Lewati ke konten utama

Ketidaksesuaian Email SSO/SCIM — Google Workspace

Ringkasan: Claude menggunakan email sebagai pengidentifikasi utama untuk mencocokkan login SSO dengan kursi yang sudah disediakan. Di Google Workspace, auto-provisioning SCIM dan SSO SAML dapat mengirimkan nilai email yang berbeda — terutama ketika pengguna memiliki alias email — menyebabkan ketidaksesuaian yang memblokir akses.

Gejala

Pengguna mungkin mengalami satu atau lebih hal berikut saat mencoba mengakses Claude for Enterprise melalui SSO:

  • "Pembuatan akun diblokir" — Pengguna berhasil autentikasi melalui SSO tetapi Claude tidak dapat menemukan akun yang sudah disediakan yang cocok. Jika organisasi Anda membatasi pembuatan organisasi (direkomendasikan), pengguna sepenuhnya diblokir dan tidak dapat melanjutkan.

  • Mendarat di akun pribadi gratis — Jika pembuatan organisasi tidak dibatasi, pengguna melewati organisasi enterprise sepenuhnya dan membuat atau mendarat di akun pribadi gratis alih-alih kursi enterprise mereka.

  • Ketidaksesuaian "Silakan konfirmasi email Anda" — Callback SSO menampilkan email yang berbeda dari yang dimasukkan pengguna saat login.

  • Kegagalan autentikasi Claude Code — CLI Claude Code menampilkan kesalahan ketidaksesuaian email selama alur autentikasi, mencegah pengguna terhubung ke organisasi enterprise.

Bagaimana ini terjadi

Akun pengguna Google Workspace memiliki email utama dan mungkin memiliki beberapa alias. Provisioning SCIM dan SSO SAML dikonfigurasi secara terpisah di konsol Admin Google dan dapat menarik dari bidang alamat yang berbeda:

Atribut Google

Nilai Tipikal

Biasanya Digunakan Oleh

primaryEmail

[email protected]

Direkomendasikan untuk SCIM dan SAML

Alias email

[email protected], [email protected]

Kadang-kadang dipetakan secara keliru di SCIM

Bidang skema kustom

Atribut kustom yang ditentukan per organisasi

Pemetaan atribut lanjutan

Email unit organisasi

Varian alamat yang berasal dari OU

Jarang, dalam struktur organisasi yang kompleks

Ketidaksesuaian paling umum: SCIM dikonfigurasi untuk mengirimkan alamat alias sementara SAML mengirimkan email utama (atau sebaliknya). Karena alias dan email utama adalah string yang berbeda, Claude tidak dapat mencocokkannya. Claude memerlukan kecocokan string yang tepat.

Kebingungan umum: Di Admin Google, pengaturan auto-provisioning SCIM dan pemetaan atribut SAML berada di tab terpisah dalam aplikasi yang sama. Admin terkadang memperbarui satu dan melewatkan yang lain. Verifikasi kedua lokasi.

Langkah diagnostik

Langkah 1 — Konfirmasi ketidaksesuaian

  1. Periksa email SCIM: Di konsol Admin Google, buka Aplikasi → Aplikasi web dan mobile → [Aplikasi Claude] → Auto-provisioning. Periksa atribut mana yang dipetakan ke bidang email yang dikirim ke Claude.

  2. Periksa email SAML: Di aplikasi yang sama, buka bagian pemetaan atribut SAML. Temukan atribut yang dipetakan ke email dan catat sumbernya.

  3. Periksa pengguna tertentu: Di Direktori → Pengguna → [Pengguna], bandingkan Email utama pengguna dengan Email alias yang terdaftar.

Langkah 2 — Identifikasi cakupan masalah

Tentukan apakah ini adalah pengguna yang terkena dampak atau masalah sistemik:

  • Jika sebagian besar atau semua pengguna yang disediakan berbagi ketidaksesuaian format email yang sama, ini adalah masalah pemetaan atribut sistemik. Perbaikannya ada di pemetaan atribut SCIM IdP Anda.

  • Jika hanya satu atau dua pengguna yang terkena dampak, masalahnya kemungkinan spesifik untuk akun pengguna tersebut. Periksa profil pengguna mereka secara langsung.

Langkah 3 — Periksa Name ID dalam konfigurasi SAML

  1. Di pengaturan aplikasi, buka SAML → Detail penyedia layanan.

  2. Konfirmasi bahwa Name ID diatur ke Informasi Dasar → Email utama.

  3. Jika Name ID diatur ke bidang skema kustom atau alias, mungkin mengirimkan nilai yang berbeda dari SCIM.

Resolusi

Selaraskan kedua pemetaan ke primaryEmail

primaryEmail Google Workspace adalah sumber paling andal untuk SCIM dan SAML.

  1. Perbarui provisioning SCIM: Di Aplikasi → Aplikasi web dan mobile → [Aplikasi Claude] → Auto-provisioning → Pemetaan atribut, pastikan atribut email dipetakan ke primaryEmail.

  2. Perbarui Name ID SAML: Di SAML → Detail penyedia layanan, atur Name ID ke Informasi Dasar → Email utama.

  3. Perbarui pemetaan atribut SAML: Di langkah Pemetaan atribut, pastikan atribut email dipetakan ke Informasi Dasar → Email utama.

