Lewati ke konten utama

Atur izin berbasis peran pada paket Enterprise

Panduan ini memandu Anda melalui pengaturan izin berbasis peran untuk organisasi Enterprise Anda. Ini memungkinkan Anda mengontrol fitur dan konektor mana yang dapat diakses oleh tim atau kelompok anggota tertentu, dan mendelegasikan akses admin khusus seperti penagihan atau manajemen pengguna, daripada memberikan semua orang izin yang sama.

Sebelum Anda mulai, pastikan Anda sudah familiar dengan:


Sebelum Anda mulai

Anda memerlukan akses Owner atau Primary Owner ke organisasi Enterprise Anda, atau peran kustom dengan Identity & Access diatur ke Kelola.

Catatan: Beberapa langkah ini memerlukan lebih dari peran kustom Identity & Access: mengaktifkan fitur di tingkat organisasi memerlukan peran Owner, dan mengubah peran anggota memerlukan User Management diatur ke Kelola.

Periksa kemampuan mana yang diaktifkan di tingkat organisasi. Buka Pengaturan Organisasi dan pastikan Anda tahu kemampuan mana yang dapat diakses anggota saat ini. Untuk pengaturan yang dikelola oleh RBAC, baik pengaturan organisasi maupun pengaturan peran harus aktif agar pengguna mendapatkan akses.

Cadangkan daftar anggota Anda. Ekspor CSV anggota Anda saat ini dari Pengaturan Organisasi > Anggota sebelum membuat perubahan apa pun. Jika ada yang salah selama migrasi, ini memberi Anda referensi untuk memulihkan akses. Lihat Kelola anggota pada paket Team dan Enterprise.

Tentukan tim atau fungsi mana yang memerlukan setiap kemampuan. Misalnya, Engineering mendapatkan Claude Code + Fast Mode dan Marketing mendapatkan Cowork + Web Search. Dari sini, tentukan peran kustom Anda.

Paket dual-seat. Jika organisasi Anda berada di paket Enterprise dual-seat (dengan kursi Chat dan Chat + Claude Code), peran kustom tidak mengganti pembatasan tingkat seat. Anggota yang ditugaskan ke seat Chat-only tidak dapat mengakses Claude Code bahkan jika peran kustom mereka memberikannya. Hal yang sama berlaku sebaliknya: jika peran kustom anggota tidak memberikan kemampuan chat, mereka tidak akan memiliki akses chat terlepas dari jenis seat mereka. Rencanakan struktur peran Anda dengan penugasan seat dalam pikiran.

Catatan: "Chat + Claude Code" mengacu pada jenis seat pada paket dual-seat legacy. Kemampuan "chat" dalam peran kustom terpisah—ini mengatur akses chat untuk anggota mana pun yang perannya diatur ke "Kustom" pada paket apa pun.

Tentukan cara Anda akan membuat grup. Anda dapat membuat grup secara manual di Claude, atau menyinkronkannya dari penyedia identitas (IdP) Anda melalui SCIM. Anda juga dapat menggunakan kedua metode secara bersamaan. Jika Anda berencana menggunakan grup IdP dari Okta, Entra ID, atau penyedia lain, pastikan sinkronisasi direktori SCIM dikonfigurasi. Lihat Atur penyediaan JIT atau SCIM.

Tambahkan konektor yang Anda rencanakan untuk diatur. Izin konektor hanya mencakup konektor yang telah ditambahkan Owner atau Primary Owner di bawah Pengaturan Organisasi > Konektor dan terhubung dengan kredensial admin. Tinjau kebijakan alat organisasi Anda di sana juga, karena pemberian peran mempersempit di dalamnya dan tidak dapat memperluas melampaui itu. Lihat Gunakan konektor untuk memperluas kemampuan Claude.


Merencanakan struktur peran Anda

Sebelum membuat apa pun, tentukan fitur mana yang harus diakses oleh setiap tim atau kelompok anggota. Berikut adalah empat pola umum:

Peran dasar plus aditif

Ini adalah pendekatan yang direkomendasikan untuk sebagian besar organisasi. Buat peran "Standard Access" untuk semua orang dengan fitur umum seperti web search, memory, dan projects. Kemudian buat peran aditif yang memberikan kemampuan khusus — misalnya, peran "Cowork Enabled" yang hanya menambahkan Cowork. Tugaskan semua anggota ke peran dasar melalui grup "All Users", dan tambahkan anggota tertentu ke grup tambahan yang menambahkan fitur ekstra.

Pola ini fleksibel karena izin bersifat aditif — menggabungkan peran dasar dengan peran aditif mengkomposisi dengan bersih tanpa konflik.

Peran berbasis tingkat

Buat tingkat yang berbeda: "Full Access" dengan semua fitur, "Standard Access" dengan sebagian besar fitur, dan "Restricted Access" dengan fitur minimal. Setiap anggota masuk ke dalam satu grup yang ditugaskan ke satu tingkat.

