Vai al contenuto principale

SSO/SCIM Email Mismatch — Ping Identity

Riepilogo: Claude utilizza l'email come identificatore principale per abbinare gli accessi SSO ai posti di lavoro forniti. I prodotti Ping Identity (PingOne e PingFederate) hanno una configurazione degli attributi flessibile e stratificata. Quando il provisioning SCIM e SSO SAML/OIDC estraggono da attributi utente diversi, una mancata corrispondenza blocca l'accesso.

Sintomi

Gli utenti potrebbero riscontrare uno o più dei seguenti problemi quando tentano di accedere a Claude for Enterprise tramite SSO:

  • "La creazione dell'account è bloccata" — L'utente si autentica tramite SSO ma Claude non riesce a trovare un account fornito corrispondente.

  • Accesso a un account personale gratuito — Se la creazione dell'organizzazione non è limitata, l'utente aggira completamente l'organizzazione aziendale.

  • Mancata corrispondenza "Si prega di confermare l'email" — Il callback SSO mostra un'email diversa da quella inserita dall'utente al momento dell'accesso.

  • Errore di autenticazione Claude Code — La CLI Claude Code mostra un errore di mancata corrispondenza dell'email durante il flusso di autenticazione.

Come accade

I prodotti Ping Identity consentono il mapping granulare degli attributi a più livelli (directory, adattatore IdP, connettore SP, applicazione). SCIM e SSO possono ciascuno attraversare percorsi diversi attraverso questi livelli, risultando in valori email diversi che raggiungono Claude:

Attributo Ping

Valore tipico

Comunemente utilizzato da

email (PingOne)

[email protected]

Consigliato per SCIM e SAML/OIDC

username (PingOne)

testuser1 o [email protected]

Identificatore di accesso predefinito; può differire dall'email

Attributo dell'adattatore IdP (PingFederate)

Varia in base al tipo di adattatore (LDAP, HTML Form, ecc.)

Fonti di identità PingFederate

Attributo LDAP mail

[email protected]

Email proveniente dalla directory in PingFederate

LDAP sAMAccountName o uid

Può essere ID dipendente o nome utente breve

A volte mappato all'email per errore

Attributi di popolazione personalizzati

Campi personalizzati definiti per ambiente

Configurazioni avanzate di PingOne

Claude richiede una corrispondenza esatta della stringa tra l'email fornita tramite SCIM e l'email asserita da SSO.

Nota su PingFederate: Il sistema di contratto degli attributi di PingFederate è particolarmente complesso — l'email può passare attraverso più livelli (LDAP → adattatore IdP → contratto dell'adattatore → connettore SP → asserzione). Una mancata corrispondenza a qualsiasi livello causerà il raggiungimento di un valore errato a Claude. Traccia il valore da capo a fondo.

Passaggi diagnostici

Passaggio 1 — Confermare la mancata corrispondenza (PingOne)

  1. Controllare il mapping degli attributi SCIM: In PingOne Admin, vai a Connections → Applications → [Claude App] → Attribute Mappings. Trova l'attributo mappato a emails[primary].value o email. Annota l'attributo utente PingOne utilizzato come origine.

  2. Controllare il mapping degli attributi SSO: Nella stessa app, vai alla scheda SAML o OIDC e trova l'attributo o il claim mappato a email. Annota il suo attributo di origine.

  3. Se SCIM e SSO fanno riferimento a attributi PingOne diversi, hai confermato la mancata corrispondenza.

Passaggio 1 (alternativo) — Confermare la mancata corrispondenza (PingFederate)

  1. Nella console di amministrazione di PingFederate, individua la SP Connection per Claude.

  2. In Attribute Contract Fulfillment, trova l'attributo email e traccia la sua origine all'adattatore IdP o all'archivio dati LDAP.

  3. Separatamente, controlla il connettore di provisioning SCIM o il canale di provisioning in uscita per Claude e traccia l'origine dell'attributo email inviato.

  4. Se le due tracce portano a attributi di directory diversi, hai confermato la mancata corrispondenza.

Passaggio 2 — Identificare l'ambito del problema

Determina se si tratta di un utente interessato o di un problema sistemico:

  • Se la maggior parte o tutti gli utenti forniti condividono la stessa mancata corrispondenza del formato email, questo è un problema di mapping degli attributi sistemico. La soluzione è nel mapping degli attributi SCIM del tuo IdP.

  • Se solo uno o due utenti sono interessati, il problema è probabilmente specifico di quegli account utente. Controlla il loro profilo utente direttamente.

