Lewati ke konten utama

Atur izin berbasis peran pada paket Enterprise

Diperbarui hari ini

Panduan ini memandu Anda melalui pengaturan izin berbasis peran untuk organisasi Enterprise Anda. Ini memungkinkan Anda mengontrol fitur mana yang dapat diakses oleh tim atau kelompok anggota tertentu, daripada memberikan izin yang sama kepada semua orang.

Sebelum Anda mulai, pastikan Anda sudah familiar dengan:

Sebelum Anda mulai

Anda memerlukan akses Owner atau Primary Owner ke organisasi Enterprise Anda.

Keluar dan masuk kembali ke akun Claude Anda sebelum Anda mulai. Ini memastikan bilah sisi pengaturan admin yang diperbarui muncul, dengan halaman Grup dan Peran kustom baru di bawah Orang.

Cadangkan daftar anggota Anda. Ekspor CSV anggota saat ini Anda dari Pengaturan Organisasi > Anggota sebelum membuat perubahan apa pun. Jika ada yang salah selama migrasi, ini memberi Anda referensi untuk memulihkan akses. Lihat Kelola anggota pada paket Tim dan Enterprise.

Paket dual-seat: Jika organisasi Anda berada pada paket Enterprise dual-seat (dengan kursi Chat dan Chat + Claude Code), peran kustom tidak mengganti pembatasan tingkat seat. Anggota yang ditugaskan ke seat Chat-only tidak dapat mengakses Claude Code bahkan jika peran kustom mereka memberikannya. Rencanakan struktur peran Anda dengan penugasan seat dalam pikiran.

Jika Anda berencana menggunakan grup identity provider (IdP) dari Okta, Entra ID, atau penyedia lain, pastikan sinkronisasi direktori SCIM dikonfigurasi. Lihat Atur penyediaan JIT atau SCIM.

Catatan mode penyediaan: Jika organisasi Anda menggunakan penyediaan Invite only atau JIT, Anda hanya dapat menggunakan grup yang dibuat secara manual untuk RBAC. Grup yang disinkronkan SCIM tidak didukung dalam mode ini.

Merencanakan struktur peran Anda

Sebelum membuat apa pun, putuskan fitur mana yang harus diakses oleh setiap tim atau kelompok anggota. Berikut adalah tiga pola umum:

Peran dasar plus aditif

Ini adalah pendekatan yang direkomendasikan untuk sebagian besar organisasi. Buat peran "Akses Standar" untuk semua orang dengan fitur umum seperti pencarian web, memori, dan proyek. Kemudian buat peran aditif yang memberikan kemampuan spesifik — misalnya, peran "Cowork Enabled" yang hanya menambahkan Cowork. Tetapkan semua anggota ke peran dasar melalui grup "Semua Pengguna", dan tambahkan anggota tertentu ke grup tambahan yang menambahkan fitur ekstra.

Pola ini fleksibel karena izin bersifat aditif — menggabungkan peran dasar dengan peran aditif menyusun dengan bersih tanpa konflik.

Peran berbasis tingkat

Buat tingkat yang berbeda: "Akses Penuh" dengan semua fitur, "Akses Standar" dengan sebagian besar fitur, dan "Akses Terbatas" dengan fitur minimal. Setiap anggota masuk ke dalam satu grup yang ditugaskan ke satu tingkat.

Peran berbasis departemen

Buat peran yang memetakan ke departemen: "Engineering" dengan Cowork, Claude Code, dan eksekusi kode; "Research" dengan pencarian web, memori, dan proyek; "Business" dengan pencarian web dan proyek saja. Tetapkan setiap grup departemen ke peran yang sesuai.

Langkah 1: Audit pengaturan saat ini Anda

  1. Tinjau fitur mana yang saat ini diaktifkan atau dinonaktifkan di tingkat organisasi di Pengaturan Organisasi > Kemampuan.

  2. Buka Pengaturan Organisasi > Organisasi untuk mengekspor atau meninjau daftar anggota Anda.

  3. Catat peran bawaan saat ini setiap anggota (User, Admin, atau Owner).

  4. Untuk setiap tim atau departemen, putuskan fitur mana yang mereka butuhkan akses.

Ingat: fitur apa pun yang ingin Anda kontrol per-grup harus diaktifkan di tingkat organisasi. Jika fitur dimatikan di tingkat organisasi, tidak ada peran kustom yang dapat memberikan akses ke fitur tersebut.

Penting: Tidak seperti anggota dengan peran User, anggota yang ditugaskan ke Peran Kustom tidak secara otomatis mewarisi kemampuan yang diaktifkan organisasi. Setiap kemampuan yang dibutuhkan anggota Peran Kustom harus secara eksplisit diberikan oleh peran kustom yang ditugaskan ke salah satu grup mereka.