Peran berbasis departemen

Buat peran yang memetakan ke departemen: "Engineering" dengan chat, Cowork, Claude Code, dan code execution; "Research" dengan chat, web search, memory, dan projects; "Business" dengan chat, web search dan projects saja. Tugaskan setiap grup departemen ke peran yang sesuai.

Peran delegasi admin

Buat peran yang mendelegasikan bagian dari administrasi tanpa memberikan peran Owner. Peran kustom dengan izin admin tidak perlu kemampuan pengguna apa pun, dan sebaliknya. Anda dapat membuat peran "Finance" yang memberikan akses Billing tetapi tidak ada kemampuan chat atau Claude Code, atau peran "Engineering Lead" yang memberikan akses Claude Code plus Analytics view. Pelajari lebih lanjut tentang izin admin untuk peran kustom.


Langkah 1: Audit pengaturan Anda saat ini

  1. Tinjau fitur mana yang saat ini diaktifkan atau dinonaktifkan di tingkat organisasi di Pengaturan Organisasi > Kemampuan.

  2. Buka Pengaturan Organisasi > Anggota untuk mengekspor atau meninjau daftar anggota Anda.

  3. Catat peran bawaan saat ini setiap anggota (User, Admin, atau Owner).

  4. Untuk setiap tim atau departemen, tentukan fitur mana yang mereka butuhkan akses.

Gambar halaman Pengaturan Organisasi di Claude, dengan kotak di sekitar bagian People yang berisi tiga opsi: Members, Groups, dan Roles.

Ingat: fitur apa pun yang ingin Anda kontrol per-grup harus diaktifkan di tingkat organisasi. Jika fitur dimatikan di tingkat organisasi, tidak ada peran kustom yang dapat memberikan akses ke fitur tersebut.

Penting: Tidak seperti anggota dengan peran User, anggota yang ditugaskan ke peran kustom tidak secara otomatis mewarisi kemampuan yang diaktifkan organisasi. Setiap kemampuan yang dibutuhkan anggota peran "Custom" harus secara eksplisit diberikan oleh peran kustom yang ditugaskan ke salah satu grup mereka.


Langkah 2: Buat peran kustom

Buat peran kustom Anda sebelum mengaktifkan fitur apa pun atau memigrasikan anggota. Ini memastikan peran Anda siap untuk memberlakukan akses pada saat fitur dihidupkan.

  1. Klik "Tambah peran."

  2. Beri nama peran dan aktifkan kemampuan yang sesuai di tab Kemampuan.

  3. Di tab Izin, atur izin admin untuk peran. Lihat Langkah 3.

  4. Di tab Konektor, atur izin konektor untuk peran. Lihat Langkah 4.

  5. Di tab Model, atur akses model dan model default untuk peran. Lihat Langkah 5.

  6. Klik "Simpan peran."

  7. Ulangi untuk setiap peran dalam rencana Anda.

Perubahan peran mungkin memerlukan waktu hingga 15 menit untuk diterapkan. Anggota mungkin perlu menyegarkan browser mereka untuk melihat akses yang diperbarui.

Lihat Kelola peran kustom pada paket Enterprise untuk detail tentang kemampuan yang tersedia, izin admin, dan konektor.


Langkah 3: Konfigurasikan izin admin (opsional)

Atur izin admin pada setiap peran untuk mendelegasikan akses ke pengaturan admin, seperti penagihan, manajemen pengguna, atau privasi, tanpa memberikan peran Owner. Langkah ini opsional. Jika Anda tidak mengonfigurasinya, peran tidak memberikan akses admin dan administrasi tetap bersama Owner dan Primary Owner. Untuk apa yang dicakup setiap area izin, lihat Kelola peran kustom pada paket Enterprise.

Temukan tab Izin

  1. Buka peran yang sudah ada, atau klik "Tambah peran" untuk membuat yang baru.

  2. Pilih tab Izin, di antara Kemampuan dan Konektor.

Atur izin admin

Tab Izin mencantumkan setiap area admin: Identitas & Akses, Penagihan, Analitik, Privasi, Manajemen Pengguna, dan Perpustakaan. Atur setiap area admin ke salah satu opsi berikut:

  • Tanpa akses: Anggota tidak melihat area ini di pengaturan organisasi mereka.

  • Dapat melihat: Tampilan memberikan akses baca saja. Anggota melihat halaman dan pengaturan yang sama seperti seseorang yang dapat mengelola area tersebut, tetapi setiap kontrol dinonaktifkan atau ditampilkan sebagai baca saja. Gunakan tingkat izin ini untuk pengulas kepatuhan, auditor keuangan, tim keamanan, atau siapa pun yang perlu melihat konfigurasi tanpa mengubahnya.

  • Dapat mengelola: Kelola memberikan akses baca dan tulis penuh ke area dan mencakup akses tampilan.

Dalam suatu area, Anda memberikan semua Tampilan atau semua Kelola. Anda tidak dapat memberikan atau membatasi halaman atau pengaturan individual.

