System for Cross-domain Identity Management (SCIM) permet à votre fournisseur d'identité de gérer automatiquement les comptes utilisateur dans Claude for Government. Avec SCIM, votre IdP contrôle qui a accès, quel rôle il occupe et quel niveau de siège lui est attribué, sans intervention manuelle dans la console d'administration Claude.
Pour la configuration de SCIM sur Claude Enterprise, consultez Configurer l'approvisionnement JIT ou SCIM.
Différences de SCIM pour Claude for Government
Claude for Government utilise une implémentation SCIM propriétaire hébergée dans l'environnement autorisé par FedRAMP. Le plan commercial Claude Enterprise utilise un backend SCIM différent.
Fonctionnalité | Claude for Government | Claude Enterprise |
Point de terminaison SCIM | claude.fedstart.com/v1/scim/v2 | Configuré via claude.ai |
Implémentation SCIM | Propriétaire Anthropic (autorisée par FedRAMP) | Intégration tierce |
Gestion des clés API | Libre-service via la page des paramètres d'identité | Libre-service via les paramètres d'administration |
Support de l'organisation parent | Oui — pour la gestion d'identité multi-organisations | Non applicable |
Conditions préalables
Avant de configurer SCIM, vous devez compléter :
Configuration SSO — Complétez les étapes décrites dans le guide de configuration SSO.
Vérification du domaine — Votre domaine de connexion doit être vérifié (ceci est complété lors de la configuration SSO).
Accès administrateur IdP — Permission de configurer une intégration SCIM dans votre fournisseur d'identité.
Fonctionnement de l'approvisionnement avec et sans SCIM
Sans SCIM, Claude for Government utilise l'approvisionnement juste-à-temps (JIT) : tout utilisateur qui s'authentifie via SSO se voit automatiquement attribuer un siège, tant que des licences sont disponibles. Vous contrôlez qui peut s'authentifier en gérant l'adhésion à l'application SAML dans votre IdP.
Avec SCIM, la connexion et l'approvisionnement sont séparés. Votre IdP indique à Anthropic qui devrait avoir accès et à quel rôle/niveau. SSO est utilisé uniquement pour l'authentification. Cela vous donne un contrôle granulaire sur les rôles, les niveaux de siège et le départ des utilisateurs.
Étape 1 : Générer une clé API SCIM
Accédez à claude.fedstart.com/admin-settings/identity.
Dans la section SCIM, générez une nouvelle clé API.
Copiez la clé — vous en aurez besoin lors de la configuration de votre IdP.
Important : Stockez cette clé de manière sécurisée. Elle ne peut pas être récupérée après avoir quitté la page.
Étape 2 : Configurer SCIM dans votre fournisseur d'identité
Dans votre IdP (par exemple, Entra ID, Okta), créez ou ouvrez une intégration d'approvisionnement SCIM.
Entrez les valeurs suivantes :
URL du point de terminaison SCIM : https://claude.fedstart.com/v1/scim/v2
Clé API / Jeton Bearer : La clé générée à l'étape 1
Configurez les attributs utilisateur que votre IdP synchronisera (généralement le nom et l'e-mail).
Attribuez des utilisateurs et des groupes à l'intégration SCIM dans votre IdP.
Étape 3 : Vérifier l'état de la synchronisation
Après activation de l'intégration dans votre IdP :
Retournez à la page des paramètres d'identité à claude.fedstart.com/admin-settings/identity.
Vérifiez l'indicateur d'état de synchronisation SCIM pour confirmer que les utilisateurs se synchronisent.
Avertissement : Lorsque vous activez complètement l'approvisionnement SCIM, tous les utilisateurs qui n'ont pas été synchronisés via SCIM seront supprimés de l'organisation. Confirmez que tous les utilisateurs attendus apparaissent dans la synchronisation avant de continuer.
Étape 4 : Mapper les groupes aux rôles et niveaux de siège
L'approvisionnement SCIM utilise les groupes IdP pour attribuer des rôles et des niveaux de siège dans Claude for Government.
Sur la page des paramètres d'identité, ouvrez le tableau des mappages de rôles.
Pour chaque groupe IdP, attribuez :
Rôle — Le rôle de l'utilisateur au sein de l'organisation (par exemple, Membre, Propriétaire).
Niveau de siège — Le niveau de licence, si votre organisation a acheté plusieurs niveaux.
Enregistrez vos mappages.
Si vous gérez plusieurs organisations sous un seul parent (voir ci-dessous), chaque organisation maintient ses propres mappages de rôles et de niveaux de siège. Basculez entre les organisations à l'aide du sélecteur d'organisation dans le coin inférieur gauche de la page.
Organisations parent (configurations multi-organisations)
Chaque organisation Claude for Government appartient à une organisation parent. Pour la plupart des clients, cela est transparent — un parent est créé automatiquement lors de l'approvisionnement et contient une seule organisation enfant.
Les organisations parent deviennent pertinentes lorsque plusieurs organisations partagent un domaine de connexion. Les scénarios courants incluent :
Bureaux régionaux qui achètent Claude for Government indépendamment mais partagent un domaine de messagerie.
Sous-départements au sein d'une agence qui nécessitent une séparation des données (par exemple, empêcher le partage entre organisations de chats ou de projets).
Dans une configuration multi-organisations :
Les paramètres d'identité (configuration IdP et SCIM) sont gérés au niveau de l'organisation parent.
Les mappages de rôles et de niveaux de siège sont configurés par organisation enfant, permettant à différents groupes de mapper à différentes organisations.
Tout Propriétaire ou Propriétaire principal dans une organisation enfant peut gérer les paramètres IdP. Limitez ces rôles au personnel informatique centralisé.
Remarque : Le support Anthropic travaillera avec vous lors de l'approvisionnement pour configurer les relations d'organisation parent/enfant. Contactez votre représentant de compte ou le support Anthropic si vous avez besoin de configurer une structure multi-organisations.