Langkah 2: Buat peran kustom

Buat peran kustom Anda sebelum mengaktifkan fitur apa pun atau memigrasikan anggota. Ini memastikan peran Anda siap untuk memberlakukan akses pada saat fitur dihidupkan.

  1. Navigasikan ke Pengaturan Organisasi > Peran kustom.

  2. Klik "+ Tambah peran."

  3. Beri nama peran dan alihkan kemampuan yang sesuai.

  4. Klik "Tambah peran."

  5. Ulangi untuk setiap peran dalam rencana Anda.

Lihat Kelola peran kustom pada paket Enterprise untuk detail tentang kemampuan yang tersedia.

Langkah 3: Buat grup dan tetapkan peran

  1. Navigasikan ke Pengaturan Organisasi > Grup.

  2. Klik "Tambah grup" untuk membuat grup untuk setiap tim atau tingkat dalam rencana Anda.

  3. Tambahkan anggota ke grup yang sesuai.

  4. Tetapkan setiap grup ke peran kustom yang Anda buat di langkah 2.

Jika Anda menggunakan sinkronisasi direktori SCIM, Anda dapat menyinkronkan grup dari penyedia identitas Anda daripada membuatnya secara manual. Untuk detail tentang sinkronisasi grup SCIM, lihat Kelola grup dan batas pengeluaran grup pada paket Enterprise.

Beberapa organisasi di bawah organisasi induk yang sama: Grup dikelola di tingkat organisasi induk dan menyebar ke semua organisasi anak. Anda mungkin melihat anggota dari organisasi lain yang terdaftar dalam grup — ini tidak berarti mereka memiliki akses ke organisasi Anda. Peran kustom yang ditugaskan ke grup hanya memberikan kemampuan kepada anggota yang merupakan bagian dari organisasi spesifik Anda.

Langkah 4: Verifikasi penugasan grup dan peran

Sebelum memigrasikan anggota ke Peran Kustom, konfirmasi bahwa setiap anggota yang Anda rencanakan untuk dimigrasikan berada di setidaknya satu grup yang ditugaskan ke peran kustom. Anggota yang dimigrasikan tanpa cakupan grup atau peran akan kehilangan akses ke semua fitur yang diatur.

  1. Navigasikan ke Pengaturan Organisasi > Anggota.

  2. Gunakan filter Peran dan Grup untuk mengidentifikasi anggota yang tidak ditugaskan ke grup apa pun.

  3. Alternatifnya, klik "Ekspor CSV" untuk mengunduh daftar anggota lengkap dengan kolom peran dan grup untuk ditinjau.

  4. Tambahkan anggota yang tidak ditugaskan ke grup yang sesuai sebelum melanjutkan.

Langkah 5: Migrasikan anggota ke peran Kustom

Agar kemampuan peran kustom berlaku, anggota harus memiliki peran mereka diatur ke "Peran Kustom." Anggota dengan peran Pengguna, Admin, atau Pemilik mendapatkan izin mereka dari peran tersebut secara langsung, bukan dari peran kustom.

Penting: Selesaikan langkah ini hanya setelah Anda telah membuat peran kustom, membuat grup, dan memverifikasi semua anggota ditugaskan ke grup (langkah 2–4). Anggota yang dipindahkan ke Peran Kustom sebelum setup selesai akan segera kehilangan akses ke semua fitur yang diatur.

Pilih jalur migrasi berdasarkan apakah organisasi Anda sudah mengaktifkan pemetaan grup:

Jalur A: Aktifkan pemetaan grup (hanya jika sudah digunakan)

Gunakan jalur ini hanya jika organisasi Anda sudah mengaktifkan pemetaan grup untuk penugasan peran. Jika Anda belum menggunakan pengaturan ini, lewati ke Jalur B.

  1. Navigasikan ke Pengaturan Organisasi > Identitas dan akses.

  2. Di bagian pemetaan peran, tetapkan grup IdP yang ingin Anda atur dengan peran kustom ke peran Peran Kustom.

  3. Simpan perubahan Anda. Anggota dalam grup IdP tersebut dimigrasikan ke Peran Kustom pada sinkronisasi berikutnya.

Anggota dalam grup IdP yang dipetakan ke Peran Kustom mengikuti izin peran kustom yang ditugaskan ke grup mereka di Claude. Anggota dalam grup IdP yang dipetakan ke Pengguna mengikuti pengaturan kemampuan tingkat organisasi. Jika anggota berada dalam grup di kedua pemetaan, Peran Kustom memiliki prioritas.

Jalur B: Alat penugasan massal

Gunakan jalur ini jika organisasi Anda belum mengaktifkan pemetaan grup.

Peringatan: Jika Anda belum mengaktifkan pemetaan grup, jangan aktifkan selama setup RBAC. Mengaktifkannya tanpa terlebih dahulu menugaskan semua anggota ke grup yang dipetakan dapat mengakibatkan anggota kehilangan akses ke organisasi Anda.

