

  • Paramètres de l'organisation : Dans les paramètres de l'organisation, le membre ne voit que les sections couvertes par ses permissions d'administrateur. Tout le reste est masqué de ses paramètres. Les membres ayant un accès en lecture voient les pages en lecture seule, avec les contrôles désactivés.

  • Accès aux analyses : Les membres ayant accès aux analyses verront les analyses dans Paramètres > Analyses, et non dans les paramètres de l'organisation.

Si vous avez configuré les permissions de connecteur, vérifiez également :

  • Menu Connecteur : les connecteurs bloqués n'apparaissent pas, et les connecteurs ayant au moins un outil accordé apparaissent.

  • Paramètres du connecteur : les outils bloqués sont grisés avec « Cet outil n'est pas activé pour votre rôle. Contactez votre administrateur. » Les outils limités à « Nécessite une approbation » affichent un menu d'approbation personnel limité à « Demander » et « Jamais ».

  • Dans une conversation : demandez à Claude d'utiliser un outil bloqué, et il signale qu'il n'a pas d'outil pour la tâche. Demandez-lui d'utiliser un outil « Nécessite une approbation », et l'invite d'approbation apparaît sans option « Toujours autoriser ».

Si vous avez configuré l'accès au modèle, vérifiez également :

  • Sélecteur de modèle : les modèles désactivés n'apparaissent pas, et le menu d'effort s'arrête au plafond du rôle.

  • Dans une conversation : demandez au membre de basculer vers un modèle désactivé. Il ne devrait pas être listé, et dans Claude Code CLI, /model <disabled-model> retourne une erreur.

Les modifications de rôle peuvent prendre jusqu'à 15 minutes pour prendre effet sur la plateforme. Les membres peuvent avoir besoin d'actualiser leur navigateur pour voir l'accès mis à jour.


Utilisation de SCIM avec des capacités basées sur les rôles

SCIM se connecte à vos capacités basées sur les rôles par deux mécanismes qui fonctionnent ensemble.

Mappage de groupe IdP à rôle

Cela contrôle quel rôle intégré un membre obtient lorsqu'il est provisionné. Mappez vos groupes IdP à des rôles « Personnalisés » afin que l'accès des nouveaux membres soit automatiquement régi par les capacités des rôles personnalisés.

  1. Dans le tableau des mappages de rôles, mappez vos groupes IdP à des rôles « Personnalisés ».

Synchronisation de groupe

Cela extrait vos groupes IdP dans Claude afin qu'ils puissent être affectés à des rôles personnalisés.

  1. Cliquez sur « Vérifier les mises à jour » dans la section Synchronisation SCIM.

  2. Lorsque vous êtes invité à synchroniser les groupes, les membres ou les deux, sélectionnez Groupes uniquement. La synchronisation des membres peut affecter la provisioning et l'accès des membres.

  3. Vos groupes IdP apparaissent comme des groupes sourced par SCIM dans la liste.

  4. Affectez les groupes SCIM aux rôles personnalisés tout comme les groupes créés manuellement.

  5. Dans votre IdP, ne poussez que les groupes que vous avez réellement l'intention d'utiliser pour RBAC ou les limites de dépenses. La synchronisation de tous les groupes IdP peut ralentir les chargements de pages dans la section Groupes.

Remarque : Les permissions de rôle personnalisé s'appliquent uniquement aux membres ayant des rôles « Personnalisés » sélectionnés dans Paramètres de l'organisation > Membres. Si vous mappez un groupe IdP à un rôle différent (comme Utilisateur) via le mappage groupe-à-rôle mais affectez ce même groupe SCIM à un rôle personnalisé, les permissions du rôle personnalisé n'ont aucun effet : le membre obtient ses permissions de son rôle affecté à la place. Pour utiliser les rôles personnalisés, assurez-vous que le groupe IdP est mappé à « Personnalisé ».

Gestion continue avec SCIM

  • Pour accorder à un membre l'accès à une fonctionnalité, ajoutez-le au groupe IdP approprié. Lors de la prochaine synchronisation, il récupère le rôle personnalisé affecté à ce groupe.

  • Pour révoquer l'accès, supprimez-le du groupe IdP. Lors de la prochaine synchronisation, la permission est supprimée.

  • Cliquez sur « Synchronisation SCIM » dans la section Groupes pour forcer une synchronisation immédiate plutôt que d'attendre la prochaine synchronisation programmée.


