Ringkasan: Claude menggunakan email sebagai pengidentifikasi utama untuk mencocokkan login SSO dengan kursi yang disediakan. Di OneLogin, penyediaan SCIM dan SSO SAML dikonfigurasi di tab terpisah dari aplikasi dan dapat mereferensikan bidang profil pengguna yang berbeda, menyebabkan ketidaksesuaian yang memblokir akses.
Gejala
Pengguna mungkin mengalami satu atau lebih hal berikut saat mencoba mengakses Claude for Enterprise melalui SSO:
"Pembuatan akun diblokir" — Pengguna melakukan autentikasi melalui SSO tetapi Claude tidak dapat menemukan akun yang disediakan yang cocok. Jika organisasi Anda memiliki pembatasan pembuatan organisasi (direkomendasikan), pengguna diblokir sepenuhnya dan tidak dapat melanjutkan.
Mendarat di akun pribadi gratis — Jika pembuatan organisasi tidak dibatasi, pengguna melewati organisasi perusahaan sepenuhnya dan membuat atau mendarat di akun pribadi gratis alih-alih kursi perusahaan mereka.
Ketidaksesuaian "Silakan konfirmasi email Anda" — Panggilan balik SSO menunjukkan email yang berbeda dari yang dimasukkan pengguna saat login.
Kegagalan autentikasi Claude Code — CLI Claude Code menunjukkan kesalahan ketidaksesuaian email selama alur autentikasi.
Bagaimana ini terjadi
Profil pengguna OneLogin berisi bidang yang berbeda untuk nama pengguna dan email, yang mungkin menyimpan nilai yang berbeda. Parameter penyediaan SCIM dan pernyataan atribut SAML dikonfigurasi secara independen dan masing-masing dapat menarik dari bidang yang berbeda:
Bidang OneLogin | Nilai Tipikal | Biasanya Digunakan Oleh |
|
| Kadang digunakan dalam pemetaan |
| Direkomendasikan untuk SCIM dan SAML | |
| Mungkin berbeda dari email jika SSO digunakan untuk login non-email | Konfigurasi warisan atau khusus |
Bidang pengguna khusus | Atribut khusus yang ditentukan per organisasi | Pemetaan atribut lanjutan |
Ketidaksesuaian umum: tab parameter SCIM memetakan atribut email ke Username (yang mungkin berupa ID karyawan atau nama pendek) sementara pernyataan atribut SAML mengirimkan bidang Email. Claude memerlukan kecocokan string yang tepat.
Kebingungan umum: Parameter SCIM dan pernyataan atribut SAML OneLogin berada di tab terpisah dari aplikasi yang sama — Parameters untuk SCIM dan SSO (atau Parameters dengan bidang khusus SAML) untuk SSO. Keduanya harus diperiksa dan diselaraskan.
Langkah diagnostik
Langkah 1 — Konfirmasi ketidaksesuaian
Periksa email SCIM: Di portal Admin OneLogin, buka Applications → [Aplikasi Claude] → Parameters. Temukan bidang yang dipetakan ke email yang Claude terima. Catat kolom nilai OneLogin — ini menunjukkan bidang pengguna mana yang dikirim.
Periksa email SAML: Di aplikasi yang sama, buka tab SSO. Klik More Actions → Edit SAML Response atau periksa bagian SAML Attribute Statements. Temukan atribut untuk
emaildan catat bidang sumbernya.Periksa pengguna tertentu: Di Users → [User], bandingkan bidang Username dan Email pengguna. Jika berbeda, pemetaan apa pun yang menggunakan satu atau yang lain akan menyebabkan ketidaksesuaian.
Langkah 2 — Identifikasi cakupan masalah
Tentukan apakah ini adalah pengguna yang terkena dampak atau masalah sistemik:
Jika sebagian besar atau semua pengguna yang disediakan berbagi ketidaksesuaian format email yang sama, ini adalah masalah pemetaan atribut sistemik yang mempengaruhi seluruh direktori Anda. Perbaikannya ada di pemetaan atribut SCIM IdP Anda.
Jika hanya satu atau dua pengguna yang terkena dampak sementara yang lain berfungsi dengan baik, masalahnya kemungkinan spesifik untuk akun pengguna tersebut. Periksa profil pengguna mereka secara langsung.
Langkah 3 — Tinjau nilai bidang pengguna
Buka Users → [Pengguna yang Terkena Dampak] → User Info.
Periksa bidang Username dan Email.
Jika Username dalam format yang tidak cocok dengan email yang valid, SCIM mungkin mengirimkan nilai yang tidak valid atau tidak cocok.
Resolusi
Selaraskan kedua pemetaan ke bidang Email
Bidang Email OneLogin adalah sumber paling andal untuk SCIM dan SAML, karena dirancang untuk menyimpan alamat email yang valid.
