Il provisioning JIT è disponibile per i piani Team, i piani Enterprise e le organizzazioni Console. Il provisioning SCIM è disponibile solo per le organizzazioni Enterprise e Console.
Questa guida illustra come configurare il provisioning degli utenti e l'assegnazione dei ruoli per la tua organizzazione Claude o Claude Console.
Prima di iniziare: Questa guida presuppone che tu abbia già completato i passaggi in Configurare l'accesso Single Sign-On (SSO), inclusa la verifica del dominio e la configurazione SSO con il tuo Identity Provider (IdP), e che tu abbia un ruolo Admin (Console) o Owner (Claude).
Passaggio 1: Scegli la tua modalità di provisioning
Una volta configurato SSO, devi decidere come gli utenti verranno sottoposti a provisioning nella tua organizzazione. Questo è controllato dall'impostazione Modalità di provisioning in Organizzazione impostazioni > Identità e accesso.
Opzioni di provisioning
Solo invito è l'impostazione predefinita. Gli utenti vengono aggiunti e rimossi direttamente nelle impostazioni di Claude o Console.
Approva automaticamente (JIT): Gli utenti assegnati alla tua app IdP Anthropic vengono automaticamente sottoposti a provisioning al primo accesso. Questa opzione è disponibile per tutti i piani.
Sincronizza con SCIM: Gli utenti vengono automaticamente sottoposti a provisioning e deprovisioning in base alle assegnazioni nel tuo IdP, senza richiedere loro di accedere prima. SCIM è disponibile per i piani Enterprise e le organizzazioni Console con la propria organizzazione padre o unite a un'organizzazione padre Enterprise. SCIM non è disponibile per i piani Team o le organizzazioni Console unite all'organizzazione padre di un piano Team.
Panoramica del comportamento di provisioning
Utilizza questa tabella per decidere quale modalità di provisioning è più adatta alla tua organizzazione:
Modalità | Provisioning | Modifiche ai ruoli e ai tipi di posto | Rimozione |
Solo invito | Gli utenti vengono aggiunti manualmente | I ruoli e i tipi di posto vengono modificati manualmente | Gli utenti vengono rimossi manualmente |
Approva automaticamente (JIT) | Gli utenti assegnati alla tua app IdP vengono sottoposti a provisioning al login con il ruolo Utente | I ruoli e i tipi di posto vengono modificati manualmente | Rimozione manuale richiesta: gli utenti rimossi dalla tua app IdP non possono più accedere, ma rimangono nell'elenco degli utenti fino a quando non tentano di accedere o vengono rimossi |
JIT + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono sottoposti a provisioning al login con il ruolo con le autorizzazioni più elevate dalle loro appartenenze ai gruppi | I ruoli e i tipi di posto si aggiornano al prossimo accesso in base all'appartenenza al gruppo | Gli utenti senza accesso ai gruppi non possono accedere ma rimangono nell'elenco fino al tentativo di accesso o alla rimozione manuale |
Sincronizza con SCIM | Gli utenti assegnati alla tua app IdP vengono automaticamente sottoposti a provisioning in tutte le organizzazioni unite alla tua organizzazione padre. | I ruoli e i tipi di posto vengono modificati manualmente | Gli utenti rimossi dalla tua app IdP vengono automaticamente rimossi |
SCIM + mappature di gruppo | Gli utenti in almeno un gruppo mappato vengono automaticamente sottoposti a provisioning, con il ruolo appropriato, solo nell'organizzazione (o nelle organizzazioni) unite all'organizzazione padre in cui quel gruppo è stato aggiunto. | Le modifiche ai ruoli e ai tipi di posto si propagano automaticamente in base all'appartenenza al gruppo | Rimozione automatica quando l'accesso al gruppo viene revocato |
Sia JIT che SCIM possono essere combinati con Abilita mappature di gruppo per controllare l'assegnazione del ruolo o del livello di posto in base all'appartenenza al gruppo IdP. Se selezioni una di queste opzioni per la tua modalità di provisioning, Abilita mappature di gruppo apparirà all'interno di quella sezione:
Ruoli e livelli di posto disponibili
Prodotto | Ruoli | Tipi di posto |
Piano Team / Piano Enterprise basato su posti | Owner, Admin, User | Premium, Standard |
Piano Enterprise basato su utilizzo (con due tipi di posto) | Owner, Admin, User | Chat, Chat + Claude Code |
Piano Enterprise basato su utilizzo (tipo di posto singolo) | Owner, Admin, User | Enterprise |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Per informazioni sull'acquisto di posti o sulla modifica dell'allocazione dei posti del tuo piano, consulta le nostre guide per i piani Team e i piani Enterprise.