  1. Navigasikan ke Pengaturan Organisasi > Anggota.

  2. Gunakan filter Peran dan Grup untuk memilih anggota yang ingin Anda migrasikan.

  3. Gunakan alat penugasan massal di tabel Anggota untuk mengubah peran anggota yang dipilih ke Peran Kustom.

Kami merekomendasikan untuk memigrasikan grup pilot terlebih dahulu — satu tim atau departemen — dan memverifikasi akses mereka benar sebelum memperluas ke seluruh organisasi.

Peluncuran bertahap

Jalur mana pun yang Anda gunakan, kami merekomendasikan migrasi dalam tahap:

  1. Mulai dengan grup pilot satu tim atau departemen.

  2. Setelah migrasi, verifikasi grup pilot memiliki akses fitur yang benar berdasarkan penugasan grup dan peran mereka.

  3. Jika ada yang tidak benar, alihkan anggota yang terkena dampak kembali ke peran sebelumnya saat Anda menyesuaikan.

  4. Perluas ke lebih banyak anggota setelah Anda mengonfirmasi setup berfungsi.

Langkah 6: Aktifkan fitur di tingkat organisasi

Hanya aktifkan fitur tingkat organisasi setelah peran, grup, dan migrasi anggota selesai. Ini memastikan kemampuan peran kustom sudah ada, tanpa jendela di mana anggota yang tidak sah dapat mengakses fitur.

Untuk fitur apa pun yang ingin Anda kontrol per-grup:

  1. Navigasikan ke halaman pengaturan fitur di Pengaturan Organisasi (misalnya, Pengaturan Organisasi > Cowork).

  2. Aktifkan fitur di tingkat organisasi.

Mengaktifkan fitur di tingkat organisasi tidak berarti semua orang mendapatkannya—izin peran kustom sudah ada untuk mengontrol siapa yang dapat menggunakannya. Pikirkan toggle tingkat organisasi sebagai membuat fitur "tersedia untuk penugasan berbasis peran" daripada "aktif untuk semua orang."

Langkah 7: Verifikasi dan pantau

  1. Periksa akses secara acak: Periksa beberapa anggota dari setiap grup untuk mengonfirmasi mereka melihat fitur yang tepat.

  2. Uji status terbatas: Masuk sebagai (atau minta) anggota yang seharusnya tidak memiliki fitur seperti Cowork. Mereka harus melihatnya berwarna abu-abu dengan pesan "Hubungi admin Anda untuk meminta akses ke fitur ini."

  3. Uji status yang diberikan: Konfirmasi anggota yang seharusnya memiliki fitur melihatnya berfungsi normal.

  4. Periksa kasus tepi: Uji anggota dalam beberapa grup, anggota tanpa grup, dan anggota baru yang bergabung melalui SSO.

Perubahan izin membutuhkan waktu hingga lima menit untuk sepenuhnya disinkronkan di seluruh platform. Anggota mungkin perlu menyegarkan browser mereka untuk melihat akses yang diperbarui.

Menggunakan SCIM dengan kemampuan berbasis peran

SCIM terhubung ke kemampuan berbasis peran Anda melalui dua mekanisme yang bekerja bersama.

Pemetaan grup IdP ke peran

Ini mengontrol peran bawaan mana yang diterima anggota saat mereka disediakan. Petakan grup IdP Anda ke "Peran Kustom" sehingga akses anggota baru secara otomatis diatur oleh kemampuan peran kustom.

  1. Navigasikan ke Pengaturan Organisasi > Identitas dan akses.

  2. Di tabel pemetaan peran, petakan grup IdP Anda ke "Peran Kustom."

Sinkronisasi grup

Ini menarik grup IdP Anda ke Claude sehingga dapat ditugaskan ke peran kustom.

  1. Navigasikan ke Pengaturan Organisasi > Grup

  2. Klik "Periksa pembaruan" di bagian Sinkronisasi SCIM.

  3. Ketika diminta untuk menyinkronkan Grup, Anggota, atau Keduanya, pilih Hanya Grup. Menyinkronkan Anggota dapat mempengaruhi penyediaan dan akses anggota.

  4. Grup IdP Anda muncul sebagai grup bersumber SCIM dalam daftar.

  5. Tetapkan grup SCIM ke peran kustom seperti grup yang dibuat secara manual.

  6. Di IdP Anda, hanya dorong grup yang benar-benar ingin Anda gunakan untuk RBAC atau batas pengeluaran. Menyinkronkan semua grup IdP dapat memperlambat pemuatan halaman di bagian Grup.

