Questa guida illustra come configurare il provisioning degli utenti e l'assegnazione dei ruoli per la tua organizzazione Claude o Claude Console.
Il provisioning JIT è disponibile per i piani Team, i piani Enterprise e le organizzazioni Console. Il provisioning SCIM è disponibile solo per le organizzazioni Enterprise e Console.
Prima di iniziare: Questa guida presuppone che tu abbia già completato i passaggi in Configurare il single sign-on (SSO), inclusa la verifica del dominio e la configurazione SSO con il tuo Identity Provider (IdP), e che tu abbia un ruolo Admin (Console) o Owner (Claude).
Passaggio 1: Scegli la tua modalità di provisioning
Una volta configurato SSO, devi decidere come gli utenti verranno sottoposti a provisioning nella tua organizzazione. Questo è controllato tramite la sezione User provisioning in Impostazioni organizzazione > Organizzazione e accesso.
Opzioni di provisioning
Solo invito è l'impostazione predefinita. Gli utenti vengono aggiunti e rimossi direttamente nelle impostazioni di Claude o Console.
Just-in-time (JIT): Gli utenti assegnati alla tua app Anthropic IdP vengono automaticamente sottoposti a provisioning al primo accesso. Questa opzione è disponibile per tutti i piani.
Sincronizzazione directory SCIM: Gli utenti vengono automaticamente sottoposti a provisioning e deprovisioning in base alle assegnazioni nel tuo IdP, senza richiedere loro di accedere prima. SCIM è disponibile per i piani Enterprise e le organizzazioni Console con la propria organizzazione padre o unite a un'organizzazione padre Enterprise. SCIM non è disponibile per i piani Team o le organizzazioni Console unite all'organizzazione padre di un piano Team.
Panoramica del comportamento del provisioning
Utilizza questa tabella per decidere quale modalità di provisioning è più adatta alla tua organizzazione:
Modalità | Provisioning | Modifiche di ruolo e tipo di posto | Rimozione |
Solo invito | Gli utenti vengono aggiunti manualmente | I ruoli e i tipi di posto vengono modificati manualmente | Gli utenti vengono rimossi manualmente |
Just-in-time (JIT) | Gli utenti assegnati alla tua app IdP vengono sottoposti a provisioning al login con il ruolo Utente | I ruoli e i tipi di posto vengono modificati manualmente | Rimozione manuale richiesta: gli utenti rimossi dalla tua app IdP non possono più accedere, ma rimangono nell'elenco degli utenti fino a quando non tentano di accedere o vengono rimossi |
JIT + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono sottoposti a provisioning al login con il ruolo con le autorizzazioni più elevate dalle loro appartenenze ai gruppi | I ruoli e i tipi di posto si aggiornano al prossimo accesso in base all'appartenenza al gruppo | Gli utenti senza accesso ai gruppi non possono accedere ma rimangono nell'elenco fino al tentativo di accesso o alla rimozione manuale |
Sincronizzazione directory SCIM | Gli utenti assegnati alla tua app IdP vengono automaticamente sottoposti a provisioning in tutte le organizzazioni unite alla tua organizzazione padre. | I ruoli e i tipi di posto vengono modificati manualmente | Gli utenti rimossi dalla tua app IdP vengono automaticamente rimossi |
SCIM + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono automaticamente sottoposti a provisioning, con il ruolo appropriato, solo alle organizzazioni unite all'organizzazione padre in cui quel gruppo è stato aggiunto. | Le modifiche di ruolo e tipo di posto si propagano automaticamente in base all'appartenenza al gruppo | Rimozione automatica quando l'accesso al gruppo viene revocato |
Sia JIT che SCIM possono essere combinati con Abilita mappature di gruppo per controllare l'assegnazione del ruolo o del livello di posto in base all'appartenenza al gruppo IdP. Se selezioni una di queste opzioni per la tua modalità di provisioning, Abilita mappature di gruppo apparirà nella sezione User provisioning:
Ruoli e livelli di posto disponibili
Prodotto | Ruoli | Tipi di posto |
Piano Team | Owner, Admin, User | Premium, Standard |
Piano Enterprise basato su posti | Owner, Admin, User, Ruoli personalizzati | Premium, Standard |
Piano Enterprise basato su utilizzo (con due tipi di posto) | Owner, Admin, User, Ruoli personalizzati | Chat, Chat + Claude Code |
Piano Enterprise basato sull'utilizzo (tipo di posto singolo) | Proprietario, Amministratore, Utente, Ruoli personalizzati | Enterprise |
Console | Amministratore, Sviluppatore, Sviluppatore limitato, Fatturazione, Utente Claude Code, Utente | — |
Per informazioni sull'acquisto di posti o sulla modifica dell'allocazione dei posti del tuo piano, consulta le nostre guide per i piani Team e i piani Enterprise.
