Vai al contenuto principale

Mancata corrispondenza email SSO/SCIM — Okta

Riepilogo: Claude utilizza l'email come identificatore principale per abbinare gli accessi SSO ai posti di lavoro forniti. In Okta, il provisioning SCIM e SSO sono configurati in sezioni separate dell'app e possono estrarre l'email da diversi campi del profilo utente Okta. Questa guida spiega come identificare e risolvere la mancata corrispondenza.

Sintomi

Gli utenti potrebbero riscontrare uno o più dei seguenti problemi quando tentano di accedere a Claude for Enterprise tramite SSO:

  • "La creazione dell'account è bloccata" — L'utente si autentica tramite SSO ma Claude non riesce a trovare un account fornito corrispondente.

  • Accesso a un account personale gratuito — Se la creazione dell'organizzazione non è limitata, l'utente ignora l'organizzazione aziendale.

  • Mancata corrispondenza "Si prega di confermare l'email" — Il callback SSO mostra un'email diversa da quella inserita dall'utente al momento dell'accesso.

  • Errore di autenticazione di Claude Code — La CLI di Claude Code mostra un errore di mancata corrispondenza dell'email.

Come accade

I profili utente Okta contengono più campi che rappresentano l'identità. Il provisioning SCIM (in Provisioning → To App) e SSO SAML/OIDC (in Sign On) sono configurati indipendentemente:

Attributo Okta

Valore tipico

Comunemente utilizzato da

user.login

testuser1 o [email protected]

Mapping predefinito di userName SCIM; talvolta NameID

user.email

[email protected]

Claim email SAML/OIDC (consigliato)

appuser.email

Override a livello di app dell'email utente

Mapping di attributi personalizzato a livello di app

Una mancata corrispondenza comune: SCIM utilizza user.login mentre SAML invia user.email. Claude richiede una corrispondenza esatta della stringa.

Confusione comune: I mapping degli attributi SCIM di Okta e le dichiarazioni degli attributi SAML si trovano in due schede diverse — Provisioning → To App per SCIM e Sign On per SSO. Devi verificare entrambi.

Passaggi diagnostici

Passaggio 1 — Confermare la mancata corrispondenza

  1. Controllare l'email SCIM: Nella console di amministrazione Okta, vai a Applications → [Claude App] → Provisioning → To App → Attribute Mappings. Trova la riga per email (o userName se questo corrisponde all'email dal lato di Claude). La colonna Value mostra l'espressione Okta o il campo inviato.

  2. Controllare l'email SSO (SAML): Vai a Applications → [Claude App] → Sign On → SAML Settings → Edit → Attribute Statements. Trova l'attributo denominato email. La colonna Value mostra quale campo Okta viene asserito al momento dell'accesso.

  3. Controllare l'email SSO (OIDC): Vai a Applications → [Claude App] → Sign On → OpenID Connect ID Token e controlla la sezione Claims per il claim email.

  4. Se i valori SCIM e SSO fanno riferimento a campi Okta diversi, hai confermato la mancata corrispondenza.

Passaggio 2 — Identificare l'ambito del problema

Determina se si tratta di un utente interessato o di un problema sistemico:

  • Se la maggior parte o tutti gli utenti forniti condividono la stessa mancata corrispondenza del formato email, questo è un problema di mapping degli attributi sistemico che interessa l'intera directory. La soluzione è nel mapping degli attributi SCIM del tuo IdP.

  • Se solo uno o due utenti sono interessati mentre altri funzionano correttamente, il problema è probabilmente specifico di quegli account utente. Controlla il loro profilo utente direttamente.

Passaggio 3 — Verificare i profili utente Okta direttamente

Per i singoli utenti interessati, controlla i loro valori di campo effettivi:

  1. Vai a Directory → People → [User] → Profile.

  2. Confronta i valori dei campi Login e Email. Se differiscono, qualsiasi mapping che utilizza Login rispetto a Email produrrà una mancata corrispondenza.

Risoluzione

Allineare entrambi i mapping allo stesso campo Okta

La soluzione più sicura è utilizzare user.email sia per SCIM che per SSO, poiché questo campo contiene l'indirizzo email canonico in Okta.

  1. Aggiornare il mapping SCIM: In Provisioning → To App → Attribute Mappings, cambia l'origine di email (o userName) a user.email.

  2. Aggiornare il claim SSO (SAML): In Sign On → SAML Settings → Attribute Statements, cambia il valore dell'attributo email a user.email.

  3. Aggiornare il claim SSO (OIDC): In Sign On → OpenID Connect ID Token → Claims, aggiorna il claim email per mappare a user.email.

  4. Fai clic su Save.

Forzare una risincronizzazione completa

Critico — Risincronizzazione completa richiesta: Una sincronizzazione incrementale non aggiornerà gli utenti esistenti dopo aver modificato un mapping degli attributi. Devi attivare un riavvio completo del ciclo di provisioning.