Catatan: Peran dengan Identitas & Akses diatur ke Kelola dapat membuat dan mengedit grup dan peran, termasuk definisi peran mereka sendiri. Anggota dengan izin ini dapat memperluas akses mereka sendiri, jadi cadangkan untuk administrator keamanan dan IT yang terpercaya.

Verifikasi penegakan

Verifikasi izin admin setelah Anda telah memigrasikan anggota ke peran "Kustom" (Langkah 7). Lihat Langkah 11: Verifikasi dan pantau.


Langkah 4: Konfigurasi izin konektor (opsional)

Atur izin konektor pada setiap peran untuk mengontrol konektor mana, dan alat mana pada konektor tersebut, yang dapat digunakan peran. Langkah ini opsional. Jika Anda tidak mengonfigurasinya, peran Anda kembali ke perilaku default yang dijelaskan di bawah. Untuk cara kerja model izin dari awal hingga akhir, lihat Kelola peran kustom pada paket Enterprise.

Penting: Ketika Anthropic mengaktifkan izin konektor untuk organisasi Anda, setiap peran kustom yang ada diberi benih dengan hibah "Semua konektor" pada "Selalu izinkan." Karena "Selalu izinkan" adalah hibah paling permisif, kebijakan alat organisasi Anda saja menentukan batas efektif setiap anggota saat pengaktifan. Anggota tidak mendapatkan atau kehilangan akses saat pengaktifan. Lintasan konfigurasi pertama Anda mempersempit dari garis dasar itu.

Catatan: Peran yang baru dibuat secara default "Memerlukan persetujuan" pada setiap konektor. Alur buat-peran melangkah melalui tab Konektor sehingga Anda melihat default ini sebelum menyimpan. Naikkan konektor ke "Selalu izinkan" atau turunkan ke "Diblokir" sesuai kebutuhan.

Temukan tab Konektor

  1. Buka peran yang sudah ada, atau klik "Tambah peran" untuk membuat yang baru.

  2. Pilih tab Konektor, di sebelah Izin.

Pengaturan default untuk peran baru bersifat permisif. Saat membuat atau memodifikasi peran, konfirmasi pengaturan pada setiap tab untuk menghindari pemberian izin yang tidak disengaja.

Atur izin tingkat konektor

Tab Konektor mencantumkan baris Semua konektor di bagian atas, diikuti oleh setiap konektor yang telah ditambahkan organisasi Anda. Setiap baris memiliki dropdown dengan empat opsi:

  • Selalu izinkan: Setiap alat pada konektor tersedia, dan anggota dapat mengatur persetujuan mereka sendiri ke "Selalu izinkan."

  • Memerlukan persetujuan: Setiap alat tersedia, tetapi anggota mengonfirmasi setiap panggilan.

  • Diblokir: Konektor disembunyikan dari anggota dengan peran ini.

  • Kustom: Atur setiap alat pada konektor secara individual. Lihat "Atur izin per-alat" di bawah.

Memilih "Selalu izinkan," "Memerlukan persetujuan," atau "Diblokir" menerapkan tingkat itu ke setiap alat pada konektor. Baris Semua konektor bekerja dengan cara yang sama satu tingkat lebih tinggi: baris tersebut menetapkan garis dasar untuk setiap konektor sekaligus, termasuk konektor apa pun yang Anda tambahkan nanti. Gunakan untuk menetapkan default peran, lalu ganti konektor individual.

Atur izin per-alat

Atur konektor ke Kustom untuk mengungkapkan alatnya sebagai baris individual. Setiap alat memiliki dropdown sendiri: "Selalu izinkan," "Memerlukan persetujuan," atau "Diblokir."

Izin per-alat memungkinkan peran mencapai bagian dari konektor. Misalnya, dengan Jira diatur ke Kustom, alatnya search_issues diatur ke "Memerlukan persetujuan," dan setiap alat Jira lainnya diatur ke "Diblokir," anggota dengan peran dapat mencari Jira tetapi tidak ada yang lain. Claude hanya melihat alat yang telah Anda berikan, jadi memintanya membuat tiket mengembalikan "Saya tidak memiliki alat untuk itu" daripada kesalahan.

Tinjau konflik lintas peran

Karena izin konektor bersifat aditif di seluruh peran, memblokir konektor dalam satu peran tidak berpengaruh pada anggota yang juga memegang peran lain yang memberikannya. Setiap baris konektor menampilkan peringatan ketika peran lain memberikan konektor yang sama pada tingkat yang berbeda. Peringatan tersebut menamai peran-peran itu dan menautkan ke mereka, dan hibah paling permisif adalah yang berlaku.

Jika Anda memiliki pengeditan yang belum disimpan saat Anda membuka peran yang ditautkan, Anda diminta untuk membuangnya terlebih dahulu.

Verifikasi penegakan

Verifikasi izin konektor setelah Anda telah memigrasikan anggota ke peran "Kustom" (Langkah 7). Lihat Langkah 11: Verifikasi dan pantau.

