Ringkasan: Claude menggunakan email sebagai pengidentifikasi utama untuk mencocokkan login SSO dengan kursi yang disediakan. Produk Ping Identity (PingOne dan PingFederate) memiliki konfigurasi atribut yang fleksibel dan berlapis. Ketika penyediaan SCIM dan SSO SAML/OIDC menarik dari atribut pengguna yang berbeda, ketidakcocokan memblokir akses.
Gejala
Pengguna mungkin mengalami satu atau lebih hal berikut saat mencoba mengakses Claude for Enterprise melalui SSO:
"Pembuatan akun diblokir" — Pengguna melakukan autentikasi melalui SSO tetapi Claude tidak dapat menemukan akun yang disediakan yang cocok.
Mendarat di akun pribadi gratis — Jika pembuatan organisasi tidak dibatasi, pengguna melewati organisasi perusahaan sepenuhnya.
Ketidakcocokan "Silakan konfirmasi email Anda" — Panggilan balik SSO menunjukkan email yang berbeda dari yang dimasukkan pengguna saat login.
Kegagalan autentikasi Claude Code — CLI Claude Code menunjukkan kesalahan ketidakcocokan email selama alur autentikasi.
Bagaimana ini terjadi
Produk Ping Identity memungkinkan pemetaan atribut granular di berbagai tingkat (direktori, adaptor IdP, konektor SP, aplikasi). SCIM dan SSO masing-masing dapat melintasi jalur berbeda melalui lapisan ini, menghasilkan nilai email yang berbeda mencapai Claude:
Atribut Ping | Nilai Tipikal | Biasanya Digunakan Oleh |
| Direkomendasikan untuk SCIM dan SAML/OIDC | |
|
| Pengidentifikasi login default; mungkin berbeda dari email |
Atribut adaptor IdP (PingFederate) | Bervariasi menurut jenis adaptor (LDAP, HTML Form, dll.) | Sumber identitas PingFederate |
Atribut LDAP | Email bersumber direktori di PingFederate | |
LDAP | Mungkin ID karyawan atau nama pengguna pendek | Kadang-kadang dipetakan ke email secara keliru |
Atribut populasi kustom | Bidang kustom yang ditentukan per lingkungan | Konfigurasi PingOne tingkat lanjut |
Claude memerlukan kecocokan string yang tepat antara email yang disediakan SCIM dan email yang diklaim SSO.
Catatan PingFederate: Sistem kontrak atribut PingFederate sangat kompleks — email dapat melewati berbagai lapisan (LDAP → adaptor IdP → kontrak adaptor → konektor SP → pernyataan). Ketidakcocokan di lapisan mana pun akan menyebabkan nilai yang salah mencapai Claude. Lacak nilainya dari awal hingga akhir.
Langkah diagnostik
Langkah 1 — Konfirmasi ketidakcocokan (PingOne)
Periksa pemetaan atribut SCIM: Di PingOne Admin, buka Connections → Applications → [Aplikasi Claude] → Attribute Mappings. Temukan atribut yang dipetakan ke
emails[primary].valueatauemail. Catat atribut pengguna PingOne yang digunakan sebagai sumber.Periksa pemetaan atribut SSO: Di aplikasi yang sama, buka tab SAML atau OIDC dan temukan atribut atau klaim yang dipetakan ke
email. Catat atribut sumbernya.Jika SCIM dan SSO mereferensikan atribut PingOne yang berbeda, Anda telah mengonfirmasi ketidakcocokan.
Langkah 1 (alternatif) — Konfirmasi ketidakcocokan (PingFederate)
Di konsol Admin PingFederate, temukan Koneksi SP untuk Claude.
Di Attribute Contract Fulfillment, temukan atribut
emaildan lacak sumbernya kembali ke adaptor IdP atau penyimpanan data LDAP.Secara terpisah, periksa konektor penyediaan SCIM atau saluran penyediaan keluar untuk Claude dan lacak sumber atribut email yang dikirim.
Jika kedua jejak mengarah ke atribut direktori yang berbeda, Anda telah mengonfirmasi ketidakcocokan.
Langkah 2 — Identifikasi cakupan masalah
Tentukan apakah ini adalah satu pengguna yang terpengaruh atau masalah sistemik:
Jika sebagian besar atau semua pengguna yang disediakan berbagi ketidakcocokan format email yang sama, ini adalah masalah pemetaan atribut sistemik. Perbaikannya ada di pemetaan atribut SCIM IdP Anda.
Jika hanya satu atau dua pengguna yang terpengaruh, masalahnya kemungkinan spesifik untuk akun pengguna tersebut. Periksa profil pengguna mereka secara langsung.
Langkah 3 — Periksa nilai atribut untuk pengguna tertentu
PingOne: Buka Identities → Users → [Pengguna] dan bandingkan nilai bidang
UsernamedanEmail.PingFederate dengan LDAP: Periksa catatan LDAP pengguna dan bandingkan
mail,userPrincipalName,sAMAccountName, dan atribut lain apa pun yang digunakan dalam pemetaan adaptor Anda.
