Vai al contenuto principale

Mancata corrispondenza SSO/SCIM Email — Google Workspace

Riepilogo: Claude utilizza l'email come identificatore principale per abbinare gli accessi SSO ai posti assegnati. In Google Workspace, il provisioning automatico SCIM e SSO SAML possono inviare valori email diversi — soprattutto quando gli utenti hanno alias email — causando una mancata corrispondenza che blocca l'accesso.

Sintomi

Gli utenti potrebbero riscontrare uno o più dei seguenti problemi quando tentano di accedere a Claude for Enterprise tramite SSO:

  • "La creazione dell'account è bloccata" — L'utente si autentica tramite SSO ma Claude non riesce a trovare un account assegnato corrispondente. Se la tua organizzazione ha la creazione di organizzazioni limitata (consigliato), l'utente è completamente bloccato e non può procedere.

  • Accesso a un account personale gratuito — Se la creazione di organizzazioni non è limitata, l'utente aggira completamente l'organizzazione aziendale e crea o accede a un account personale gratuito invece del suo posto aziendale.

  • Mancata corrispondenza "Conferma la tua email" — Il callback SSO mostra un'email diversa da quella che l'utente ha inserito al momento dell'accesso.

  • Errore di autenticazione di Claude Code — La CLI di Claude Code mostra un errore di mancata corrispondenza email durante il flusso di autenticazione, impedendo all'utente di connettersi all'organizzazione aziendale.

Come accade

Gli account utente di Google Workspace hanno un'email principale e possono avere più alias. Il provisioning SCIM e SSO SAML sono configurati separatamente nella console di amministrazione di Google e possono estrarre da campi di indirizzo diversi:

Attributo Google

Valore tipico

Comunemente utilizzato da

primaryEmail

[email protected]

Consigliato per SCIM e SAML

Alias email

[email protected], [email protected]

A volte mappati per errore in SCIM

Campi schema personalizzati

Attributi personalizzati definiti per organizzazione

Mappature di attributi avanzate

Email dell'unità organizzativa

Varianti di indirizzo derivate da OU

Raramente, in strutture organizzative complesse

La mancata corrispondenza più comune: SCIM è configurato per inviare un indirizzo alias mentre SAML invia l'email principale (o viceversa). Poiché gli alias e le email principali sono stringhe diverse, Claude non può abbinarli. Claude richiede una corrispondenza esatta della stringa.

Confusione comune: In Google Admin, le impostazioni di provisioning automatico SCIM e la mappatura degli attributi SAML si trovano su schede separate all'interno della stessa app. Gli amministratori a volte aggiornano una e perdono l'altra. Verifica entrambe le posizioni.

Passaggi diagnostici

Passaggio 1 — Confermare la mancata corrispondenza

  1. Controlla l'email SCIM: Nella console di amministrazione di Google, vai a App → App web e mobili → [Claude App] → Provisioning automatico. Controlla quale attributo è mappato al campo email inviato a Claude.

  2. Controlla l'email SAML: Nella stessa app, vai alla sezione Mappatura attributi SAML. Trova l'attributo mappato a email e annota la sua origine.

  3. Controlla un utente specifico: In Directory → Utenti → [Utente], confronta l'Email principale dell'utente con eventuali Email alias elencate.

Passaggio 2 — Identificare l'ambito del problema

Determina se si tratta di un utente interessato o di un problema sistemico:

  • Se la maggior parte o tutti gli utenti assegnati condividono la stessa mancata corrispondenza di formato email, questo è un problema di mappatura degli attributi sistemico. La soluzione è nella mappatura degli attributi SCIM del tuo IdP.

  • Se solo uno o due utenti sono interessati, il problema è probabilmente specifico di quegli account utente. Controlla il loro profilo utente direttamente.

Passaggio 3 — Controllare Name ID nella configurazione SAML

  1. Nelle impostazioni dell'app, vai a SAML → Dettagli del provider di servizi.

  2. Conferma che Name ID sia impostato su Informazioni di base → Email principale.

  3. Se Name ID è impostato su un campo schema personalizzato o alias, potrebbe inviare un valore diverso da SCIM.

Risoluzione

Allinea entrambe le mappature a primaryEmail

Il primaryEmail di Google Workspace è la fonte più affidabile per SCIM e SAML.

  1. Aggiorna il provisioning SCIM: In App → App web e mobili → [Claude App] → Provisioning automatico → Mappatura attributi, assicurati che l'attributo email sia mappato a primaryEmail.

  2. Aggiorna SAML Name ID: In SAML → Dettagli del provider di servizi, imposta Name ID su Informazioni di base → Email principale.

  3. Aggiorna la mappatura degli attributi SAML: Nel passaggio Mappatura attributi, assicurati che l'attributo email sia mappato su Informazioni di base → Email principale.