Penting: Jika organisasi Anda menggunakan Claude Code, mengaktifkan izin konektor juga menerapkan kebijakan alat organisasi Anda ke Claude Code. Ini hanya dapat mempersempit akses alat di sana, tidak pernah memperluas, dan mempengaruhi semua anggota. Tinjau kebijakan alat organisasi Anda sebelum pengaktifan jika Claude Code tersebar luas. Izin konektor dan Pengaturan Terkelola Claude Code terdiri dari yang paling ketat. Lihat Pengaturan Claude Code.


Langkah 5: Konfigurasi akses model (opsional)

Atur akses model pada setiap peran untuk mengontrol model Claude mana yang dapat digunakan peran, batasi tingkat upaya maksimum per model, dan pilih model yang dimulai percakapan baru. Langkah ini opsional; jika Anda tidak mengonfigurasinya, peran baru dapat menggunakan setiap model yang diaktifkan di tingkat organisasi, pada tingkat upaya apa pun, dan mulai pada model default organisasi.

Untuk cara kerja akses model dan pengaturan model default dari awal hingga akhir, lihat Kelola akses model untuk organisasi Anda dan Atur model default untuk organisasi Anda.

Temukan tab Model

  1. Buka peran yang sudah ada, atau klik "Tambah peran" untuk membuat yang baru.

  2. Pilih tab Model, di sebelah Konektor.

Atur akses model

Di bawah Akses model, aktifkan atau nonaktifkan setiap model untuk peran ini. Model yang dinonaktifkan di tingkat organisasi muncul tetapi tidak dapat diaktifkan di sini sampai Anda mengaktifkannya untuk organisasi di Pengaturan organisasi > Model. Model Haiku selalu aktif dan tidak dapat dinonaktifkan.

Untuk membatasi tingkat upaya yang dapat dipilih peran pada model, klik ikon roda gigi di sebelah model dan pilih tingkat.

Di bawah Model default, secara opsional pilih model yang dimulai percakapan baru untuk peran ini. Hanya model yang memiliki akses peran yang dapat dipilih.

Verifikasi penegakan

Verifikasi akses model setelah Anda telah memigrasikan anggota ke peran "Kustom". Lihat Langkah 11: Verifikasi dan pantau.


Langkah 6: Buat grup dan tetapkan peran

  1. Klik "Tambah grup" untuk membuat grup untuk setiap tim atau tingkat dalam paket Anda.

  2. Tambahkan anggota ke grup yang sesuai.

  3. Tetapkan setiap grup ke peran kustom yang Anda buat di langkah 2.

Jika Anda menggunakan sinkronisasi direktori SCIM, Anda dapat menyinkronkan grup dari penyedia identitas Anda alih-alih membuatnya secara manual. Untuk detail tentang sinkronisasi grup SCIM, lihat Kelola grup dan batas pengeluaran grup pada paket Enterprise.

Beberapa organisasi di bawah organisasi induk yang sama: Grup dikelola di tingkat organisasi induk dan menyebar ke semua organisasi anak. Anda mungkin melihat anggota dari organisasi lain yang terdaftar dalam grup—ini tidak berarti mereka memiliki akses ke organisasi Anda. Peran kustom yang ditetapkan ke grup hanya memberikan kemampuan kepada anggota yang merupakan bagian dari organisasi spesifik Anda.

Jika Anda meminta untuk memindahkan organisasi dari satu induk ke induk lainnya (ini jarang terjadi dalam praktik), grup dan peran akan menjadi tidak terdefinisi dan Anda perlu membuat ulang mereka.

Penting: Jika organisasi Anda menggunakan Undangan saja atau penyediaan JIT, Anda hanya dapat menggunakan grup yang dibuat secara manual untuk RBAC. Grup yang disinkronkan SCIM tidak didukung dalam mode ini.


Langkah 7: Verifikasi penugasan grup dan peran

Sebelum memigrasikan anggota ke peran kustom, konfirmasi bahwa setiap anggota yang Anda rencanakan untuk dimigrasikan berada di setidaknya satu grup yang ditetapkan ke peran kustom. Anggota yang dimigrasikan tanpa cakupan grup atau peran akan kehilangan akses ke semua fitur yang diatur.

  1. Gunakan filter Peran dan Grup untuk mengidentifikasi anggota yang tidak ditetapkan ke grup apa pun.

  2. Alternatifnya, klik "Ekspor CSV" untuk mengunduh daftar anggota lengkap dengan kolom peran dan grup untuk ditinjau.

  3. Tambahkan anggota yang tidak ditugaskan ke grup yang sesuai sebelum melanjutkan.


Langkah 8: Migrasikan anggota ke peran kustom

Agar kemampuan peran kustom berlaku, anggota harus memiliki peran mereka diatur ke "Kustom." Anggota dengan peran Pengguna, Admin, atau Pemilik mendapatkan izin mereka dari peran tersebut secara langsung, bukan dari peran kustom.