Passaggio 2: Configura la sincronizzazione della directory SCIM (se usi SCIM)
Nota: Salta questo passaggio se stai utilizzando Solo invito o provisioning JIT.
Se hai scelto SCIM come modalità di provisioning, devi stabilire la connessione tra il tuo Identity Provider e Anthropic prima di abilitarla.
Vai alle impostazioni Organizzazione e accesso in Claude (claude.ai/admin-settings/organization) o alle impostazioni Identità e accesso in Console (platform.claude.com/settings/identity)
Nella sezione Provisioning utenti, fai clic su "Configura SCIM" (o "Gestisci SCIM") accanto a Sincronizzazione directory SCIM.
Segui la guida di configurazione di WorkOS per configurare SCIM nel tuo Identity Provider. Dovrai copiare i valori da WorkOS nell'applicazione Anthropic del tuo IdP.
‼️ Quando raggiungi il passaggio IdP Group, pausa per rivedere i Passaggi 3 e 4 di questa guida, insieme alle altre guide.
Per le istruzioni di configurazione JIT / SCIM specifiche dell'IdP, consulta:
Vedi altri IdP qui
Una volta connesso il tuo IdP, continua al Passaggio 3.
Passaggio 3: Configura la modalità di provisioning e abilita i mapping dei gruppi
Trova la sezione Provisioning utenti delle tue impostazioni.
Seleziona l'opzione scelta:
Solo invito: I nuovi membri possono aderire solo se invitati manualmente da un membro esistente. L'accesso SSO da solo non li aggiungerà alla tua organizzazione.
Just-in-time (JIT): Consenti alle persone con accesso SSO di aderire al primo accesso. Ogni nuovo membro utilizza uno dei tuoi posti disponibili.
Sincronizzazione directory SCIM: Aggiungi o rimuovi automaticamente i membri mentre la tua directory cambia. La tua organizzazione rimane sempre aggiornata.
Se hai selezionato "Just-in-time (JIT)" o "Sincronizzazione directory SCIM", NON fare clic su "Salva modifiche" immediatamente. Devi prima assicurarti che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP.
Una volta confermato che tutti gli utenti sono assegnati nel tuo IdP, puoi:
Fai clic su "Salva modifiche" per completare la configurazione e attivare il provisioning iniziale, oppure
Attiva Abilita mapping dei gruppi e vai al Passaggio 4.
Importante: Il salvataggio prima che gli utenti siano correttamente assegnati comporterà il deprovisioning di tali utenti dall'organizzazione.
Passaggio 4: Configura i gruppi nel tuo Identity Provider e mappa i gruppi ai ruoli e ai tipi di posto
Crea gruppi nel tuo IdP per ogni ruolo che desideri assegnare. A meno che tu non sia nel piano Enterprise a posto singolo, crea anche gruppi per ogni tipo di posto.
Sebbene non ci siano più requisiti di denominazione per questi gruppi, consigliamo di includere qualcosa nel nome del gruppo (ad es.
anthropic-claude-oanthropic-console-) per renderli più facili da identificare.
Aggiungi utenti ai gruppi che hai creato, assicurandoti che almeno un utente (incluso te stesso) sia in un gruppo che verrà mappato a un ruolo Amministratore (Console) o Proprietario (Claude).
Torna alle impostazioni Organizzazione e accesso o Identità e accesso in Claude o Console e trova Provisioning utenti.
Attiva Abilita mapping dei gruppi (se non è già attivo):
Nella sezione Abilita mapping dei gruppi, fai clic su "Aggiungi" accanto a ogni ruolo e seleziona il gruppo corrispondente dal tuo IdP nel menu a discesa.
Quando utilizzi i mapping dei gruppi, devi assegnare tutti gli utenti a un gruppo basato su ruoli per assicurarti che venga loro fornito un account. L'assegnazione di utenti a gruppi basati su livelli di posto è facoltativa.