Passaggio 2: Configura la sincronizzazione della directory SCIM (se utilizzi SCIM)
Nota: Salta questo passaggio se utilizzi il provisioning Solo invito o JIT.
Se hai scelto SCIM come modalità di provisioning, devi stabilire la connessione tra il tuo Identity Provider e Anthropic prima di abilitarla.
Accedi alle impostazioni di identità e accesso in Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity)
Nella sezione Impostazioni di accesso globale, fai clic su "Configura SCIM" (o "Gestisci SCIM") accanto a Sincronizzazione directory (SCIM).
Segui la guida di configurazione di WorkOS per configurare SCIM nel tuo Identity Provider. Dovrai copiare i valori da WorkOS nell'applicazione Anthropic del tuo IdP.
‼️ Quando raggiungi il passaggio IdP Group, pausa per rivedere i Passaggi 3 e 4 di questa guida, insieme alle altre guide.
Per le istruzioni di configurazione JIT / SCIM specifiche dell'IdP, consulta:
Vedi altri IdP qui
Una volta connesso il tuo IdP, continua al Passaggio 3.
Passaggio 3: Configura la modalità di provisioning e abilita i mapping dei gruppi
Nella sezione Impostazioni di accesso globale delle tue impostazioni di identità e accesso, trova Modalità di provisioning.
Seleziona l'opzione scelta dal menu a discesa:
Solo invito: I nuovi membri possono aderire solo se invitati manualmente da un membro esistente. L'accesso SSO da solo non li aggiungerà alla tua organizzazione.
Approva automaticamente (JIT): Consenti alle persone con accesso SSO di aderire al primo accesso. Ogni nuovo membro utilizza uno dei tuoi posti disponibili.
Sincronizza con SCIM: Aggiungi o rimuovi automaticamente i membri mentre la tua directory cambia. La tua organizzazione rimane sempre aggiornata.
Se hai selezionato "Approva automaticamente (JIT)" o "Sincronizza con SCIM", NON fare clic su "Salva modifiche" immediatamente. Devi prima assicurarti che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP.
Una volta confermato che tutti gli utenti sono assegnati nel tuo IdP, puoi:
Fare clic su "Salva modifiche" per completare la configurazione e attivare il provisioning iniziale, oppure
Attiva Abilita mapping dei gruppi e passa al Passaggio 4.
Importante: Il salvataggio prima che gli utenti siano correttamente assegnati comporterà il deprovisioning di tali utenti dall'organizzazione.
Passaggio 4: Configura i gruppi nel tuo Identity Provider e mappa i gruppi ai ruoli e ai tipi di posto
Crea gruppi nel tuo IdP per ogni ruolo che desideri assegnare. A meno che tu non sia nel piano Enterprise a posto singolo, crea anche gruppi per ogni tipo di posto.
Sebbene non ci siano più requisiti di denominazione per questi gruppi, consigliamo di includere qualcosa nel nome del gruppo (ad es.
anthropic-claude-oanthropic-console-) per facilitarne l'identificazione.
Aggiungi utenti ai gruppi che hai creato, assicurandoti che almeno un utente (incluso te stesso) sia in un gruppo che verrà mappato a un ruolo Admin (Console) o Owner (Claude).
Torna alle tue impostazioni di identità e accesso in Claude o Console e trova Modalità di provisioning.
Attiva Abilita mapping dei gruppi (se non è già attivo):
Nella sezione Abilita mapping dei gruppi, fai clic su "Aggiungi" accanto a ogni ruolo e seleziona il gruppo corrispondente dal tuo IdP nel menu a discesa.