Penting: Selesaikan langkah ini hanya setelah Anda telah membuat peran kustom Anda, mengonfigurasi izin admin dan konektor jika Anda menggunakannya, membuat grup Anda, dan memverifikasi semua anggota ditugaskan ke grup. Anggota yang dipindahkan ke peran kustom sebelum pengaturan selesai akan segera kehilangan akses ke semua fitur yang diatur dan peran sebelumnya mereka. Mengalihkan Pemilik atau Admin ke peran kustom menghapus akses Pemilik atau Admin mereka, jadi jangan migrasikan Pemilik atau Admin kecuali Anda bermaksud mengganti akses itu dengan izin peran kustom.

Pilih jalur migrasi berdasarkan apakah organisasi Anda sudah mengaktifkan pemetaan grup:

Jalur A: Aktifkan pemetaan grup (hanya jika sudah digunakan)

Gunakan jalur ini hanya jika organisasi Anda sudah mengaktifkan pemetaan grup untuk penugasan peran. Jika Anda belum menggunakan pengaturan ini, lewati ke Jalur B.

  1. Di bagian pemetaan peran, tetapkan grup IdP yang ingin Anda atur dengan peran kustom ke peran "Kustom".

  2. Simpan perubahan Anda. Anggota dalam grup IdP tersebut dimigrasikan ke peran "Kustom" pada sinkronisasi berikutnya.

Anggota dalam grup IdP yang dipetakan ke peran "Kustom" mengikuti izin peran kustom yang ditetapkan ke grup mereka di Claude. Anggota dalam grup IdP yang dipetakan ke Pengguna mengikuti pengaturan kemampuan tingkat organisasi. Jika anggota berada dalam grup di kedua pemetaan, peran "Kustom" memiliki prioritas.

Jalur B: Alat penugasan massal

Gunakan jalur ini jika organisasi Anda belum mengaktifkan pemetaan grup.

Peringatan: Jika Anda belum mengaktifkan pemetaan grup, jangan aktifkan selama pengaturan RBAC. Mengaktifkannya tanpa terlebih dahulu menugaskan semua anggota ke grup yang dipetakan dapat mengakibatkan anggota kehilangan akses ke organisasi Anda.

  1. Gunakan filter Peran dan Grup untuk memilih anggota yang ingin Anda migrasikan.

  2. Gunakan alat penugasan massal di tabel Anggota untuk mengubah peran anggota yang dipilih menjadi "Kustom."

Kami merekomendasikan memigrasikan grup pilot terlebih dahulu—satu tim atau departemen—dan memverifikasi akses mereka benar sebelum memperluas ke seluruh organisasi.

Peluncuran bertahap

Jalur mana pun yang Anda gunakan, kami merekomendasikan migrasi dalam tahap:

  1. Mulai dengan grup pilot satu tim atau departemen.

  2. Setelah migrasi, verifikasi grup pilot memiliki akses fitur yang benar berdasarkan penugasan grup dan peran mereka.

  3. Jika ada yang tidak benar, alihkan anggota yang terpengaruh kembali ke peran sebelumnya saat Anda menyesuaikan.

  4. Perluas ke lebih banyak anggota setelah Anda mengonfirmasi pengaturan berfungsi.


Langkah 9: Aktifkan fitur di tingkat organisasi

Hanya aktifkan fitur tingkat organisasi setelah peran, grup, dan migrasi anggota selesai. Ini memastikan kemampuan peran kustom sudah ada, tanpa jendela di mana anggota yang tidak sah dapat mengakses fitur.

Untuk fitur apa pun yang ingin Anda kontrol per-grup:

  1. Navigasi ke halaman pengaturan fitur di Pengaturan Organisasi (misalnya, Pengaturan Organisasi > Cowork).

  2. Aktifkan fitur di tingkat organisasi.

Mengaktifkan fitur di tingkat organisasi tidak berarti semua orang mendapatkannya—izin peran kustom sudah ada untuk mengontrol siapa yang dapat menggunakannya. Pikirkan sakelar tingkat organisasi sebagai membuat fitur "tersedia untuk penugasan berbasis peran" daripada "aktif untuk semua orang."


Langkah 10: Terapkan batas pengeluaran grup (hanya organisasi berbasis penggunaan)

Navigasi ke halaman "Penggunaan" untuk menugaskan batas pengeluaran bulanan per pengguna ke grup apa pun.

Perhatikan aturan prioritas berikut:

  • Batas individual selalu menggantikan batas grup, terlepas dari mana yang lebih tinggi.

  • Jika pengguna termasuk dalam beberapa grup dengan batas berbeda, pengaturan Batas pengeluaran multi-grup di bawah Default pengeluaran mengontrol apakah batas yang lebih tinggi atau lebih rendah berlaku.

  • Batas seluruh organisasi tetap menjadi batas keras.

Perubahan keanggotaan berlaku secara otomatis—pengguna mewarisi atau kehilangan batas segera setelah keanggotaan grup mereka berubah. Hanya relevan untuk organisasi dengan penagihan berbasis penggunaan.