Plan de restauration

Si vous remarquez que votre structure de rôles est mal configurée après la migration :

  1. Désactivez toutes les fonctionnalités au niveau de l'organisation qui ont été activées dans le cadre de la migration.

  2. Changez les membres affectés en revenant à leur rôle intégré précédent (par exemple, Utilisateur).

  3. Ils récupèrent immédiatement les permissions statiques de ce rôle, et les permissions de rôle personnalisé cessent de s'appliquer.

  4. Ajustez les rôles et les groupes selon les besoins, puis remigrez.

Si vous avez activé les mappages de groupe lors de la configuration et avez perdu l'accès administrateur, suivez les étapes de récupération dans Configurer la provisioning JIT ou SCIM sous « J'ai perdu l'accès Admin/Propriétaire après l'activation des mappages de groupe. »


Questions fréquemment posées

Dois-je activer une fonctionnalité au niveau de l'organisation si je veux que seuls certains membres l'aient ?

Oui. Le bouton au niveau de l'organisation doit être activé pour que les rôles personnalisés contrôlent l'accès par membre. Si une fonctionnalité est désactivée au niveau de l'organisation, personne ne peut y accéder quel que soit son rôle. Pensez-y comme un interrupteur principal : les rôles personnalisés contrôlent qui obtient l'accès en dessous.

Que se passe-t-il si un membre dont le rôle est défini sur « Personnalisé » n'est dans aucun groupe ?

Il n'a aucune permission de rôle personnalisé, donc toutes les fonctionnalités qui nécessitent des permissions sont grisées ou masquées. Assurez-vous que chaque membre dont le rôle est défini sur « Personnalisé » est dans au moins un groupe affecté à un rôle personnalisé.

Un modèle manque du sélecteur de modèle d'un membre.

Soit le modèle est désactivé au niveau de l'organisation (Paramètres de l'organisation > Modèles), soit aucun des rôles personnalisés des membres ne l'autorise. Les désactivations au niveau de l'organisation affectent tout le monde, y compris les propriétaires et les administrateurs.

Que se passe-t-il si un rôle personnalisé n'accorde pas l'accès au chat ?

Les membres ayant ce rôle ne verront pas l'interface de chat de Claude. Ils accèderont à leur page de paramètres lors de la connexion. Si leur rôle accorde d'autres produits comme Cowork ou Claude Code, ceux-ci restent accessibles depuis leur page de paramètres et depuis les applications pertinentes.

Le chat est activé par défaut dans tous les rôles personnalisés, vous n'avez donc besoin de vous en préoccuper que si vous avez intentionnellement désactivé le chat pour un rôle.

Puis-je utiliser à la fois les rôles intégrés et les rôles personnalisés ?

Oui. Les membres ayant les rôles Utilisateur, Administrateur ou Propriétaire ne sont pas affectés par les autorisations des rôles personnalisés car ils obtiennent leurs autorisations directement de ces rôles. Seuls les membres ayant un rôle défini sur « Personnalisé » sont contrôlés par le système de groupes et de rôles. Cela permet une migration progressive.

Que se passe-t-il si un membre appartient à deux groupes avec des rôles différents ?

Les autorisations sont cumulatives. Si l'un des rôles dans la chaîne d'un membre accorde une fonctionnalité, il l'a. Vous ne pouvez pas utiliser un rôle pour supprimer une autorisation accordée par un autre rôle.

Puis-je utiliser les groupes SCIM et les groupes manuels ensemble ?

Oui. Les deux types peuvent être assignés à des rôles personnalisés. La différence est que l'appartenance au groupe SCIM est gérée dans votre fournisseur d'identité, tandis que l'appartenance au groupe manuel est gérée dans les paramètres de l'organisation Claude.

Les propriétaires et propriétaires principaux sont-ils affectés par les autorisations des rôles personnalisés ?

Non. Les propriétaires et propriétaires principaux ont toujours un accès complet à toutes les fonctionnalités.

Comment cela fonctionne-t-il entre les organisations parent et enfant ?

Les groupes et la synchronisation SCIM sont gérés au niveau de l'organisation parent et partagés entre toutes les organisations enfants. Les attributions de rôles et de limites de dépenses sont configurées indépendamment dans chaque organisation enfant : les modifications dans une organisation enfant n'affectent pas les autres. Les modifications d'appartenance aux groupes et les resynchronisations SCIM se propagent dans toutes les organisations enfants sous le même parent.

Que se passe-t-il avec mes rôles personnalisés existants lorsque les autorisations de connecteur sont activées ?

Chaque rôle existant est initialisé avec l'octroi « Tous les connecteurs » défini sur « Toujours autoriser », de sorte que l'accès des membres ne change pas lors de l'activation. Vous restreignez l'accès à partir de là.

Quelle est l'autorisation de connecteur par défaut sur un nouveau rôle ?

