Il provisioning JIT è disponibile per i piani Team, i piani Enterprise e le organizzazioni Console. Il provisioning SCIM è disponibile solo per le organizzazioni Enterprise e Console.
Questa guida illustra come configurare il provisioning degli utenti e l'assegnazione dei ruoli per la tua organizzazione Claude o Claude Console.
Prima di iniziare: Questa guida presuppone che tu abbia già completato i passaggi in Configurare il single sign-on (SSO), inclusa la verifica del dominio e la configurazione SSO con il tuo Identity Provider (IdP), e che tu abbia un ruolo Admin (Console) o Owner (Claude).
Passaggio 1: Scegli la modalità di provisioning
Una volta configurato SSO, devi decidere come gli utenti verranno sottoposti a provisioning nella tua organizzazione. Questo è controllato dall'impostazione Provisioning mode in Organization settings > Identity and access.
Opzioni di provisioning
Manual è l'impostazione predefinita. Gli utenti vengono aggiunti e rimossi direttamente nelle impostazioni di Claude o Console.
JIT (Just-in-Time): Gli utenti assegnati alla tua app IdP Anthropic vengono sottoposti a provisioning automaticamente al primo accesso. Questa opzione è disponibile per tutti i piani.
SCIM: Gli utenti vengono sottoposti a provisioning e deprovisioning automaticamente in base alle assegnazioni nel tuo IdP, senza richiedere loro di accedere prima. SCIM è disponibile per i piani Enterprise e le organizzazioni Console con la propria organizzazione padre o unite a un'organizzazione padre Enterprise. SCIM non è disponibile per i piani Team o le organizzazioni Console unite a un'organizzazione padre del piano Team.
Panoramica del comportamento di provisioning
Utilizza questa tabella per decidere quale modalità di provisioning è più adatta alla tua organizzazione:
Modalità | Provisioning | Modifiche ai ruoli e ai tipi di seat | Rimozione |
Manual | Gli utenti vengono aggiunti manualmente | I ruoli e i tipi di seat vengono modificati manualmente | Gli utenti vengono rimossi manualmente |
JIT | Gli utenti assegnati alla tua app IdP vengono sottoposti a provisioning al login con il ruolo User | I ruoli e i tipi di seat vengono modificati manualmente | Rimozione manuale richiesta: gli utenti rimossi dalla tua app IdP non possono più accedere, ma rimangono nell'elenco degli utenti fino a quando non tentano di accedere o vengono rimossi |
JIT + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono sottoposti a provisioning al login con il ruolo con le autorizzazioni più elevate dalle loro appartenenze ai gruppi | I ruoli e i tipi di seat si aggiornano al prossimo login in base all'appartenenza al gruppo | Gli utenti senza accesso ai gruppi non possono accedere ma rimangono nell'elenco fino al tentativo di login o alla rimozione manuale |
SCIM | Gli utenti assegnati alla tua app IdP vengono sottoposti a provisioning automaticamente in tutte le organizzazioni unite alla tua organizzazione padre. | I ruoli e i tipi di seat vengono modificati manualmente | Gli utenti rimossi dalla tua app IdP vengono rimossi automaticamente |
SCIM + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono sottoposti a provisioning automaticamente con i ruoli appropriati | Le modifiche ai ruoli e ai tipi di seat si propagano automaticamente in base all'appartenenza al gruppo | Rimozione automatica quando l'accesso al gruppo viene revocato |
Sia JIT che SCIM possono essere combinati con Enable group mappings per controllare l'assegnazione dei ruoli o del livello di seat in base all'appartenenza al gruppo IdP.
Ruoli disponibili e livelli di seat
Prodotto | Ruoli | Tipi di seat |
Piano Team / Piano Enterprise basato su seat | Owner, Admin, User | Premium, Standard |
Piano Enterprise basato su utilizzo (con due tipi di seat) | Owner, Admin, User | Chat, Chat + Claude Code |
Piano Enterprise basato su utilizzo (tipo di seat singolo) | Owner, Admin, User | Enterprise |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Per informazioni sull'acquisto di seat o sulla regolazione dell'allocazione di seat del tuo piano, consulta le nostre guide per i piani Team e i piani Enterprise.
Passaggio 2: Configurare la sincronizzazione della directory SCIM (se si utilizza SCIM)
Nota: Salta questo passaggio se stai utilizzando il provisioning Manual o JIT.
Se hai scelto SCIM come modalità di provisioning, devi stabilire la connessione tra il tuo Identity Provider e Anthropic prima di abilitarlo.
Accedi alle impostazioni Identity and access in Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity)
Nella sezione Global access settings / Organization access, fai clic su "Setup SCIM" (o "Manage SCIM") accanto a Directory sync (SCIM).
Segui la guida di configurazione di WorkOS per configurare SCIM nel tuo Identity Provider. Dovrai copiare i valori da WorkOS nell'applicazione Anthropic del tuo IdP.
‼️ Quando raggiungi il passaggio IdP Group, pausa per rivedere i Passaggi 3 e 4 di questa guida, insieme alle altre guide.
Per le istruzioni di configurazione JIT / SCIM specifiche dell'IdP, consulta:
Consulta gli IdP aggiuntivi qui
Una volta connesso il tuo IdP, continua al Passaggio 3.
Passaggio 3: Configurare la modalità di provisioning e abilitare le mappature di gruppo
Nella sezione Global access settings / Organization access delle impostazioni Identity and access, trova Provisioning mode.