  4. Simpan semua perubahan.

Picu sinkronisasi ulang penuh

Kritis — Sinkronisasi penuh diperlukan: Sinkronisasi inkremental tidak akan memperbarui pengguna yang ada setelah Anda mengubah pemetaan atribut. Anda harus memicu restart penuh dari siklus provisioning.

  1. Di konsol Admin Google, buka pengaturan Auto-provisioning aplikasi.

  2. Sementara waktu hentikan provisioning, kemudian aktifkan kembali. Ini memicu sinkronisasi penuh semua pengguna yang ditugaskan.

  3. Alternatifnya, hapus dan tambahkan kembali pengguna yang terkena dampak dari penugasan aplikasi untuk memaksa catatan individual mereka disediakan ulang.

  4. Pantau log provisioning untuk kesalahan dan konfirmasi email pengguna diperbarui agar sesuai dengan format SAML sebelum meminta pengguna untuk mencoba lagi.

Pembersihan pasca-perbaikan

Setelah memperbaiki pemetaan atribut dan menyelesaikan sinkronisasi penuh, Anda mungkin memerlukan pembersihan tambahan:

  • Akun gratis liar: Jika pembuatan organisasi tidak dibatasi sebelum perbaikan, beberapa pengguna mungkin secara tidak sengaja membuat akun Claude pribadi gratis. Hubungi Anthropic Support untuk menghapusnya.

  • Akun hantu (kursi email yang salah): Akun yang awalnya disediakan (dengan email yang salah) mungkin masih ada di organisasi enterprise Anda, menempati kursi. Hubungi Anthropic Support untuk menghapus provisioning akun hantu ini.

  • Ketersediaan kursi: Jika akun hantu menempati semua kursi yang dikontrak, login baru akan gagal dengan kesalahan kehabisan kursi. Menghapus provisioning akun hantu membebaskan kursi tersebut.

  • Menambahkan kembali pengguna yang terkena dampak: Setelah akun hantu dihapus, pengguna dengan email yang diperbaiki mungkin perlu diundang kembali atau disediakan ulang.

Cegah kejadian di masa depan: Aktifkan "Batasi pembuatan organisasi" dalam pengaturan enterprise Anda. Ini mencegah pengguna yang belum disediakan dari secara tidak sengaja membuat akun pribadi gratis.

Verifikasi

  1. Periksa sampel pengguna yang disediakan — konfirmasi email mereka di log provisioning IdP Anda cocok dengan format email yang dikirim SSO.

  2. Minta pengguna yang terkena dampak untuk menghapus cookie browser untuk claude.ai, kemudian login melalui SSO. Mereka harus mendarat langsung di ruang kerja enterprise tanpa kesalahan apa pun.

  3. Konfirmasi bahwa pengguna tidak secara tidak sengaja membuat akun gratis — jika pembuatan organisasi dibatasi, pengguna yang diblokir akan melihat kesalahan yang jelas daripada mendarat di akun pribadi.

  4. Jika Claude Code terpengaruh, minta pengguna menjalankan kembali claude auth login --enterprise dan konfirmasi email cocok dengan kursi enterprise mereka.

Jebakan umum

Jebakan

Solusi

SCIM mengirimkan alias sementara SAML mengirimkan email utama

Selalu gunakan primaryEmail untuk keduanya.

Name ID dalam pengaturan SAML tidak diperiksa

Bidang Name ID menentukan email yang dikirim saat login. Ini terpisah dari bagian pemetaan atribut. Periksa keduanya.

Bidang skema kustom kosong untuk beberapa pengguna

Tetap gunakan atribut Google standar seperti primaryEmail.

Reprovisioning tidak memicu secara otomatis setelah perubahan pemetaan

Anda mungkin perlu menghentikan dan mengaktifkan kembali provisioning secara manual untuk memaksa sinkronisasi penuh.

Email utama pengguna berubah tetapi email lama masih muncul di Claude

Sinkronisasi ulang penuh diperlukan setelah perubahan email utama.

Email diperbarui di SCIM tetapi pengguna masih tidak dapat login

Periksa organisasi gratis liar atau akun hantu. Hapus cookie browser dan coba lagi.

Kapan menghubungi Anthropic Support

  • Atribut SCIM dan SSO tampak identik tetapi pengguna masih tidak dapat mengakses kursi mereka.

  • Anda perlu mengonfirmasi email apa yang dicatat Claude selama provisioning SCIM untuk pengguna tertentu.

  • Anda memerlukan bantuan membersihkan akun hantu atau organisasi gratis liar.

  • Pengguna mengalami kesalahan kehabisan kursi meskipun kontrak Anda memiliki kursi yang tersedia.

Hubungi [email protected] dengan domain organisasi Anda, alamat email pengguna yang terkena dampak, dan tangkapan layar pemetaan atribut Anda.

Artikel Terkait
Ketidakcocokan Email SSO/SCIM — Microsoft Entra ID
Ketidaksesuaian Email SSO/SCIM — Okta
Ketidakcocokan Email SSO/SCIM — OneLogin
Ketidaksesuaian Email SSO/SCIM — Ping Identity
Pengaturan SSO — Google Workspace
Apakah pertanyaan Anda terjawab?