« Approbation requise » sur chaque connecteur. Le flux de création de rôle parcourt l'onglet Connecteurs pour que vous le voyiez avant d'enregistrer.

Que se passe-t-il lorsque j'ajoute un nouveau connecteur après que mes rôles existent ?

Un rôle dont la ligne « Tous les connecteurs » est définie sur « Toujours autoriser », « Approbation requise » ou « Bloqué » couvre automatiquement le nouveau connecteur à ce niveau. Un rôle dont la ligne « Tous les connecteurs » est définie sur « Personnalisé » traite le nouveau connecteur comme « Bloqué » jusqu'à ce que vous le définissiez.

J'ai bloqué un connecteur dans un rôle, mais un membre ayant ce rôle peut toujours l'utiliser. Pourquoi ?

Vérifiez si le membre détient un autre rôle qui l'autorise, car l'octroi le plus permissif gagne entre les rôles. L'avertissement de conflit sur la ligne du connecteur énumère ces rôles. Confirmez également que le rôle du membre est défini sur « Personnalisé ».

Ma politique d'outils au niveau de l'organisation bloque déjà un outil. Dois-je le bloquer dans chaque rôle ?

Non. La politique au niveau de l'organisation est le plafond. Un outil bloqué là est bloqué pour tout le monde, indépendamment des octrois de rôles.

Un rôle peut-il accorder un outil que la politique au niveau de l'organisation définit sur « Approbation requise » ?

Le rôle peut l'accorder, mais le paramètre le plus strict gagne, de sorte que les membres le voient limité à « Approbation requise ». Pour permettre aux membres de définir « Toujours autoriser », augmentez d'abord la politique au niveau de l'organisation à « Toujours autoriser ».

Puis-je accorder un outil sur un connecteur sans accorder le connecteur entier ?

Oui. Définissez le connecteur sur « Personnalisé », définissez l'outil sur « Toujours autoriser » ou « Approbation requise », et laissez le reste « Bloqué ».

Les autorisations de connecteur s'appliquent-elles aux outils intégrés comme la recherche Web ou l'exécution de code ?

Non. Les fonctionnalités intégrées sont régies par l'onglet Capacités. L'onglet Connecteurs régit les connecteurs que votre organisation a ajoutés.

À quelle vitesse les modifications des autorisations de connecteur prennent-elles effet ?

Les modifications de rôles peuvent prendre jusqu'à 15 minutes pour prendre effet. Les membres peuvent avoir besoin d'actualiser leur navigateur.

Quelqu'un ayant un rôle personnalisé avec des autorisations peut-il se donner plus d'accès ?

Uniquement si son rôle inclut Identité et accès défini sur Gérer, ce qui couvre l'édition des rôles et des groupes. Réservez cette autorisation aux administrateurs de sécurité et informatiques de confiance, car elle peut être utilisée pour modifier les définitions de rôles, y compris les leurs.

Puis-je donner des autorisations d'administrateur à un membre sur le rôle Utilisateur, Administrateur, Propriétaire ou Propriétaire principal ?

Non. Les autorisations d'administrateur s'appliquent uniquement aux membres ayant un rôle personnalisé. Les membres ayant un rôle intégré conservent l'accès que ce rôle accorde. Pour donner à quelqu'un des autorisations d'administrateur spécifiques, changez le membre en rôle personnalisé et ajoutez-le à un groupe assigné à un rôle avec les autorisations dont il a besoin. Gardez à l'esprit que cela supprime son accès au rôle intégré précédent.

Que voit quelqu'un quand il n'a pas les autorisations pour un certain paramètre ?

Les paramètres de l'organisation affichent uniquement les sections que ses autorisations couvrent. Les sections auxquelles il n'a pas accès sont entièrement masquées de ses paramètres de l'organisation.

Comment puis-je auditer qui a accès administrateur ?

Paramètres de l'organisation > Rôles affiche les autorisations d'administrateur que chaque rôle personnalisé accorde, et Paramètres de l'organisation > Groupes affiche les groupes assignés à chaque rôle et qui en fait partie. Pour vérifier un membre spécifique, recherchez ses groupes sur Paramètres de l'organisation > Membres, puis les rôles auxquels ces groupes sont assignés.

Que se passe-t-il si quelqu'un a besoin d'autorisations dans plusieurs domaines ?

Créez un rôle qui accorde l'accès à plusieurs domaines, ou ajoutez le membre à plusieurs groupes dont les rôles couvrent les domaines dont il a besoin. Les autorisations se combinent de manière additive.

Avez-vous trouvé la réponse à votre question ?