Resolusi
PingOne — Selaraskan kedua pemetaan dengan atribut email
Di Connections → Applications → [Aplikasi Claude], buka Attribute Mappings.
Untuk SCIM: Pastikan
emails[primary].valuedipetakan ke atribut Email Address PingOne.Untuk SAML/OIDC: Pastikan atribut
emailatau klaim juga dipetakan ke atribut Email Address PingOne.Simpan perubahan.
PingFederate — Selaraskan kontrak atribut di semua lapisan
Di Koneksi SP untuk Claude, buka Attribute Contract Fulfillment.
Temukan atribut
email. Pastikan sumbernya adalah atribut LDAP atau penyimpanan data yang sama yang digunakan di saluran penyediaan keluar SCIM Anda.Jika menggunakan adaptor IdP kustom, pastikan kontrak adaptor mencakup atribut email kanonik dan bahwa atribut tersebut dipetakan dengan benar melalui ke koneksi SP.
Perbarui penyediaan SCIM untuk menggunakan atribut sumber yang sama.
Picu sinkronisasi penuh
Kritis — Sinkronisasi penuh diperlukan: Sinkronisasi inkremental akan tidak memperbarui pengguna yang ada setelah Anda mengubah pemetaan atribut. Anda harus memicu restart penuh dari siklus penyediaan.
PingOne: Di pengaturan penyediaan aplikasi, picu siklus penyediaan penuh. Anda mungkin perlu menonaktifkan dan mengaktifkan kembali penyediaan untuk memaksa push ulang lengkap semua pengguna.
PingFederate: Picu sinkronisasi penuh di saluran penyediaan keluar Anda. Periksa log penyediaan Anda untuk mengonfirmasi nilai email yang diperbarui sedang dikirim.
Verifikasi bahwa nilai email yang diperbarui muncul dalam log penyediaan sebelum meminta pengguna untuk mencoba login lagi.
Pembersihan pasca-perbaikan
Setelah memperbaiki pemetaan atribut dan menyelesaikan sinkronisasi penuh, Anda mungkin memerlukan pembersihan tambahan:
Akun gratis nakal: Hubungi Dukungan Anthropic untuk menghapusnya.
Akun hantu (kursi email salah): Hubungi Dukungan Anthropic untuk membatalkan penyediaan akun hantu ini.
Ketersediaan kursi: Jika akun hantu menempati semua kursi kontrak, login baru akan gagal. Hubungi dukungan.
Menambahkan kembali pengguna yang terpengaruh: Setelah akun hantu dihapus, pengguna mungkin perlu diundang kembali atau disediakan kembali.
Cegah kejadian di masa depan: Aktifkan "Batasi pembuatan organisasi" di pengaturan perusahaan Anda.
Verifikasi
Periksa sampel pengguna yang disediakan — konfirmasi email mereka di log penyediaan IdP Anda cocok dengan format email yang dikirim SSO.
Minta pengguna yang terpengaruh untuk menghapus cookie browser untuk
claude.ai, kemudian login melalui SSO.Konfirmasi bahwa pengguna tidak secara tidak sengaja membuat akun gratis.
Jika Claude Code terpengaruh, minta pengguna menjalankan kembali
claude auth login --enterprisedan konfirmasi email cocok dengan kursi perusahaan mereka.
Jebakan umum
Jebakan | Solusi |
Bidang PingOne | Ubah pemetaan SCIM ke atribut Email Address PingOne. |
Ketidakcocokan atribut PingFederate di seluruh lapisan kontrak | Lacak atribut email dari awal hingga akhir: sumber LDAP → adaptor IdP → kontrak adaptor → konektor SP → pernyataan. |
LDAP | Gunakan atribut LDAP |
Sinkronisasi penyediaan inkremental tidak memperbarui pengguna yang ada | Sinkronisasi penuh diperlukan setelah mengubah pemetaan atribut. |
Kontrak atribut diperbarui di PingFederate tetapi konektor SCIM tidak diperbarui | Koneksi SP dan saluran penyediaan SCIM keluar harus diperbarui secara independen. |
Email diperbarui di SCIM tetapi pengguna masih tidak dapat login | Periksa organisasi gratis nakal atau akun hantu. Hapus cookie browser dan coba lagi. |
Kapan menghubungi Dukungan Anthropic
Atribut SCIM dan SSO tampak identik tetapi pengguna masih tidak dapat mengakses kursi mereka.
Anda perlu mengonfirmasi email apa yang dicatat Claude selama penyediaan SCIM untuk pengguna tertentu.
Anda memerlukan bantuan membersihkan akun hantu atau organisasi gratis nakal.
Pengguna mengalami kesalahan kehabisan kursi meskipun kontrak Anda memiliki kursi yang tersedia.
Hubungi [email protected] dengan domain organisasi Anda, alamat email pengguna yang terpengaruh, dan tangkapan layar pemetaan atribut Anda.