Lewati ke konten utama

Ketidakcocokan Email SSO/SCIM — Microsoft Entra ID

Apa yang dicakup: Claude menggunakan email sebagai pengidentifikasi utama untuk mencocokkan login SSO dengan kursi yang disediakan. Di Microsoft Entra ID, penyediaan SCIM dan autentikasi SSO dikonfigurasi di tempat terpisah dan dapat menarik email dari atribut pengguna yang berbeda — menyebabkan ketidaksesuaian yang memblokir akses. Panduan ini menjelaskan cara mengidentifikasi masalah, memperbaiki pemetaan atribut, dan membersihkan efek samping apa pun.

Gejala

Pengguna mungkin mengalami satu atau lebih hal berikut saat mencoba mengakses Claude for Enterprise melalui SSO:

  • "Pembuatan akun diblokir" — Pengguna melakukan autentikasi melalui SSO tetapi Claude tidak dapat menemukan akun yang disediakan yang cocok. Jika pembuatan organisasi dibatasi (direkomendasikan), pengguna diblokir sepenuhnya.

  • Mendarat di akun pribadi gratis — Jika pembuatan organisasi tidak dibatasi, pengguna melewati organisasi perusahaan dan membuat atau mendarat di akun pribadi gratis.

  • Ketidaksesuaian "Silakan konfirmasi email Anda" — Panggilan balik SSO menunjukkan email yang berbeda dari yang dimasukkan pengguna saat login.

  • Kegagalan autentikasi Claude Code — CLI Claude Code menunjukkan kesalahan ketidaksesuaian email selama alur autentikasi.

Bagaimana ini terjadi

Akun pengguna Microsoft Entra ID memiliki beberapa atribut seperti email yang dapat menampung nilai berbeda. Penyediaan SCIM dan autentikasi SSO dikonfigurasi di area admin terpisah dan masing-masing dapat menarik dari atribut yang berbeda:

Atribut Entra

Nilai Tipikal

Biasanya Digunakan Oleh

userPrincipalName

[email protected] (mungkin format ID karyawan)

Pemetaan userName SCIM default

mail

[email protected] (email standar)

Klaim email OIDC / SAML

proxyAddresses

SMTP:[email protected]

Alamat utama Exchange / M365

otherMails

Mungkin berisi alias atau alamat sekunder

Email kontak alternatif

Ketidaksesuaian terjadi ketika SCIM menarik email dari satu atribut sementara SSO mengirim email dari atribut lain. Bahkan perbedaan halus memblokir akses — Claude memerlukan kecocokan string yang tepat.

Kebingungan umum: Entra memiliki dua area admin terpisah. Aplikasi penyediaan SCIM berada di bawah Enterprise Applications. Aplikasi SSO/OIDC berada di bawah App Registrations. Admin IT sering kali menavigasi ke lokasi yang salah.

Langkah diagnostik

Langkah 1 — Konfirmasi ketidaksesuaian

  1. Periksa email SCIM: Di Entra Admin Center → Enterprise Applications → [Aplikasi SCIM Claude] → Provisioning → Provisioning logs, temukan pengguna yang baru disediakan dan periksa Modified attributes. Nilai yang dipetakan ke emails[type eq "work"].value adalah apa yang SCIM kirim ke Claude.

  2. Periksa email SSO: Di Enterprise Applications → [Aplikasi Claude] → Single sign-on → Attributes & Claims, temukan klaim email. Untuk aplikasi OIDC, periksa App Registrations → [Aplikasi Claude] → Token configuration.

  3. Jika dua atribut sumber menunjuk ke bidang berbeda, Anda telah mengkonfirmasi ketidaksesuaian.

Langkah 2 — Identifikasi cakupan

  • Jika sebagian besar atau semua pengguna yang disediakan berbagi ketidaksesuaian format yang sama, ini adalah masalah pemetaan atribut sistemik. Perbaikannya ada di konfigurasi pemetaan atribut SCIM.

  • Jika hanya satu atau dua pengguna yang terpengaruh, periksa profil pengguna mereka secara langsung di Entra.

Langkah 3 — Periksa klaim token OIDC (hanya aplikasi OIDC)

  1. Di Entra Admin Center, buka App Registrations (bukan Enterprise Applications).

  2. Temukan aplikasi OIDC Claude dan klik Token configuration.

  3. Periksa klaim opsional email.

  4. Referensi silang dengan pemetaan atribut SCIM Anda untuk mengkonfirmasi apakah mereka cocok.

Resolusi

Perbaiki pemetaan atribut SCIM

Navigasikan ke aplikasi penyediaan SCIM — bukan aplikasi SSO/OIDC:

  1. Buka Entra Admin Center → Enterprise Applications.

  2. Cari aplikasi SCIM Claude. Cari aplikasi dengan bagian Provisioning.

  3. Klik Provisioning → Edit provisioning → Attribute mappings.

  4. Temukan baris di mana atribut SCIM adalah emails[type eq "work"].value. Klik untuk mengedit.

  5. Ubah Source attribute agar sesuai dengan apa yang SSO kirim — biasanya mail.

  6. Juga periksa pemetaan userName dan perbarui jika diperlukan.

  7. Klik Save.

Picu sinkronisasi penyediaan penuh

Sinkronisasi penuh diperlukan — inkremental tidak akan berfungsi. Anda harus memicu restart penuh dari siklus penyediaan.

  1. Buka halaman ikhtisar Provisioning.

  2. Klik Restart provisioning.

  3. Tunggu sinkronisasi selesai.

  4. Verifikasi di log penyediaan bahwa email pengguna telah diperbarui ke format yang benar.

Artikel Terkait
Ketidaksesuaian Email SSO/SCIM — Google Workspace
Ketidaksesuaian Email SSO/SCIM — Okta
Ketidakcocokan Email SSO/SCIM — OneLogin
Ketidaksesuaian Email SSO/SCIM — Ping Identity
Pengaturan SSO — Microsoft Entra ID
Apakah pertanyaan Anda terjawab?