Langkah 11: Verifikasi dan pantau

  1. Periksa akses secara acak: Buka menu "⋮" di sisi kanan baris anggota di Pengaturan Organisasi > Anggota dan pilih "Lihat peran efektif." Modal menampilkan setiap kemampuan, izin admin, dan konektor yang dimiliki anggota di semua peran mereka, dengan label "Diberikan oleh" yang menunjukkan peran mana yang memberikan masing-masing. Anda dapat melakukan hal yang sama untuk grup dari Pengaturan Organisasi > Grup. Untuk detail, lihat Kelola peran khusus pada paket Enterprise.

  2. Uji status terbatas: Masuk sebagai (atau minta) anggota yang seharusnya tidak memiliki fitur seperti Cowork. Mereka harus melihatnya berwarna abu-abu dengan pesan "Hubungi admin Anda untuk meminta akses ke fitur ini."

  3. Uji status yang diberikan: Konfirmasi bahwa anggota yang seharusnya memiliki fitur melihatnya berfungsi normal.

  4. Periksa kasus tepi: Uji anggota di beberapa grup, anggota tanpa grup, dan anggota baru yang bergabung melalui SSO.

Jika Anda mengonfigurasi izin admin, juga periksa:

  • Penugasan grup dan peran: Pemilik dapat memverifikasi akses anggota dengan memeriksa penugasan grup mereka di halaman Anggota dan peran yang ditetapkan grup tersebut di halaman Peran.

  • Pengaturan organisasi: Di pengaturan organisasi, anggota hanya melihat bagian yang dicakup oleh izin admin mereka. Semuanya tersembunyi dari pengaturan mereka. Anggota dengan akses tampilan melihat halaman sebagai baca saja, dengan kontrol dinonaktifkan.

  • Akses analitik: Anggota dengan akses Analitik akan melihat analitik di Pengaturan > Analitik, bukan pengaturan organisasi.

Jika Anda mengonfigurasi izin konektor, juga periksa:

  • Menu konektor: konektor yang diblokir tidak muncul, dan konektor dengan setidaknya satu alat yang diberikan muncul.

  • Pengaturan konektor: alat yang diblokir berwarna abu-abu dengan "Alat ini tidak diaktifkan untuk peran Anda. Hubungi administrator Anda." Alat yang dibatasi pada "Memerlukan persetujuan" menampilkan menu persetujuan pribadi yang terbatas pada "Minta" dan "Jangan pernah."

  • Dalam percakapan: minta Claude menggunakan alat yang diblokir, dan itu melaporkan tidak memiliki alat untuk tugas tersebut. Minta untuk menggunakan alat "Memerlukan persetujuan", dan prompt persetujuan muncul tanpa opsi "Selalu izinkan".

Jika Anda mengonfigurasi akses model, juga periksa:

  • Pemilih model: model yang dinonaktifkan tidak muncul, dan menu upaya berhenti pada batas peran.

  • Dalam percakapan: minta anggota untuk beralih ke model yang dinonaktifkan. Itu tidak boleh terdaftar, dan di Claude Code CLI, /model <disabled-model> mengembalikan kesalahan.

Perubahan peran dapat memakan waktu hingga 15 menit untuk diterapkan di seluruh platform. Anggota mungkin perlu menyegarkan browser mereka untuk melihat akses yang diperbarui.


Menggunakan SCIM dengan kemampuan berbasis peran

SCIM terhubung ke kemampuan berbasis peran Anda melalui dua mekanisme yang bekerja bersama.

Pemetaan grup IdP ke peran

Ini mengontrol peran bawaan mana yang diterima anggota saat disediakan. Petakan grup IdP Anda ke peran "Khusus" sehingga akses anggota baru secara otomatis diatur oleh kemampuan peran khusus.

  1. Di tabel pemetaan peran, petakan grup IdP Anda ke peran "Khusus".

Sinkronisasi grup

Ini menarik grup IdP Anda ke Claude sehingga dapat ditetapkan ke peran khusus.

  1. Klik "Periksa pembaruan" di bagian Sinkronisasi SCIM.

  2. Ketika diminta untuk menyinkronkan Grup, Anggota, atau Keduanya, pilih Grup saja. Menyinkronkan Anggota dapat mempengaruhi penyediaan dan akses anggota.

  3. Grup IdP Anda muncul sebagai grup bersumber SCIM dalam daftar.

  4. Tetapkan grup SCIM ke peran khusus seperti grup yang dibuat secara manual.

  5. Di IdP Anda, hanya dorong grup yang benar-benar Anda maksudkan untuk digunakan untuk RBAC atau batas pengeluaran. Menyinkronkan semua grup IdP dapat memperlambat pemuatan halaman di bagian Grup.

Catatan: Izin peran khusus hanya berlaku untuk anggota dengan peran "Khusus" yang dipilih di Pengaturan Organisasi > Anggota. Jika Anda memetakan grup IdP ke peran berbeda (seperti Pengguna) melalui pemetaan grup-ke-peran tetapi menetapkan grup SCIM yang sama ke peran khusus, izin peran khusus tidak berpengaruh—anggota mendapatkan izin mereka dari peran yang ditetapkan sebagai gantinya. Untuk menggunakan peran khusus, pastikan grup IdP dipetakan ke "Khusus."