Seleziona l'opzione scelta dal menu a discesa ("Just in time (JIT)" o "Directory sync (SCIM)").
Attiva Enable group mappings se utilizzato.
Importante: NON fare clic su "Save changes" ancora. Devi prima assicurarti che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP. Quando abiliti le mappature di gruppo, gli utenti devono anche essere assegnati ai gruppi appropriati (Passaggi 4 e 5). Se salvi prima che gli utenti siano assegnati correttamente, questi utenti verranno sottoposti a deprovisioning dall'organizzazione.
Se non stai utilizzando le mappature di gruppo: Assicurati che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP per il provisioning SCIM, quindi fai clic su "Save changes" per completare la configurazione.
Passaggio 4: Configurare i gruppi e assegnare gli utenti nel tuo Identity Provider per le mappature di gruppo
Crea gruppi nel tuo IdP per ogni ruolo che desideri assegnare. A meno che tu non sia nel piano Enterprise a singolo seat, crea anche gruppi per ogni tipo di seat.
Sebbene non ci siano più requisiti di denominazione per questi gruppi, consigliamo di includere qualcosa nel nome del gruppo (ad es.
anthropic-claude-oanthropic-console-) per renderli più facili da identificare.
Aggiungi gli utenti ai gruppi che hai creato, assicurandoti che almeno un utente (incluso te stesso) sia in un gruppo che verrà mappato a un ruolo Admin (Console) o Owner (Claude).
Importante: Tutti gli utenti che necessitano di accesso devono essere assegnati ai gruppi appropriati prima di salvare la configurazione delle mappature di gruppo nel passaggio successivo. Questi utenti dovrebbero già essere assegnati alla tua applicazione Anthropic nel tuo IdP da quando hai abilitato SSO.
Passaggio 5: Mappare i gruppi ai ruoli e ai tipi di seat
Torna alle impostazioni Identity and access in Claude o Console, e attiva Enable group mappings (se non è già attivo).
Nella sezione Enable group mappings, fai clic su "Add" accanto a ogni ruolo e seleziona il gruppo corrispondente dal tuo IdP nel menu a discesa.
Per tutti i piani tranne Enterprise a singolo seat: Nella sezione Assign seat tiers to IdP groups, fai clic su "Add" accanto a ogni tipo di seat e seleziona il gruppo corrispondente dal tuo IdP. Se un utente non è assegnato a un gruppo di tipo di seat, verrà assegnato al tipo più alto disponibile per impostazione predefinita.
Per Enterprise a singolo seat: La mappatura del tipo di seat non si applica. Tutti gli utenti sottoposti a provisioning vengono automaticamente assegnati a un seat Enterprise, a condizione che uno sia disponibile nella tua organizzazione.
Verifica che tutti i gruppi necessari siano mappati ai ruoli e ai tipi di seat appropriati.
Fai clic su "Save changes."
Nota: Microsoft Entra esegue il push delle modifiche SCIM solo ogni 40 minuti, quindi potrebbe esserci un ritardo prima che le modifiche vengano visualizzate.
Risoluzione dei problemi
Gli utenti sono assegnati correttamente e visibili nella directory ma non vengono aggiunti a Claude come membri?
Verifica di avere abbastanza seat acquistati e disponibili per aggiungere membri alla tua organizzazione.
Controlla il numero di seat disponibili mostrato in Organization settings > Billing e acquista seat aggiuntivi se necessario (consulta le nostre guide per i piani Team e i piani Enterprise).
Una volta che hai seat disponibili, torna alla pagina Identity and access e fai clic su "Sync now," accanto a Directory sync (SCIM). Questo attiverà una sincronizzazione per sottoporre a provisioning gli account per gli utenti non ancora aggiunti come membri.
Gli utenti non vengono sottoposti a provisioning con il ruolo corretto
Verifica che l'utente sia assegnato al gruppo corretto nel tuo IdP.
Verifica che il gruppo sia mappato al ruolo corretto nelle impostazioni Identity and access.
Per JIT: L'utente deve disconnettersi e accedere di nuovo affinché le modifiche ai ruoli abbiano effetto.
Per SCIM: Fai clic su "Sync Now" per attivare una sincronizzazione immediata, o attendi il ciclo di sincronizzazione automatica.
Ho perso l'accesso Admin/Owner dopo aver abilitato le mappature di gruppo
Questo accade quando la persona che configura le mappature di gruppo non è assegnata a un gruppo mappato a un ruolo Admin o Owner, causando il downgrade delle sue autorizzazioni a User.
Per risolvere questo:
Opzione 1: Fai in modo che un altro Admin/Owner ripristini il tuo ruolo
Contatta un altro Admin o Owner della tua organizzazione.
Chiedi loro di navigare a Organization settings > Organization (per Claude) o Settings > Members (per Console).
Chiedi loro di cambiare il tuo ruolo di nuovo a Admin o Owner.
Opzione 2: Risolvere tramite il tuo Identity Provider
Nel tuo IdP, assegnati a un gruppo con il prefisso corretto che mappa a un ruolo Admin o Owner.
Per JIT: Disconnettiti e accedi di nuovo per riottenere l'accesso.
Per SCIM: Chiedi a un altro Admin o Owner di fare clic su "Sync Now" nelle impostazioni Identity and access, o attendi il ciclo di sincronizzazione automatica.