Vai al contenuto principale

Configurazione del provisioning JIT o SCIM

Aggiornato oltre 3 settimane fa

Il provisioning JIT è disponibile per i piani Team, i piani Enterprise e le organizzazioni Console. Il provisioning SCIM è disponibile solo per le organizzazioni Enterprise e Console.

Questa guida illustra come configurare il provisioning degli utenti e l'assegnazione dei ruoli per la tua organizzazione Claude o Claude Console.

Prima di iniziare: Questa guida presuppone che tu abbia già completato i passaggi in Configurazione del Single Sign-On (SSO), inclusa la verifica del dominio e la configurazione SSO con il tuo Identity Provider (IdP), e che tu abbia un ruolo Admin (Console) o Owner (Claude).

Passaggio 1: Scegli la tua modalità di provisioning

Una volta configurato SSO, devi decidere come gli utenti verranno forniti alla tua organizzazione. Questo è controllato dall'impostazione Provisioning mode nelle tue impostazioni di Identity and access.

Opzioni di provisioning

Manual è l'impostazione predefinita. Gli utenti vengono aggiunti e rimossi direttamente nelle impostazioni di Claude o Console.

JIT (Just-in-Time): Gli utenti assegnati alla tua app IdP Anthropic vengono automaticamente forniti al primo accesso. Questa opzione è disponibile per tutti i piani.

SCIM: Gli utenti vengono automaticamente forniti e rimossi in base alle assegnazioni nel tuo IdP, senza richiedere loro di accedere prima. SCIM è disponibile per i piani Enterprise e le organizzazioni Console con la propria organizzazione padre o unite a un'organizzazione padre Enterprise. SCIM non è disponibile per i piani Team o le organizzazioni Console unite all'organizzazione padre di un piano Team.

Panoramica del comportamento di provisioning

Utilizza questa tabella per decidere quale modalità di provisioning è più adatta alla tua organizzazione:

Modalità

Provisioning

Modifiche di ruolo e livello di posto

Rimozione

Manual

Gli utenti vengono aggiunti manualmente

I ruoli e i livelli di posto vengono modificati manualmente

Gli utenti vengono rimossi manualmente

JIT

Gli utenti assegnati alla tua app IdP vengono forniti al login con il ruolo User

I ruoli e i livelli di posto vengono modificati manualmente

Rimozione manuale richiesta: gli utenti rimossi dalla tua app IdP non possono più accedere, ma rimangono nell'elenco degli utenti fino a quando non tentano di accedere o vengono rimossi

JIT + mappature di gruppo avanzate

Gli utenti in almeno un gruppo mappato vengono forniti al login con il ruolo con le autorizzazioni più elevate dalle loro appartenenze ai gruppi

I ruoli e i livelli di posto si aggiornano al prossimo accesso in base all'appartenenza al gruppo

Gli utenti senza accesso al gruppo non possono accedere ma rimangono nell'elenco fino al tentativo di accesso o alla rimozione manuale

SCIM

Gli utenti assegnati alla tua app IdP vengono automaticamente forniti a tutte le organizzazioni unite alla tua organizzazione padre.

I ruoli e i livelli di posto vengono modificati manualmente

Gli utenti rimossi dalla tua app IdP vengono automaticamente rimossi

SCIM + mappature di gruppo avanzate

Gli utenti in almeno un gruppo mappato vengono automaticamente forniti con i ruoli appropriati

Le modifiche di ruolo e livello di posto si propagano automaticamente in base all'appartenenza al gruppo

Rimozione automatica quando l'accesso al gruppo viene revocato

Sia JIT che SCIM possono essere combinati con Advanced Group Mappings per controllare l'assegnazione di ruoli o livelli di posto in base all'appartenenza al gruppo IdP.

Ruoli e livelli di posto disponibili

Prodotto

Ruoli

Livelli di posto

Claude (Team/Enterprise)

Owner, Admin, User

Premium, Standard

Console

Admin, Developer, Billing, Claude Code User, User

Per istruzioni dettagliate su come aggiungere e rimuovere membri, consulta Acquisto e gestione dei posti.

Passaggio 2: Configura la sincronizzazione della directory SCIM (se usi SCIM)

Nota: Salta questo passaggio se stai utilizzando il provisioning Manual o JIT.

Se hai scelto SCIM come modalità di provisioning, devi stabilire la connessione tra il tuo Identity Provider e Anthropic prima di abilitarla.

  1. Accedi alle tue impostazioni di Identity and access in Claude (claude.ai/admin-settings/identity) o Console (platform.claude.com/settings/identity)

  2. Nella sezione "Global SSO Configuration", fai clic su "Setup SCIM" (o "Manage SCIM") accanto a "Directory sync (SCIM)".

  3. Segui la guida di configurazione di WorkOS per configurare SCIM nel tuo Identity Provider. Dovrai copiare i valori da WorkOS nell'applicazione Anthropic del tuo IdP.

‼️ Quando raggiungi il passaggio IdP Group, pausa per rivedere i Passaggi 3 e 4 di questa guida, insieme alle altre guide.

Per istruzioni di configurazione JIT / SCIM specifiche per IdP, consulta:

Una volta connesso il tuo IdP, continua al Passaggio 3.