  4. Salva tutte le modifiche.

Attiva una risincronizzazione completa

Critico — Risincronizzazione completa richiesta: Una risincronizzazione incrementale non aggiornerà gli utenti esistenti dopo aver modificato una mappatura di attributi. Devi attivare un riavvio completo del ciclo di provisioning.

  1. Nella console di amministrazione di Google, vai alle impostazioni di Provisioning automatico dell'app.

  2. Sospendi temporaneamente il provisioning, quindi riabilitalo. Questo attiva una sincronizzazione completa di tutti gli utenti assegnati.

  3. In alternativa, rimuovi e aggiungi di nuovo gli utenti interessati dall'assegnazione dell'app per forzare il reprovisioning dei loro singoli record.

  4. Monitora i log di provisioning per gli errori e conferma che le email degli utenti siano state aggiornate per corrispondere al formato SAML prima di chiedere agli utenti di riprovare.

Pulizia post-correzione

Dopo aver corretto la mappatura degli attributi e completato la sincronizzazione completa, potrebbe essere necessaria una pulizia aggiuntiva:

  • Account gratuiti non autorizzati: Se la creazione di organizzazioni non era limitata prima della correzione, alcuni utenti potrebbero aver creato accidentalmente account Claude personali gratuiti. Contatta Anthropic Support per farli rimuovere.

  • Account fantasma (posti con email errata): Gli account originariamente assegnati (con l'email errata) potrebbero ancora esistere nella tua organizzazione aziendale, occupando posti. Contatta Anthropic Support per deprovisionare questi account fantasma.

  • Disponibilità dei posti: Se gli account fantasma occupano tutti i posti contrattuali, i nuovi accessi falliranno con un errore di esaurimento dei posti. Il deprovisioning degli account fantasma libera quei posti.

  • Aggiunta di utenti interessati: Dopo la rimozione degli account fantasma, gli utenti con l'email corretta potrebbero aver bisogno di essere reinvitati o reprovisioned.

Previeni occorrenze future: Abilita "Limita creazione organizzazione" nelle impostazioni aziendali. Questo impedisce agli utenti non ancora assegnati di creare accidentalmente account personali gratuiti.

Verifica

  1. Controlla un campione di utenti assegnati — conferma che la loro email nel log di provisioning del tuo IdP corrisponda al formato email che SSO invia.

  2. Chiedi a un utente interessato di cancellare i cookie del browser per claude.ai, quindi accedi tramite SSO. Dovrebbe accedere direttamente all'area di lavoro aziendale senza errori.

  3. Conferma che gli utenti non stiano creando accidentalmente account gratuiti — se la creazione di organizzazioni è limitata, gli utenti bloccati vedranno un errore chiaro invece di accedere a un account personale.

  4. Se Claude Code è stato interessato, chiedi all'utente di eseguire di nuovo claude auth login --enterprise e conferma che l'email corrisponda al suo posto aziendale.

Insidie comuni

Insidia

Soluzione

SCIM invia un alias mentre SAML invia l'email principale

Usa sempre primaryEmail per entrambi.

Name ID nelle impostazioni SAML non è stato controllato

Il campo Name ID determina l'email inviata al momento dell'accesso. Questo è separato dalla sezione di mappatura degli attributi. Controlla entrambi.

Il campo schema personalizzato è vuoto per alcuni utenti

Attieniti agli attributi Google standard come primaryEmail.

Il reprovisioning non si attiva automaticamente dopo il cambio di mappatura

Potrebbe essere necessario sospendere e riabilitare manualmente il provisioning per forzare una sincronizzazione completa.

L'email principale dell'utente è cambiata ma la vecchia email appare ancora in Claude

È necessaria una risincronizzazione completa dopo i cambiamenti dell'email principale.

Le email sono state aggiornate in SCIM ma l'utente non riesce ancora ad accedere

Controlla la presenza di organizzazioni gratuite non autorizzate o account fantasma. Cancella i cookie del browser e riprova.

Quando contattare Anthropic Support

  • Gli attributi SCIM e SSO sembrano identici ma gli utenti non riescono ancora ad accedere ai loro posti.

  • Hai bisogno di confermare quale email Claude ha registrato durante il provisioning SCIM per utenti specifici.

  • Hai bisogno di aiuto per pulire gli account fantasma o le organizzazioni gratuite non autorizzate.

  • Gli utenti stanno ricevendo un errore di esaurimento dei posti nonostante il tuo contratto abbia posti disponibili.

Contatta [email protected] con il dominio della tua organizzazione, l'indirizzo email dell'utente interessato e screenshot delle tue mappature di attributi.

Articoli correlati
Mancata corrispondenza email SSO/SCIM — Microsoft Entra ID
Mancata corrispondenza email SSO/SCIM — Okta
Mancata corrispondenza email SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Configurazione SSO — Google Workspace
Hai ricevuto la risposta alla tua domanda?