Ringkasan: Claude menggunakan email sebagai pengidentifikasi utama untuk mencocokkan login SSO dengan kursi yang disediakan. Di Okta, penyediaan SCIM dan SSO dikonfigurasi di bagian terpisah dari aplikasi dan dapat menarik email dari bidang profil pengguna Okta yang berbeda. Panduan ini menjelaskan cara mengidentifikasi dan memperbaiki ketidaksesuaian.
Gejala
Pengguna mungkin mengalami satu atau lebih hal berikut saat mencoba mengakses Claude for Enterprise melalui SSO:
"Pembuatan akun diblokir" — Pengguna melakukan autentikasi melalui SSO tetapi Claude tidak dapat menemukan akun yang disediakan yang cocok.
Mendarat di akun pribadi gratis — Jika pembuatan organisasi tidak dibatasi, pengguna melewati organisasi perusahaan.
"Silakan konfirmasi ketidaksesuaian email Anda" — Panggilan balik SSO menunjukkan email yang berbeda dari yang dimasukkan pengguna saat login.
Kegagalan autentikasi Claude Code — CLI Claude Code menunjukkan kesalahan ketidaksesuaian email.
Bagaimana ini terjadi
Profil pengguna Okta berisi beberapa bidang yang mewakili identitas. Penyediaan SCIM (di bawah Provisioning → To App) dan SSO SAML/OIDC (di bawah Sign On) dikonfigurasi secara independen:
Atribut Okta | Nilai Tipikal | Biasanya Digunakan Oleh |
|
| Pemetaan userName SCIM default; kadang-kadang NameID |
| Klaim email SAML/OIDC (direkomendasikan) | |
| Penggantian tingkat aplikasi dari email pengguna | Pemetaan atribut tingkat aplikasi khusus |
Ketidaksesuaian umum: SCIM menggunakan user.login sementara SAML mengirim user.email. Claude memerlukan kecocokan string yang tepat.
Kebingungan umum: Pemetaan atribut SCIM Okta dan pernyataan atribut SAML berada di dua tab berbeda — Provisioning → To App untuk SCIM, dan Sign On untuk SSO. Anda harus memverifikasi keduanya.
Langkah diagnostik
Langkah 1 — Konfirmasi ketidaksesuaian
Periksa email SCIM: Di konsol Admin Okta, buka Applications → [Claude App] → Provisioning → To App → Attribute Mappings. Temukan baris untuk
email(atauuserNamejika itu memetakan ke email di sisi Claude). Kolom Value menunjukkan ekspresi atau bidang Okta yang dikirim.Periksa email SSO (SAML): Buka Applications → [Claude App] → Sign On → SAML Settings → Edit → Attribute Statements. Temukan atribut bernama
email. Kolom Value menunjukkan bidang Okta mana yang ditegaskan saat login.Periksa email SSO (OIDC): Buka Applications → [Claude App] → Sign On → OpenID Connect ID Token dan periksa bagian Claims untuk klaim email.
Jika nilai SCIM dan SSO mereferensikan bidang Okta yang berbeda, Anda telah mengkonfirmasi ketidaksesuaian.
Langkah 2 — Identifikasi cakupan masalah
Tentukan apakah ini adalah satu pengguna yang terpengaruh atau masalah sistemik:
Jika sebagian besar atau semua pengguna yang disediakan berbagi ketidaksesuaian format email yang sama, ini adalah masalah pemetaan atribut sistemik yang mempengaruhi seluruh direktori Anda. Perbaikannya ada di pemetaan atribut SCIM IdP Anda.
Jika hanya satu atau dua pengguna yang terpengaruh sementara yang lain berfungsi dengan baik, masalahnya kemungkinan spesifik untuk akun pengguna tersebut. Periksa profil pengguna mereka secara langsung.
Langkah 3 — Verifikasi profil pengguna Okta secara langsung
Untuk pengguna individual yang terpengaruh, periksa nilai bidang aktual mereka:
Buka Directory → People → [User] → Profile.
Bandingkan nilai bidang
LogindanEmail. Jika berbeda, pemetaan apa pun yang menggunakanLoginvs.Emailakan menghasilkan ketidaksesuaian.
Resolusi
Selaraskan kedua pemetaan dengan bidang Okta yang sama
Perbaikan teraman adalah menggunakan user.email untuk SCIM dan SSO, karena bidang ini berisi alamat email kanonis di Okta.
Perbarui pemetaan SCIM: Di Provisioning → To App → Attribute Mappings, ubah sumber
email(atauuserName) menjadiuser.email.Perbarui klaim SSO (SAML): Di Sign On → SAML Settings → Attribute Statements, ubah nilai atribut
emailmenjadiuser.email.Perbarui klaim SSO (OIDC): Di Sign On → OpenID Connect ID Token → Claims, perbarui klaim email untuk memetakan ke
user.email.Klik Save.