Puoi mappare un gruppo IdP al ruolo "Ruoli personalizzati". I membri assegnati a questo ruolo non hanno autorizzazioni predefinite: il loro accesso è determinato interamente dai ruoli personalizzati assegnati ai loro gruppi in Claude.
Per tutti i piani eccetto Enterprise a posto singolo: Nella sezione Assegna livelli di posto ai gruppi IdP (facoltativo), fai clic su "Aggiungi" accanto a ogni tipo di posto e seleziona il gruppo corrispondente dal tuo IdP. Se un utente non è assegnato a un gruppo di tipo di posto, verrà assegnato al tipo disponibile più alto per impostazione predefinita.
Per Enterprise a posto singolo: Il mapping del tipo di posto non si applica. Tutti gli utenti sottoposti a provisioning vengono automaticamente assegnati a un posto Enterprise, a condizione che uno sia disponibile nella tua organizzazione.
Verifica che tutti i gruppi necessari siano mappati ai ruoli e ai tipi di posto appropriati.
Fai clic su "Salva modifiche".
Nota: Microsoft Entra esegue il push delle modifiche SCIM solo ogni 40 minuti, quindi potrebbe esserci un ritardo prima che le modifiche vengano visualizzate. Puoi verificare quali utenti sono sincronizzati dal tuo IdP facendo clic su "Gestisci SCIM" e visualizzando la Directory. Gli utenti nella Directory verranno sottoposti a provisioning in Claude / Console.
Importante: Tutti gli utenti che necessitano di accesso devono essere assegnati ai gruppi appropriati prima di salvare la configurazione dei mapping dei gruppi. Questi utenti dovrebbero essere già assegnati alla tua applicazione Anthropic nel tuo IdP da quando hai abilitato SSO.
Risoluzione dei problemi
Gli utenti sono assegnati correttamente e visibili nella directory, ma non vengono aggiunti a Claude come membri?
Verifica di avere abbastanza posti acquistati e disponibili per aggiungere membri alla tua organizzazione.
Controlla il numero di posti disponibili mostrato in Impostazioni organizzazione > Organizzazione e accesso e acquista posti aggiuntivi se necessario (consulta le nostre guide per Piani Team e Piani Enterprise).
Una volta che hai posti disponibili, torna alla pagina Organizzazione e accesso e fai clic su "Sincronizza ora", accanto a Sincronizzazione directory (SCIM). Questo attiverà una sincronizzazione per fornire account agli utenti non ancora aggiunti come membri.
Gli utenti non vengono forniti con il ruolo corretto
Verifica che l'utente sia assegnato al gruppo corretto nel tuo IdP.
Verifica che il gruppo sia mappato al ruolo corretto nelle impostazioni Organizzazione e accesso.
Per JIT: L'utente deve disconnettersi e accedere di nuovo affinché le modifiche del ruolo abbiano effetto.
Per SCIM: Fai clic su "Sincronizza" per avviare una sincronizzazione immediata, oppure attendi il ciclo di sincronizzazione automatica:
Ho perso l'accesso da Admin/Proprietario dopo aver abilitato le mappature di gruppo
Questo accade quando la persona che configura le mappature di gruppo non è assegnata a un gruppo mappato a un ruolo Admin o Proprietario, causando il downgrade dei suoi permessi a Utente.
Per risolvere:
Opzione 1: Chiedi a un altro Admin/Proprietario di ripristinare il tuo ruolo
Contatta un altro Admin o Proprietario della tua organizzazione.
Chiedi loro di navigare a Impostazioni organizzazione > Organizzazione (per Claude) o Impostazioni > Membri (per Console).
Chiedi loro di cambiare il tuo ruolo di nuovo a Admin o Proprietario.
Opzione 2: Risolvi tramite il tuo Identity Provider
Nel tuo IdP, assegnati a un gruppo con il prefisso corretto che mappa a un ruolo Admin o Proprietario.
Per JIT: Disconnettiti e accedi di nuovo per recuperare l'accesso.
Per SCIM: Chiedi a un altro Admin o Proprietario di fare clic su "Sincronizza" nelle impostazioni Organizzazione e accesso, oppure attendi il ciclo di sincronizzazione automatica.