Manajemen berkelanjutan dengan SCIM

  • Untuk memberikan akses anggota ke fitur, tambahkan mereka ke grup IdP yang sesuai. Pada sinkronisasi berikutnya, mereka mengambil peran khusus yang ditetapkan ke grup tersebut.

  • Untuk mencabut akses, hapus mereka dari grup IdP. Pada sinkronisasi berikutnya, izin dihapus.

  • Klik "Sinkronisasi SCIM" di bagian Grup untuk memaksa sinkronisasi segera daripada menunggu sinkronisasi terjadwal berikutnya.


Rencana rollback

Jika Anda memperhatikan struktur peran Anda salah dikonfigurasi setelah migrasi:

  1. Matikan fitur tingkat organisasi apa pun yang diaktifkan sebagai bagian dari migrasi.

  2. Ubah anggota yang terpengaruh kembali ke peran bawaan sebelumnya mereka (misalnya, Pengguna).

  3. Mereka segera mendapatkan kembali izin statis dari peran tersebut, dan izin peran khusus berhenti berlaku.

  4. Sesuaikan peran dan grup sesuai kebutuhan, kemudian migrasi ulang.

Jika Anda mengaktifkan pemetaan grup selama penyiapan dan kehilangan akses admin, ikuti langkah pemulihan di Siapkan penyediaan JIT atau SCIM di bawah "Saya kehilangan akses Admin/Pemilik setelah mengaktifkan pemetaan grup."


Pertanyaan yang sering diajukan

Apakah saya perlu mengaktifkan fitur di tingkat organisasi jika saya hanya ingin beberapa anggota memilikinya?

Ya. Tombol tingkat organisasi harus aktif agar peran khusus dapat mengontrol akses per anggota. Jika fitur dimatikan di tingkat organisasi, tidak ada yang dapat mengaksesnya terlepas dari peran mereka. Anggap saja sebagai saklar utama—peran khusus mengontrol siapa yang mendapat akses di bawahnya.

Apa yang terjadi jika anggota yang perannya diatur ke "Khusus" tidak berada di grup mana pun?

Mereka tidak memiliki izin peran khusus, jadi semua fitur yang memerlukan izin berwarna abu-abu atau tersembunyi. Pastikan setiap anggota yang perannya diatur ke "Khusus" berada di setidaknya satu grup yang ditetapkan ke peran khusus.

Model hilang dari pemilih model anggota.

Model tersebut dinonaktifkan di tingkat organisasi (Pengaturan Organisasi > Model) atau tidak ada peran kustom anggota yang memberikannya. Penonaktifan tingkat organisasi memengaruhi semua orang, termasuk Pemilik dan Admin.

Bagaimana jika peran kustom tidak memberikan akses obrolan?

Anggota dalam peran tersebut tidak akan melihat antarmuka obrolan Claude. Mereka akan mendarat di halaman pengaturan mereka saat masuk. Jika peran mereka memberikan produk lain seperti Cowork atau Claude Code, produk tersebut tetap dapat diakses dari halaman pengaturan mereka dan dari aplikasi yang relevan.

Obrolan diaktifkan secara default di semua peran kustom, jadi Anda hanya perlu khawatir tentang ini jika Anda sengaja menonaktifkan obrolan untuk suatu peran.

Bisakah saya menggunakan peran bawaan dan kustom?

Ya. Anggota dengan peran Pengguna, Admin, atau Pemilik tidak terpengaruh oleh izin peran kustom karena mereka mendapatkan izin dari peran tersebut secara langsung. Hanya anggota dengan peran yang ditetapkan ke "Kustom" yang dikendalikan oleh sistem grup-dan-peran. Ini memungkinkan migrasi bertahap.

Bagaimana jika anggota berada di dua grup dengan peran berbeda?

Izin bersifat aditif. Jika peran apa pun dalam rantai anggota memberikan fitur, mereka memilikinya. Anda tidak dapat menggunakan peran untuk menghapus izin yang diberikan oleh peran lain.

Bisakah saya menggunakan grup SCIM dan grup manual bersama-sama?

Ya. Kedua jenis dapat ditugaskan ke peran kustom. Perbedaannya adalah keanggotaan grup SCIM dikelola di penyedia identitas Anda, sementara keanggotaan grup manual dikelola di pengaturan organisasi Claude.

Apakah Pemilik dan Pemilik Utama terpengaruh oleh izin peran kustom?

Tidak. Pemilik dan Pemilik Utama selalu memiliki akses penuh ke semua fitur.

Bagaimana cara kerjanya di seluruh organisasi induk dan anak?

Grup dan sinkronisasi SCIM dikelola di tingkat organisasi induk dan dibagikan di semua organisasi anak. Penugasan peran dan batas pengeluaran dikonfigurasi secara independen di setiap organisasi anak—perubahan di satu organisasi anak tidak memengaruhi organisasi lain. Perubahan keanggotaan grup dan resinkronisasi SCIM menyebar di semua organisasi anak di bawah induk yang sama.