  1. In Provisioning → To App, fai clic su Force Sync per attivare una rivalutazione completa di tutti gli utenti assegnati.

  2. In alternativa, per utenti mirati: Provisioning → Push Users → seleziona gli utenti interessati → Push Now.

  3. Controlla il registro di sistema Okta (Reports → System Log) per eventuali errori di provisioning.

  4. Verifica che i valori email aggiornati appaiano nei log di provisioning prima di chiedere agli utenti di riprovare l'accesso.

Pulizia post-correzione

Dopo aver corretto il mapping degli attributi e completato la sincronizzazione completa, potrebbe essere necessaria una pulizia aggiuntiva a seconda della situazione:

  • Account gratuiti non autorizzati: Se la creazione dell'organizzazione non era limitata prima della correzione, alcuni utenti potrebbero aver creato accidentalmente account Claude personali gratuiti. Contatta Anthropic Support per farli rimuovere.

  • Account fantasma (posti con email errata): Gli account originariamente forniti (con l'email errata) potrebbero ancora esistere nella tua organizzazione aziendale, occupando posti che non potranno mai essere utilizzati. Contatta Anthropic Support per deprovisionare questi account fantasma.

  • Disponibilità dei posti: Se gli account fantasma occupano tutti i posti contrattuali, i nuovi accessi falliranno con un errore di esaurimento dei posti anche dopo che il mapping è stato corretto. Contatta il supporto se stai riscontrando questo problema.

  • Aggiunta nuovamente degli utenti interessati: Dopo la rimozione degli account fantasma, gli utenti con l'email corretta potrebbero aver bisogno di essere reinvitati o reprovisioned.

Prevenire occorrenze future: Abilita "Restrict organization creation" nelle impostazioni dell'azienda. Questo impedisce agli utenti non ancora forniti di creare accidentalmente account personali gratuiti.

Verifica

Dopo aver completato la correzione e qualsiasi pulizia, verifica quanto segue:

  1. Controlla un campione di utenti forniti — conferma che la loro email nel log di provisioning del tuo IdP corrisponde al formato email che SSO invia.

  2. Chiedi a un utente interessato di cancellare i cookie del browser per claude.ai, quindi accedi tramite SSO. Dovrebbe atterrare direttamente nell'area di lavoro aziendale senza errori.

  3. Conferma che gli utenti non stanno creando accidentalmente account gratuiti — se la creazione dell'organizzazione è limitata, gli utenti bloccati vedranno un errore chiaro anziché atterrare su un account personale.

  4. Se Claude Code è stato interessato, chiedi all'utente di eseguire nuovamente claude auth login --enterprise e conferma che l'email corrisponde al loro posto aziendale.

Insidie comuni

Insidia

Soluzione

L'amministratore aggiorna i claim SAML ma dimentica i mapping degli attributi SCIM (o viceversa)

Entrambi devono essere aggiornati. I mapping degli attributi SCIM sono in Provisioning → To App; i claim SAML sono in Sign On → SAML Settings.

user.login contiene il nome utente (non un'email) per alcuni utenti

Passa entrambi a user.email e verifica che i campi email siano compilati per tutti gli utenti.

La sincronizzazione incrementale viene eseguita ma le email non si aggiornano

Force Sync o Push Users è richiesto dopo una modifica del mapping degli attributi.

L'attributo del profilo a livello di app (appuser.email) differisce dal profilo utente (user.email)

Controlla se i mapping degli attributi a livello di app stanno sovrascrivendo i valori del profilo utente.

Le email sono state aggiornate ma l'utente non riesce ancora ad accedere

Cerca organizzazioni gratuite non autorizzate o account fantasma. Cancella i cookie del browser e riprova. Contatta Anthropic Support se il problema persiste.

Le app OIDC e SAML sono app Okta separate per Claude

Alcune organizzazioni configurano entrambe. Assicurati che l'allineamento degli attributi sia controllato in entrambe le app.

Quando contattare Anthropic Support

  • Gli attributi SCIM e SSO sembrano identici ma gli utenti non riescono ancora ad accedere ai loro posti.

  • Hai bisogno di confermare quale email Claude ha registrato durante il provisioning SCIM per utenti specifici.

  • Hai bisogno di aiuto per pulire gli account fantasma o le organizzazioni gratuite non autorizzate.

  • Gli utenti stanno riscontrando un errore di esaurimento dei posti nonostante il tuo contratto abbia posti disponibili.

Contatta [email protected] con il dominio della tua organizzazione, l'indirizzo email dell'utente interessato e screenshot dei tuoi mapping degli attributi.

Articoli correlati
Mancata corrispondenza SSO/SCIM Email — Google Workspace
Mancata corrispondenza email SSO/SCIM — Microsoft Entra ID
Mancata corrispondenza email SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Configurazione SSO — Okta
Hai ricevuto la risposta alla tua domanda?