Paksa sinkronisasi penuh
Kritis — Sinkronisasi penuh diperlukan: Sinkronisasi inkremental akan tidak memperbarui pengguna yang ada setelah Anda mengubah pemetaan atribut. Anda harus memicu restart penuh dari siklus penyediaan.
Di Provisioning → To App, klik Force Sync untuk memicu evaluasi ulang penuh dari semua pengguna yang ditugaskan.
Atau, untuk pengguna yang ditargetkan: Provisioning → Push Users → pilih pengguna yang terpengaruh → Push Now.
Periksa Log Sistem Okta (Reports → System Log) untuk kesalahan penyediaan apa pun.
Verifikasi bahwa nilai email yang diperbarui muncul dalam log penyediaan sebelum meminta pengguna untuk mencoba login lagi.
Pembersihan pasca-perbaikan
Setelah memperbaiki pemetaan atribut dan menyelesaikan sinkronisasi penuh, Anda mungkin memerlukan pembersihan tambahan tergantung pada situasi Anda:
Akun gratis yang tidak sah: Jika pembuatan organisasi tidak dibatasi sebelum perbaikan, beberapa pengguna mungkin telah secara tidak sengaja membuat akun Claude pribadi gratis. Hubungi Anthropic Support untuk menghapusnya.
Akun hantu (kursi email yang salah): Akun yang awalnya disediakan (dengan email yang salah) mungkin masih ada di organisasi perusahaan Anda, menempati kursi yang tidak pernah dapat digunakan. Hubungi Anthropic Support untuk menghapus penyediaan akun hantu ini.
Ketersediaan kursi: Jika akun hantu menempati semua kursi yang dikontrak, login baru akan gagal dengan kesalahan kehabisan kursi bahkan setelah pemetaan diperbaiki. Hubungi dukungan jika Anda mengalami ini.
Menambahkan kembali pengguna yang terpengaruh: Setelah akun hantu dihapus, pengguna dengan email yang diperbaiki mungkin perlu diundang kembali atau disediakan kembali.
Cegah kejadian di masa depan: Aktifkan "Restrict organization creation" di pengaturan perusahaan Anda. Ini mencegah pengguna yang belum disediakan dari secara tidak sengaja membuat akun pribadi gratis.
Verifikasi
Setelah menyelesaikan perbaikan dan pembersihan apa pun, verifikasi hal berikut:
Periksa sampel pengguna yang disediakan — konfirmasi email mereka dalam log penyediaan IdP Anda cocok dengan format email yang dikirim SSO.
Minta pengguna yang terpengaruh untuk menghapus cookie browser untuk
claude.ai, kemudian login melalui SSO. Mereka harus mendarat langsung di ruang kerja perusahaan tanpa kesalahan apa pun.Konfirmasi bahwa pengguna tidak secara tidak sengaja membuat akun gratis — jika pembuatan organisasi dibatasi, pengguna yang diblokir akan melihat kesalahan yang jelas daripada mendarat di akun pribadi.
Jika Claude Code terpengaruh, minta pengguna menjalankan kembali
claude auth login --enterprisedan konfirmasi email cocok dengan kursi perusahaan mereka.
Jebakan umum
Jebakan | Solusi |
Admin memperbarui klaim SAML tetapi lupa pemetaan atribut SCIM (atau sebaliknya) | Keduanya harus diperbarui. Pemetaan SCIM ada di Provisioning → To App; klaim SAML ada di Sign On → SAML Settings. |
| Beralih keduanya ke |
Sinkronisasi inkremental berjalan tetapi email tidak diperbarui | Force Sync atau Push Users diperlukan setelah perubahan pemetaan atribut. |
Atribut profil tingkat aplikasi ( | Periksa apakah pemetaan atribut tingkat aplikasi mengganti nilai profil pengguna. |
Email diperbarui tetapi pengguna masih tidak dapat login | Cari organisasi gratis yang tidak sah atau akun hantu. Hapus cookie browser dan coba lagi. Hubungi Anthropic Support jika masalah berlanjut. |
Aplikasi OIDC dan SAML adalah aplikasi Okta terpisah untuk Claude | Beberapa organisasi mengonfigurasi keduanya. Pastikan penyelarasan atribut diperiksa di kedua aplikasi. |
Kapan menghubungi Anthropic Support
Atribut SCIM dan SSO tampak identik tetapi pengguna masih tidak dapat mengakses kursi mereka.
Anda perlu mengkonfirmasi email apa yang dicatat Claude selama penyediaan SCIM untuk pengguna tertentu.
Anda memerlukan bantuan membersihkan akun hantu atau organisasi gratis yang tidak sah.
Pengguna mengalami kesalahan kehabisan kursi meskipun kontrak Anda memiliki kursi yang tersedia.
Hubungi [email protected] dengan domain organisasi Anda, alamat email pengguna yang terpengaruh, dan tangkapan layar pemetaan atribut Anda.