Lewati ke konten utama

Terapkan kontrol akses tingkat jaringan dengan Pembatasan Penyewa

Pembatasan Penyewa tersedia untuk anggota paket Enterprise dan organisasi Console.

Pembatasan Penyewa memungkinkan administrator IT pada paket Enterprise untuk menerapkan kontrol akses tingkat jaringan untuk Claude. Fitur ini memastikan bahwa pengguna di jaringan perusahaan hanya dapat mengakses akun organisasi yang disetujui, mencegah penggunaan akun pribadi yang tidak sah.

Cara kerjanya

Saat diaktifkan, proxy jaringan Anda menyuntikkan header HTTP ke dalam permintaan ke Claude. Anthropic memvalidasi header ini dan memblokir akses dari organisasi apa pun yang tidak ada dalam daftar yang diizinkan.

Metode autentikasi yang didukung:

  • Akses web (claude.ai)

  • Akses Desktop / Aplikasi

  • Autentikasi kunci API

  • Autentikasi token OAuth

Format header

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • Daftar UUID organisasi yang dipisahkan koma

  • Tidak ada spasi antar nilai

Contoh:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Pisahkan daftar yang diizinkan besar di beberapa header

Jika daftar yang diizinkan Anda terlalu panjang untuk satu baris header di platform proxy Anda, pisahkan di beberapa header kelanjutan bernomor. Tambahkan ;n=K ke header dasar untuk mendeklarasikan jumlah total baris header, kemudian tambahkan UUID yang tersisa di header anthropic-allowed-org-ids1 hingga anthropic-allowed-org-ids{K-1}.

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • Maksimal 10 baris header (K ≤ 10)

  • Maksimal 500 UUID organisasi total di semua baris

  • Proxy Anda harus mengirim setiap slot yang dideklarasikan. Jika Anda menetapkan ;n=3, ketiga header harus ada di permintaan.

  • Konfigurasikan proxy Anda untuk menimpa header ini di setiap permintaan daripada menambahkannya hanya jika tidak ada.


Langkah-langkah konfigurasi

1. Temukan UUID organisasi Anda

Anggota paket Enterprise dapat menemukan ini di dua tempat berbeda:

  1. Navigasikan ke Pengaturan > Akun dan temukan ID Organisasi.

  2. Navigasikan ke Pengaturan Organisasi > Organisasi dan gulir ke bawah ke bagian bawah halaman untuk menemukan ID Organisasi.

Anggota organisasi Console dapat menemukan ini di Pengaturan > Organisasi.

2. Konfigurasikan proxy jaringan Anda

Konfigurasikan proxy Anda untuk menyuntikkan header untuk lalu lintas Claude:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. Uji konfigurasi Anda

Dari jaringan terbatas, uji dengan kunci API organisasi Anda:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


Respons kesalahan

Akses diblokir

Ketika organisasi pengguna tidak ada dalam daftar yang diizinkan, mereka menerima kesalahan 403:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

Kesalahan konfigurasi header

Jika proxy Anda mengirim header secara tidak benar, permintaan gagal dengan status 400 dan salah satu pesan ini:

  • Header anthropic-allowed-org-ids ganda: Nama header muncul lebih dari sekali pada permintaan yang sama. Konfigurasikan proxy Anda untuk menimpa setiap header daripada menambahkan duplikat.

  • Header anthropic-allowed-org-ids yang salah format: Nilai ;n=K tidak valid, slot kelanjutan yang dideklarasikan hilang atau ekstra, atau total daftar yang diizinkan melebihi 500 UUID.

Platform proxy yang didukung

  • Zscaler ZIA (Kebijakan Cloud App Control)

  • Palo Alto Prisma Access (Manajemen Aplikasi SaaS)

  • Cato Networks (Kebijakan Pembatasan Penyewa)

  • Netskope (Aturan Penyisipan Header)

  • Proxy HTTPS generik dengan kemampuan penyisipan header

Kasus penggunaan

Skenario

Nilai Header

Organisasi Tunggal

<your-org-uuid>

Beberapa Organisasi (Mitra)

<org-uuid-1>,<org-uuid-2>

Manfaat keamanan

  • Pencegahan Kehilangan Data: Blokir penggunaan akun pribadi dari jaringan perusahaan.

  • Kepatuhan: Terapkan kebijakan residensi data dan akses.

  • Kontrol Shadow IT: Cegah penggunaan Claude yang tidak sah.

  • Jejak Audit: Visibilitas lengkap ke dalam upaya akses.

Kompatibilitas mundur

  • Tidak ada dampak pada jaringan tanpa pembatasan penyewa yang dikonfigurasi.

  • Autentikasi standar berlanjut untuk jaringan yang tidak dikelola.

  • Autentikasi kunci API yang ada tetap tidak berubah.

Apakah pertanyaan Anda terjawab?