Vai al contenuto principale

Mancata corrispondenza email SSO/SCIM — OneLogin

Riepilogo: Claude utilizza l'email come identificatore principale per abbinare gli accessi SSO ai posti di lavoro forniti. In OneLogin, il provisioning SCIM e l'SSO SAML sono configurati in schede separate dell'app e possono fare riferimento a campi di profilo utente diversi, causando una mancata corrispondenza che blocca l'accesso.

Sintomi

Gli utenti potrebbero riscontrare uno o più dei seguenti problemi quando tentano di accedere a Claude for Enterprise tramite SSO:

  • "La creazione dell'account è bloccata" — L'utente si autentica tramite SSO ma Claude non riesce a trovare un account fornito corrispondente. Se la tua organizzazione ha la creazione di organizzazioni limitata (consigliato), l'utente è completamente bloccato e non può procedere.

  • Accesso a un account personale gratuito — Se la creazione di organizzazioni non è limitata, l'utente aggira completamente l'organizzazione aziendale e crea o accede a un account personale gratuito invece del suo posto di lavoro aziendale.

  • Mancata corrispondenza "Si prega di confermare la tua email" — Il callback SSO mostra un'email diversa da quella che l'utente ha inserito al momento dell'accesso.

  • Errore di autenticazione di Claude Code — La CLI di Claude Code mostra un errore di mancata corrispondenza dell'email durante il flusso di autenticazione.

Come accade

I profili utente di OneLogin contengono campi distinti per nome utente ed email, che possono contenere valori diversi. I parametri di provisioning SCIM e le dichiarazioni di attributi SAML sono configurati indipendentemente e possono ciascuno estrarre da un campo diverso:

Campo OneLogin

Valore tipico

Comunemente utilizzato da

Username

testuser1 o [email protected]

A volte utilizzato nel mapping SCIM userName

Email

[email protected]

Consigliato sia per SCIM che per SAML

Login Name

Può differire dall'email se SSO è utilizzato per accessi non basati su email

Configurazioni legacy o personalizzate

Campi utente personalizzati

Attributi personalizzati definiti per organizzazione

Mapping di attributi avanzati

Una mancata corrispondenza comune: la scheda dei parametri SCIM mappa l'attributo email a Username (che potrebbe essere un ID dipendente o un nome breve) mentre la dichiarazione di attributi SAML invia il campo Email. Claude richiede una corrispondenza esatta della stringa.

Confusione comune: I parametri SCIM e le dichiarazioni di attributi SAML di OneLogin si trovano in schede diverse della stessa app — Parameters per SCIM e SSO (o Parameters con campi specifici di SAML) per SSO. Entrambi devono essere controllati e allineati.

Passaggi diagnostici

Passaggio 1 — Confermare la mancata corrispondenza

  1. Controllare l'email SCIM: Nel portale di amministrazione di OneLogin, vai a Applications → [Claude App] → Parameters. Trova il campo mappato all'email che Claude riceve. Nota la colonna OneLogin value — questa mostra quale campo utente viene inviato.

  2. Controllare l'email SAML: Nella stessa app, vai alla scheda SSO. Fai clic su More Actions → Edit SAML Response o controlla la sezione SAML Attribute Statements. Trova l'attributo per email e nota il suo campo di origine.

  3. Controllare un utente specifico: In Users → [User], confronta i campi Username e Email dell'utente. Se differiscono, qualsiasi mapping che utilizza uno rispetto all'altro causerà una mancata corrispondenza.

Passaggio 2 — Identificare l'ambito del problema

Determina se si tratta di un utente interessato o di un problema sistemico:

  • Se la maggior parte o tutti gli utenti forniti condividono la stessa mancata corrispondenza di formato email, questo è un problema di mapping di attributi sistemico che interessa l'intera directory. La soluzione è nel mapping degli attributi SCIM del tuo IdP.

  • Se solo uno o due utenti sono interessati mentre altri funzionano correttamente, il problema è probabilmente specifico di quegli account utente. Controlla direttamente il loro profilo utente.

Passaggio 3 — Esaminare i valori dei campi utente

  1. Vai a Users → [Affected User] → User Info.

  2. Controlla sia i campi Username che Email.

  3. Se Username è in un formato che non corrisponde a un'email valida, SCIM potrebbe inviare un valore non valido o non corrispondente.

Risoluzione

Allinea entrambi i mapping al campo Email

Il campo Email di OneLogin è la fonte più affidabile sia per SCIM che per SAML, poiché è progettato per contenere un indirizzo email valido.

  1. Aggiorna il parametro SCIM: In Applications → [Claude App] → Parameters, trova la riga per l'attributo email che Claude riceve. Cambia il Value a Email (il campo Email utente di OneLogin).