Catatan: Izin peran kustom hanya berlaku untuk anggota dengan "Peran Kustom" dipilih di Pengaturan Organisasi > Organisasi. Jika Anda memetakan grup IdP ke peran berbeda (seperti Pengguna) melalui pemetaan grup-ke-peran tetapi menugaskan grup SCIM yang sama ke peran kustom, izin peran kustom tidak berpengaruh—anggota mendapatkan izin mereka dari peran yang ditugaskan sebagai gantinya. Untuk menggunakan peran kustom, pastikan grup IdP dipetakan ke "Peran Kustom."

Manajemen berkelanjutan dengan SCIM

  • Untuk memberikan akses anggota ke fitur, tambahkan mereka ke grup IdP yang sesuai. Pada sinkronisasi berikutnya, mereka mendapatkan peran kustom yang ditetapkan untuk grup tersebut.

  • Untuk mencabut akses, hapus mereka dari grup IdP. Pada sinkronisasi berikutnya, izin dihapus.

  • Klik "Sinkronisasi SCIM" di bagian Grup untuk memaksa sinkronisasi segera daripada menunggu sinkronisasi terjadwal berikutnya.

Rencana pemulihan

Jika Anda menyadari struktur peran Anda salah konfigurasi setelah migrasi:

  1. Matikan fitur tingkat organisasi apa pun yang diaktifkan sebagai bagian dari migrasi.

  2. Ubah anggota yang terpengaruh kembali ke peran bawaan sebelumnya mereka (misalnya, Pengguna).

  3. Mereka segera mendapatkan kembali izin statis dari peran tersebut, dan izin peran kustom berhenti berlaku.

  4. Sesuaikan peran dan grup sesuai kebutuhan, kemudian migrasi ulang.

Jika Anda mengaktifkan pemetaan grup selama penyiapan dan kehilangan akses admin, ikuti langkah pemulihan di Siapkan penyediaan JIT atau SCIM di bawah "Saya kehilangan akses Admin/Pemilik setelah mengaktifkan pemetaan grup."

Pertanyaan yang sering diajukan

Apakah saya perlu mengaktifkan fitur di tingkat organisasi jika saya hanya ingin beberapa anggota memilikinya?

Ya. Sakelar tingkat organisasi harus aktif agar peran kustom dapat mengontrol akses per anggota. Jika fitur dimatikan di tingkat organisasi, tidak ada yang dapat mengaksesnya terlepas dari peran mereka. Anggap saja sebagai saklar utama—peran kustom mengontrol siapa yang mendapat akses di bawahnya.

Apa yang terjadi jika anggota yang ditetapkan ke "Peran kustom" tidak berada di grup mana pun?

Mereka tidak memiliki izin peran kustom, jadi semua fitur yang memerlukan izin berwarna abu-abu atau tersembunyi. Pastikan setiap anggota yang ditetapkan ke "Peran kustom" berada di setidaknya satu grup yang ditetapkan ke peran kustom.

Bisakah saya menggunakan peran bawaan dan kustom?

Ya. Anggota dengan peran Pengguna, Admin, atau Pemilik tidak terpengaruh oleh izin peran kustom karena mereka mendapatkan izin dari peran tersebut secara langsung. Hanya anggota yang ditetapkan ke Peran kustom yang dikendalikan oleh sistem grup-dan-peran. Ini memungkinkan migrasi bertahap.

Bagaimana jika anggota berada di dua grup dengan peran berbeda?

Izin bersifat aditif. Jika peran apa pun dalam rantai anggota memberikan fitur, mereka memilikinya. Anda tidak dapat menggunakan peran untuk menghapus izin yang diberikan oleh peran lain.

Bisakah saya menggunakan grup SCIM dan grup manual bersama-sama?

Ya. Kedua jenis dapat ditetapkan ke peran kustom. Perbedaannya adalah keanggotaan grup SCIM dikelola di penyedia identitas Anda, sementara keanggotaan grup manual dikelola di pengaturan organisasi Claude.

Apakah Pemilik dan Pemilik Utama terpengaruh oleh izin peran kustom?

Tidak. Pemilik dan Pemilik Utama selalu memiliki akses penuh ke semua fitur.

Bagaimana cara kerjanya di seluruh organisasi induk dan anak?

Grup dan sinkronisasi SCIM dikelola di tingkat organisasi induk dan dibagikan di semua organisasi anak. Penugasan peran dan batas pengeluaran dikonfigurasi secara independen di setiap organisasi anak—perubahan di satu organisasi anak tidak mempengaruhi yang lain. Perubahan keanggotaan grup dan resinkronisasi SCIM menyebar di semua organisasi anak di bawah induk yang sama.

Artikel Terkait
Atur single sign-on (SSO)
Siapkan penyediaan JIT atau SCIM
Kelola anggota pada paket Team dan Enterprise
Beralih ke Identity Provider (IdP) yang Berbeda
Kelola grup dan batas pengeluaran grup pada paket Enterprise
Apakah pertanyaan Anda terjawab?