Apa yang terjadi pada peran kustom yang ada ketika izin konektor diaktifkan?

Setiap peran yang ada ditanam dengan pemberian "Semua konektor" pada "Selalu izinkan," jadi akses anggota tidak berubah saat pengaktifan. Anda mempersempit akses dari sana.

Apa izin konektor default pada peran baru?

"Memerlukan persetujuan" pada setiap konektor. Alur pembuatan-peran melangkah melalui tab Konektor sehingga Anda melihat ini sebelum menyimpan.

Apa yang terjadi ketika saya menambahkan konektor baru setelah peran saya ada?

Peran yang baris "Semua konektor" ditetapkan ke "Selalu izinkan," "Memerlukan persetujuan," atau "Diblokir" mencakup konektor baru pada tingkat itu secara otomatis. Peran yang baris "Semua konektor" ditetapkan ke "Kustom" memperlakukan konektor baru sebagai "Diblokir" sampai Anda menetapkannya.

Saya memblokir konektor dalam peran, tetapi anggota dengan peran tersebut masih dapat menggunakannya. Mengapa?

Periksa apakah anggota memiliki peran lain yang memberikannya, karena pemberian paling permisif menang di seluruh peran. Peringatan konflik pada baris konektor mencantumkan peran tersebut. Juga konfirmasi bahwa peran anggota ditetapkan ke "Kustom."

Kebijakan alat organisasi saya yang luas sudah memblokir alat. Apakah saya perlu memblokir di setiap peran?

Tidak. Kebijakan organisasi-luas adalah batas atas. Alat yang diblokir di sana diblokir untuk semua orang, terlepas dari pemberian peran.

Bisakah peran memberikan alat yang kebijakan organisasi-luas menetapkan ke "Memerlukan persetujuan"?

Peran dapat memberikannya, tetapi pengaturan yang lebih ketat menang, jadi anggota melihatnya dibatasi pada "Memerlukan persetujuan." Untuk membiarkan anggota menetapkan "Selalu izinkan," naikkan kebijakan organisasi-luas ke "Selalu izinkan" terlebih dahulu.

Bisakah saya memberikan satu alat pada konektor tanpa memberikan seluruh konektor?

Ya. Atur konektor ke "Kustom," atur satu alat ke "Selalu izinkan" atau "Memerlukan persetujuan," dan biarkan sisanya "Diblokir."

Apakah izin konektor berlaku untuk alat bawaan seperti pencarian web atau eksekusi kode?

Tidak. Fitur bawaan diatur di tab Kemampuan. Tab Konektor mengatur konektor yang telah ditambahkan organisasi Anda.

Seberapa cepat perubahan izin konektor berlaku?

Perubahan peran dapat memakan waktu hingga 15 menit untuk berlaku. Anggota mungkin perlu menyegarkan browser mereka.

Bisakah seseorang dalam peran kustom dengan izin memberi diri mereka sendiri akses lebih?

Hanya jika peran mereka mencakup Identitas & Akses yang ditetapkan ke Kelola, yang mencakup pengeditan peran dan grup. Cadangkan izin itu untuk administrator keamanan dan IT terpercaya, karena dapat digunakan untuk mengubah definisi peran termasuk milik mereka sendiri.

Bisakah saya memberikan izin admin kepada anggota pada peran Pengguna, Admin, Pemilik, atau Pemilik Utama?

Tidak. Izin admin hanya berlaku untuk anggota dalam peran kustom. Anggota pada peran bawaan mempertahankan akses yang diberikan peran tersebut. Untuk memberi seseorang izin admin spesifik, ubah anggota ke peran kustom dan tambahkan mereka ke grup yang ditugaskan ke peran dengan izin yang mereka butuhkan. Ingat bahwa ini menghapus akses peran bawaan mereka sebelumnya.

Apa yang dilihat seseorang ketika mereka tidak memiliki izin untuk pengaturan tertentu?

Pengaturan organisasi hanya menampilkan bagian yang izin mereka cakup. Bagian yang tidak mereka miliki akses disembunyikan sepenuhnya dari pengaturan organisasi mereka.

Bagaimana cara saya mengaudit siapa yang memiliki akses admin?

Pengaturan Organisasi > Peran menampilkan izin admin yang diberikan setiap peran kustom, dan Pengaturan Organisasi > Grup menampilkan grup mana yang ditugaskan ke setiap peran dan siapa yang termasuk di dalamnya. Untuk memeriksa anggota tertentu, cari grup mereka di Pengaturan Organisasi > Anggota, kemudian peran yang ditugaskan grup tersebut.

Bagaimana jika seseorang membutuhkan izin di berbagai area?

Buat satu peran yang memberikan akses ke berbagai area, atau tambahkan anggota ke beberapa grup yang perannya mencakup area yang mereka butuhkan. Izin menggabungkan secara aditif.

Apakah pertanyaan Anda terjawab?