Passaggio 3: Configura la modalità di provisioning e le mappature di gruppo avanzate

  1. Nella sezione Organization SSO Configuration delle tue impostazioni di Identity and access, trova Provisioning mode.

  2. Seleziona l'opzione scelta dal menu a discesa ("Just in time (JIT)" o "Directory sync (SCIM)").

  3. Attiva Advanced group mappings se utilizzato.

    1. Importante: NON fare clic su "Save changes" ancora. Devi prima assicurarti che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP. Per Advanced Group Mappings, gli utenti devono anche essere assegnati ai gruppi appropriati (Passaggi 4 e 5). Salvare prima che gli utenti siano correttamente assegnati comporterà il deprovisioning di tali utenti dall'organizzazione.

  4. Se non stai utilizzando Advanced Group Mappings: Assicurati che tutti gli utenti siano assegnati alla tua applicazione Anthropic nel tuo IdP per il provisioning SCIM, quindi fai clic su "Save changes" per completare la tua configurazione.

Passaggio 4: Configura i gruppi e assegna gli utenti nel tuo Identity Provider per le mappature di gruppo avanzate

  1. Crea gruppi nel tuo IdP per ogni ruolo e livello di posto che desideri assegnare.

    1. Sebbene non ci siano più requisiti di denominazione per questi gruppi, consigliamo di includere qualcosa nel nome del gruppo (ad es. anthropic-claude- o anthropic-console-) per renderli più facili da identificare.

  2. Aggiungi utenti ai gruppi che hai creato, assicurandoti che almeno un utente (incluso te stesso) sia in un gruppo che verrà mappato a un ruolo Admin (Console) o Owner (Claude).

Importante: Tutti gli utenti che hanno bisogno di accesso devono essere assegnati ai gruppi appropriati prima di salvare la configurazione di Advanced Group Mappings nel passaggio successivo. Questi utenti dovrebbero già essere assegnati alla tua applicazione Anthropic nel tuo IdP da quando hai abilitato SSO.

Passaggio 5: Mappa i gruppi ai ruoli e ai livelli di posto

  1. Torna alle tue impostazioni di Identity and access in Claude o Console, e attiva Advanced group mappings (se non è già attivo).

  2. Nella sezione Role mappings, fai clic su "Add" accanto a ogni ruolo e seleziona il gruppo corrispondente dal tuo IdP nel menu a discesa.

  3. Per le organizzazioni Claude: Nella sezione Seat tier mappings, fai clic su "Add" accanto a ogni livello (Premium, Standard) e seleziona il gruppo corrispondente. Se un utente non è assegnato a un gruppo di livello di posto, verrà assegnato al livello disponibile più alto per impostazione predefinita.

  4. Verifica che tutti i gruppi necessari siano mappati ai ruoli e ai livelli di posto appropriati.

  5. Fai clic su "Save changes".

Nota: Microsoft Entra esegue il push delle modifiche SCIM solo ogni 40 minuti, quindi potrebbe esserci un ritardo prima che le modifiche vengano visualizzate.

Risoluzione dei problemi

Gli utenti sono assegnati correttamente e visibili nella directory ma non vengono aggiunti a Claude come membri?

Verifica di avere abbastanza posti acquistati e disponibili per aggiungere membri alla tua organizzazione.

  1. Controlla "Total seats" mostrato nella pagina Organization, se necessario, acquista posti aggiuntivi.

  2. Una volta che hai posti disponibili, torna alla pagina Identity and access e fai clic su "Sync now," accanto a Directory sync (SCIM). Questo attiverà una sincronizzazione per fornire account per gli utenti non ancora aggiunti come membri.

Gli utenti non vengono forniti con il ruolo corretto

  1. Verifica che l'utente sia assegnato al gruppo corretto nel tuo IdP.

  2. Verifica che il gruppo sia mappato al ruolo corretto nelle tue impostazioni di Identity and access.

  3. Per JIT: L'utente deve disconnettersi e accedere di nuovo affinché le modifiche del ruolo abbiano effetto.

  4. Per SCIM: Fai clic su "Sync Now" per richiedere una sincronizzazione immediata, o attendi il ciclo di sincronizzazione automatica.

Ho perso l'accesso Admin/Owner dopo aver abilitato Advanced Group Mappings

Questo accade quando la persona che configura Advanced Group Mappings non è assegnata a un gruppo mappato a un ruolo Admin o Owner, causando il downgrade delle sue autorizzazioni a User. Per risolvere questo:

Opzione 1: Fai in modo che un altro Admin/Owner ripristini il tuo ruolo

  1. Contatta un altro Admin o Owner della tua organizzazione.

  2. Chiedi loro di navigare a Admin settings > Organization (per Claude) o Settings > Members (per Console).

  3. Chiedi loro di cambiare il tuo ruolo di nuovo a Admin o Owner.

Opzione 2: Risolvi tramite il tuo Identity Provider

  1. Nel tuo IdP, assegnati a un gruppo con il prefisso corretto che mappa a un ruolo Admin o Owner.

  2. Per JIT: Disconnettiti e accedi di nuovo per riottenere l'accesso.

  3. Per SCIM: Chiedi a un altro Admin o Owner di fare clic su "Sync Now" nelle impostazioni di Identity and access, o attendi il ciclo di sincronizzazione automatica.

Articoli correlati
Qual è il piano Team?
Qual è il piano Enterprise?
Considerazioni Importanti Prima di Abilitare Single Sign-On (SSO) e Provisioning JIT/SCIM
Come posso eliminare il mio account Claude Console?
Gestione dei membri nei piani Team e Enterprise
Hai ricevuto la risposta alla tua domanda?