Vai al contenuto principale

Mancata corrispondenza email SSO/SCIM — Microsoft Entra ID

Cosa copre questa guida: Claude utilizza l'email come identificatore principale per abbinare gli accessi SSO agli account forniti. In Microsoft Entra ID, il provisioning SCIM e l'autenticazione SSO sono configurati in posizioni separate e possono estrarre l'email da attributi utente diversi — causando una mancata corrispondenza che blocca l'accesso. Questa guida illustra come identificare il problema, correggere il mapping degli attributi e pulire eventuali effetti collaterali.

Sintomi

Gli utenti potrebbero riscontrare uno o più dei seguenti problemi quando tentano di accedere a Claude for Enterprise tramite SSO:

  • "La creazione dell'account è bloccata" — L'utente si autentica tramite SSO ma Claude non riesce a trovare un account fornito corrispondente. Se la creazione dell'organizzazione è limitata (consigliato), l'utente è completamente bloccato.

  • Accesso a un account personale gratuito — Se la creazione dell'organizzazione non è limitata, l'utente aggira l'organizzazione aziendale e crea o accede a un account personale gratuito.

  • Mancata corrispondenza "Si prega di confermare l'email" — Il callback SSO mostra un'email diversa da quella inserita dall'utente al momento dell'accesso.

  • Errore di autenticazione Claude Code — La CLI Claude Code mostra un errore di mancata corrispondenza dell'email durante il flusso di autenticazione.

Come accade

Gli account utente di Microsoft Entra ID hanno più attributi simili a email che possono contenere valori diversi. Il provisioning SCIM e l'autenticazione SSO sono configurati in aree amministrative separate e ciascuno può estrarre da un attributo diverso:

Attributo Entra

Valore tipico

Comunemente utilizzato da

userPrincipalName

[email protected] (potrebbe essere in formato ID dipendente)

Mapping predefinito di userName SCIM

mail

[email protected] (email standard)

Claim email OIDC / SAML

proxyAddresses

SMTP:[email protected]

Indirizzo primario Exchange / M365

otherMails

Potrebbe contenere alias o indirizzi secondari

Email di contatto alternative

La mancata corrispondenza si verifica quando SCIM estrae l'email da un attributo mentre SSO invia l'email da un altro. Anche una differenza minima blocca l'accesso — Claude richiede una corrispondenza esatta della stringa.

Confusione comune: Entra ha due aree amministrative separate. L'app di provisioning SCIM si trova in Applicazioni aziendali. L'app SSO/OIDC si trova in Registrazioni app. Gli amministratori IT spesso navigano nella posizione sbagliata.

Passaggi diagnostici

Passaggio 1 — Confermare la mancata corrispondenza

  1. Controllare l'email SCIM: In Centro amministrativo Entra → Applicazioni aziendali → [App Claude SCIM] → Provisioning → Log di provisioning, trovare un utente fornito di recente e ispezionare Attributi modificati. Il valore mappato a emails[type eq "work"].value è quello che SCIM ha inviato a Claude.

  2. Controllare l'email SSO: In Applicazioni aziendali → [App Claude] → Single sign-on → Attributi e attestazioni, trovare il claim email. Per le app OIDC, controllare Registrazioni app → [App Claude] → Configurazione token.

  3. Se i due attributi di origine puntano a campi diversi, hai confermato la mancata corrispondenza.

Passaggio 2 — Identificare l'ambito

  • Se la maggior parte o tutti gli utenti forniti condividono lo stesso formato di mancata corrispondenza, questo è un problema di mapping degli attributi sistemico. La soluzione è nella configurazione del mapping degli attributi SCIM.

  • Se solo uno o due utenti sono interessati, controlla il loro profilo utente direttamente in Entra.

Passaggio 3 — Controllare i claim del token OIDC (solo app OIDC)

  1. Nel Centro amministrativo Entra, vai a Registrazioni app (non Applicazioni aziendali).

  2. Trova l'app Claude OIDC e fai clic su Configurazione token.

  3. Controlla il claim facoltativo email.

  4. Fai un riferimento incrociato con il mapping degli attributi SCIM per confermare se corrispondono.

Risoluzione

Correggere il mapping degli attributi SCIM

Accedi all'app di provisioning SCIM — non all'app SSO/OIDC:

  1. Vai a Centro amministrativo Entra → Applicazioni aziendali.

  2. Cerca l'app Claude SCIM. Cerca l'app con una sezione Provisioning.

  3. Fai clic su Provisioning → Modifica provisioning → Mapping degli attributi.

  4. Trova la riga in cui l'attributo SCIM è emails[type eq "work"].value. Fai clic su di essa per modificarla.

  5. Cambia l'Attributo di origine per corrispondere a quello che SSO invia — tipicamente mail.

  6. Controlla anche il mapping di userName e aggiorna se necessario.

  7. Fai clic su Salva.

Attivare una sincronizzazione completa del provisioning

Sincronizzazione completa richiesta — quella incrementale non funzionerà. Devi attivare un riavvio completo del ciclo di provisioning.

  1. Vai alla pagina di panoramica Provisioning.

  2. Fai clic su Riavvia provisioning.

  3. Attendi il completamento della sincronizzazione.

  4. Verifica nei log di provisioning che le email degli utenti siano state aggiornate al formato corretto.

Articoli correlati
Mancata corrispondenza SSO/SCIM Email — Google Workspace
Mancata corrispondenza email SSO/SCIM — Okta
Mancata corrispondenza email SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Configurazione SSO — Microsoft Entra ID
Hai ricevuto la risposta alla tua domanda?