  2. Aggiorna la dichiarazione di attributi SAML: Nella scheda SSO (o Parameters per gli attributi SAML), aggiorna il valore dell'attributo email per utilizzare lo stesso campo Email.

  3. Fai clic su Save.

Attiva una risincronizzazione completa

Critico — Sincronizzazione completa richiesta: Una sincronizzazione incrementale non aggiornerà gli utenti esistenti dopo aver modificato un mapping di attributi. Devi attivare un riavvio completo del ciclo di provisioning.

  1. Nella scheda Provisioning dell'app, cerca un'opzione Re-sync o Sync All ed eseguila.

  2. Per reprovisioning di singoli utenti: Vai a Users → [User] → Applications, trova l'app Claude e utilizza Re-provision.

  3. Controlla il registro dell'attività di provisioning di OneLogin per gli errori.

  4. Verifica che i valori email aggiornati appaiano nel registro prima di chiedere agli utenti di riprovare l'accesso.

Pulizia post-correzione

Dopo aver corretto il mapping degli attributi e completato la sincronizzazione completa, potrebbe essere necessaria una pulizia aggiuntiva a seconda della tua situazione:

  • Account gratuiti non autorizzati: Se la creazione di organizzazioni non era limitata prima della correzione, alcuni utenti potrebbero aver creato involontariamente account Claude personali gratuiti. Contatta Anthropic Support per farli rimuovere.

  • Account fantasma (posti con email errata): Gli account originariamente forniti (con l'email errata) potrebbero ancora esistere nella tua organizzazione aziendale, occupando posti che non potranno mai essere utilizzati. Contatta Anthropic Support per deprovisionare questi account fantasma.

  • Disponibilità dei posti: Se gli account fantasma occupano tutti i posti contrattuali, i nuovi accessi falliranno con un errore di esaurimento dei posti anche dopo che il mapping è stato corretto. Contatta il supporto se stai riscontrando questo problema.

  • Aggiunta nuovamente degli utenti interessati: Dopo la rimozione degli account fantasma, gli utenti con l'email corretta potrebbero aver bisogno di essere reinvitati o reprovisioning.

Previeni occorrenze future: Abilita "Restrict organization creation" nelle impostazioni della tua organizzazione aziendale.

Verifica

Dopo aver completato la correzione e qualsiasi pulizia, verifica quanto segue:

  1. Controlla un campione di utenti forniti — conferma che la loro email nel registro di provisioning del tuo IdP corrisponde al formato email che SSO invia.

  2. Chiedi a un utente interessato di cancellare i cookie del browser per claude.ai, quindi accedi tramite SSO.

  3. Conferma che gli utenti non stiano accidentalmente creando account gratuiti.

  4. Se Claude Code era interessato, fai eseguire all'utente claude auth login --enterprise e conferma che l'email corrisponde al suo posto di lavoro aziendale.

Insidie comuni

Insidia

Soluzione

Il campo Username contiene un nome breve o un ID dipendente, non un'email

Passa SCIM a utilizzare il campo Email.

Gli attributi SAML sono stati aggiornati ma i parametri SCIM non sono stati modificati

Sia la scheda Parameters (per SCIM) che gli attributi SSO/SAML devono essere aggiornati indipendentemente.

La risincronizzazione non sembra attivarsi

Prova a rimuovere e riassegnare singoli utenti interessati dall'app.

I campi utente personalizzati sono mappati ma vuoti per alcuni utenti

Passa al campo Email standard.

Le email sono state aggiornate in SCIM ma l'utente non riesce ancora ad accedere

Controlla la presenza di organizzazioni gratuite non autorizzate o account fantasma. Cancella i cookie del browser e riprova.

"Invite domain not allowed" quando si tenta di aggiungere nuovamente gli utenti

Il dominio della tua organizzazione potrebbe non essere verificato in Claude. Contatta Anthropic Support.

Quando contattare Anthropic Support

  • Gli attributi SCIM e SSO sembrano identici ma gli utenti non riescono ancora ad accedere ai loro posti.

  • Hai bisogno di confermare quale email Claude ha registrato durante il provisioning SCIM per utenti specifici.

  • Hai bisogno di aiuto per pulire gli account fantasma o le organizzazioni gratuite non autorizzate.

  • Gli utenti stanno riscontrando un errore di esaurimento dei posti nonostante il tuo contratto abbia posti disponibili.

Contatta [email protected] con il dominio della tua organizzazione, l'indirizzo email dell'utente interessato e screenshot dei tuoi mapping di attributi.

Articoli correlati
Mancata corrispondenza SSO/SCIM Email — Google Workspace
Mancata corrispondenza email SSO/SCIM — Microsoft Entra ID
Mancata corrispondenza email SSO/SCIM — Okta
SSO/SCIM Email Mismatch — Ping Identity
Configurazione SSO — OneLogin
Hai ricevuto la risposta alla tua domanda?