Perbarui parameter SCIM: Di Applications → [Aplikasi Claude] → Parameters, temukan baris untuk atribut email yang Claude terima. Ubah Value menjadi Email (bidang Email pengguna OneLogin).
Perbarui pernyataan atribut SAML: Di tab SSO (atau Parameters untuk atribut SAML), perbarui nilai atribut
emailuntuk menggunakan bidang Email yang sama.Klik Save.
Picu sinkronisasi ulang penuh
Kritis — Sinkronisasi penuh diperlukan: Sinkronisasi inkremental akan tidak memperbarui pengguna yang ada setelah Anda mengubah pemetaan atribut. Anda harus memicu restart penuh dari siklus penyediaan.
Di tab Provisioning aplikasi, cari opsi Re-sync atau Sync All dan jalankan.
Untuk menyediakan ulang pengguna individual: Buka Users → [User] → Applications, temukan aplikasi Claude, dan gunakan Re-provision.
Periksa log aktivitas penyediaan OneLogin untuk kesalahan.
Verifikasi nilai email yang diperbarui muncul dalam log sebelum meminta pengguna untuk mencoba login lagi.
Pembersihan pasca-perbaikan
Setelah memperbaiki pemetaan atribut dan menyelesaikan sinkronisasi penuh, Anda mungkin memerlukan pembersihan tambahan tergantung pada situasi Anda:
Akun gratis nakal: Jika pembuatan organisasi tidak dibatasi sebelum perbaikan, beberapa pengguna mungkin secara tidak sengaja membuat akun Claude pribadi gratis. Hubungi Anthropic Support untuk menghapusnya.
Akun hantu (kursi email salah): Akun yang awalnya disediakan (dengan email yang salah) mungkin masih ada di organisasi perusahaan Anda, menempati kursi yang tidak pernah dapat digunakan. Hubungi Anthropic Support untuk membatalkan penyediaan akun hantu ini.
Ketersediaan kursi: Jika akun hantu menempati semua kursi yang dikontrak, login baru akan gagal dengan kesalahan kehabisan kursi bahkan setelah pemetaan diperbaiki. Hubungi dukungan jika Anda mengalami ini.
Menambahkan kembali pengguna yang terkena dampak: Setelah akun hantu dihapus, pengguna dengan email yang diperbaiki mungkin perlu diundang ulang atau disediakan ulang.
Cegah kejadian di masa depan: Aktifkan "Restrict organization creation" di pengaturan perusahaan Anda.
Verifikasi
Setelah menyelesaikan perbaikan dan pembersihan apa pun, verifikasi hal berikut:
Periksa sampel pengguna yang disediakan — konfirmasi email mereka dalam log penyediaan IdP Anda cocok dengan format email yang dikirim SSO.
Minta pengguna yang terkena dampak untuk menghapus cookie browser untuk
claude.ai, kemudian login melalui SSO.Konfirmasi bahwa pengguna tidak secara tidak sengaja membuat akun gratis.
Jika Claude Code terpengaruh, minta pengguna menjalankan kembali
claude auth login --enterprisedan konfirmasi email cocok dengan kursi perusahaan mereka.
Jebakan umum
Jebakan | Solusi |
Bidang Username menyimpan nama pendek atau ID karyawan, bukan email | Alihkan SCIM untuk menggunakan bidang Email. |
Atribut SAML diperbarui tetapi parameter SCIM tidak diubah | Baik tab Parameters (untuk SCIM) maupun atribut SSO/SAML harus diperbarui secara independen. |
Re-sync tidak tampak memicu | Coba menghapus dan menetapkan kembali pengguna individual yang terkena dampak dari aplikasi. |
Bidang pengguna khusus dipetakan tetapi kosong untuk beberapa pengguna | Alihkan ke bidang Email standar. |
Email diperbarui di SCIM tetapi pengguna masih tidak dapat login | Periksa organisasi gratis nakal atau akun hantu. Hapus cookie browser dan coba lagi. |
"Invite domain not allowed" saat mencoba menambahkan kembali pengguna | Domain organisasi Anda mungkin tidak diverifikasi di Claude. Hubungi Anthropic Support. |
Kapan menghubungi Anthropic Support
Atribut SCIM dan SSO tampak identik tetapi pengguna masih tidak dapat mengakses kursi mereka.
Anda perlu mengonfirmasi email apa yang Claude catat selama penyediaan SCIM untuk pengguna tertentu.
Anda memerlukan bantuan membersihkan akun hantu atau organisasi gratis nakal.
Pengguna mengalami kesalahan kehabisan kursi meskipun kontrak Anda memiliki kursi yang tersedia.
Hubungi [email protected] dengan domain organisasi Anda, alamat email pengguna yang terkena dampak, dan tangkapan layar pemetaan atribut Anda.