Nota: Quando utilizzi i mapping dei gruppi, devi assegnare tutti gli utenti a un gruppo basato su ruoli per assicurarti che venga eseguito il provisioning di un account. L'assegnazione di utenti a gruppi basati su livelli di posto è facoltativa.
Per tutti i piani eccetto Enterprise a posto singolo: Nella sezione Assegna livelli di posto ai gruppi IdP (facoltativo), fai clic su "Aggiungi" accanto a ogni tipo di posto e seleziona il gruppo corrispondente dal tuo IdP. Se un utente non è assegnato a un gruppo di tipo di posto, verrà assegnato al tipo disponibile più alto per impostazione predefinita.
Per Enterprise a posto singolo: Il mapping del tipo di posto non si applica. Tutti gli utenti di cui è stato eseguito il provisioning vengono automaticamente assegnati a un posto Enterprise, a condizione che uno sia disponibile nella tua organizzazione.
Verifica che tutti i gruppi necessari siano mappati ai ruoli e ai tipi di posto appropriati.
Fai clic su "Salva modifiche".
Nota: Microsoft Entra esegue il push delle modifiche SCIM solo ogni 40 minuti, quindi potrebbe esserci un ritardo prima che le modifiche vengano visualizzate. Puoi verificare quali utenti sono sincronizzati dal tuo IdP facendo clic su "Gestisci SCIM" e visualizzando la Directory. Gli utenti nella Directory verranno sottoposti a provisioning su Claude / Console.
Importante: Tutti gli utenti che necessitano di accesso devono essere assegnati ai gruppi appropriati prima di salvare la configurazione del mapping dei gruppi. Questi utenti dovrebbero essere già assegnati alla tua applicazione Anthropic nel tuo IdP da quando hai abilitato SSO.
Risoluzione dei problemi
Gli utenti assegnati correttamente e visualizzati nella directory non vengono aggiunti a Claude come membri?
Verifica di avere abbastanza posti acquistati e disponibili per aggiungere membri alla tua organizzazione.
Controlla il numero di posti disponibili mostrato in Organizzazione impostazioni > Fatturazione e acquista posti aggiuntivi se necessario (consulta le nostre guide per i piani Team e i piani Enterprise).
Una volta che hai posti disponibili, torna alla pagina Identità e accesso e fai clic su "Sincronizza ora", accanto a Sincronizzazione directory (SCIM). Questo attiverà una sincronizzazione per eseguire il provisioning degli account per gli utenti non ancora aggiunti come membri.
Agli utenti non viene assegnato il ruolo corretto
Verifica che l'utente sia assegnato al gruppo corretto nel tuo IdP.
Verifica che il gruppo sia mappato al ruolo corretto nelle impostazioni di identità e accesso.
Per JIT: L'utente deve disconnettersi e accedere di nuovo per applicare i cambiamenti di ruolo.
Per SCIM: Fai clic su "Sincronizza ora" per avviare una sincronizzazione immediata, oppure attendi il ciclo di sincronizzazione automatica.
Ho perso l'accesso da Admin/Owner dopo aver abilitato le mappature di gruppo
Questo accade quando la persona che configura le mappature di gruppo non è assegnata a un gruppo mappato a un ruolo Admin o Owner, causando il downgrade dei suoi permessi a Utente.
Per risolvere:
Opzione 1: Chiedi a un altro Admin/Owner di ripristinare il tuo ruolo
Contatta un altro Admin o Owner della tua organizzazione.
Chiedi loro di navigare a Impostazioni organizzazione > Organizzazione (per Claude) o Impostazioni > Membri (per Console).
Chiedi loro di cambiare il tuo ruolo di nuovo a Admin o Owner.
Opzione 2: Risolvi tramite il tuo Identity Provider
Nel tuo IdP, assegnati a un gruppo con il prefisso corretto che mappa a un ruolo Admin o Owner.
Per JIT: Disconnettiti e accedi di nuovo per recuperare l'accesso.
Per SCIM: Chiedi a un altro Admin o Owner di fare clic su "Sincronizza ora" nelle impostazioni di identità e accesso, oppure attendi il ciclo di sincronizzazione automatica.