Passaggio 3 — Controllare i valori degli attributi per un utente specifico

  1. PingOne: Vai a Identities → Users → [User] e confronta i valori dei campi Username e Email.

  2. PingFederate con LDAP: Controlla il record LDAP dell'utente e confronta mail, userPrincipalName, sAMAccountName e qualsiasi altro attributo utilizzato nel mapping dell'adattatore.

Risoluzione

PingOne — Allinea entrambi i mapping all'attributo email

  1. In Connections → Applications → [Claude App], apri Attribute Mappings.

  2. Per SCIM: Assicurati che emails[primary].value sia mappato all'attributo Email Address di PingOne.

  3. Per SAML/OIDC: Assicurati che l'attributo email o il claim sia anche mappato all'attributo Email Address di PingOne.

  4. Salva le modifiche.

PingFederate — Allinea il contratto degli attributi su tutti i livelli

  1. Nella SP Connection per Claude, vai a Attribute Contract Fulfillment.

  2. Trova l'attributo email. Assicurati che la sua origine sia lo stesso attributo LDAP o archivio dati utilizzato nel tuo canale di provisioning in uscita SCIM.

  3. Se utilizzi un adattatore IdP personalizzato, assicurati che il contratto dell'adattatore includa l'attributo email canonico e che sia correttamente mappato attraverso la connessione SP.

  4. Aggiorna il provisioning SCIM per utilizzare lo stesso attributo di origine.

Attiva una risincronizzazione completa

Critico — Sincronizzazione completa richiesta: Una sincronizzazione incrementale non aggiornerà gli utenti esistenti dopo aver modificato un mapping degli attributi. Devi attivare un riavvio completo del ciclo di provisioning.

  1. PingOne: Nelle impostazioni di provisioning dell'app, attiva un ciclo di provisioning completo. Potrebbe essere necessario disabilitare e riabilitare il provisioning per forzare un re-push completo di tutti gli utenti.

  2. PingFederate: Attiva una sincronizzazione completa nel tuo canale di provisioning in uscita. Controlla i tuoi log di provisioning per confermare che i valori email aggiornati vengono inviati.

  3. Verifica che i valori email aggiornati appaiano nei log di provisioning prima di chiedere agli utenti di riprovare l'accesso.

Pulizia post-correzione

Dopo aver corretto il mapping degli attributi e completato la sincronizzazione completa, potrebbe essere necessaria una pulizia aggiuntiva:

  • Account gratuiti non autorizzati: Contatta Anthropic Support per farli rimuovere.

  • Account fantasma (posti con email errata): Contatta Anthropic Support per deprovisionare questi account fantasma.

  • Disponibilità dei posti: Se gli account fantasma occupano tutti i posti contrattuali, i nuovi accessi falliranno. Contatta il supporto.

  • Aggiunta nuovamente degli utenti interessati: Dopo la rimozione degli account fantasma, gli utenti potrebbero aver bisogno di essere reinvitati o reprovisioned.

Previeni occorrenze future: Abilita "Restrict organization creation" nelle impostazioni dell'azienda.

Verifica

  1. Controlla un campione di utenti forniti — conferma che la loro email nel log di provisioning del tuo IdP corrisponde al formato email che SSO invia.

  2. Chiedi a un utente interessato di cancellare i cookie del browser per claude.ai, quindi accedi tramite SSO.

  3. Conferma che gli utenti non stiano accidentalmente creando account gratuiti.

  4. Se Claude Code è stato interessato, chiedi all'utente di eseguire nuovamente claude auth login --enterprise e conferma che l'email corrisponde al suo posto aziendale.

Errori comuni

Errore

Soluzione

Campo PingOne username utilizzato invece di email

Cambia il mapping SCIM all'attributo Email Address di PingOne.

Mancata corrispondenza degli attributi di PingFederate tra i livelli del contratto

Traccia l'attributo email da capo a fondo: origine LDAP → adattatore IdP → contratto dell'adattatore → connettore SP → asserzione.

LDAP sAMAccountName o uid mappato come origine email

Utilizza l'attributo LDAP mail invece.

La sincronizzazione del provisioning incrementale non aggiorna gli utenti esistenti

Una risincronizzazione completa è richiesta dopo aver modificato i mapping degli attributi.

Contratto degli attributi aggiornato in PingFederate ma connettore SCIM non aggiornato

Sia la connessione SP che il canale di provisioning SCIM in uscita devono essere aggiornati indipendentemente.

Email aggiornate in SCIM ma l'utente non riesce ancora ad accedere

Controlla la presenza di organizzazioni gratuite non autorizzate o account fantasma. Cancella i cookie del browser e riprova.

Quando contattare Anthropic Support

  • Gli attributi SCIM e SSO sembrano identici ma gli utenti non riescono ancora ad accedere ai loro posti.

  • Hai bisogno di confermare quale email Claude ha registrato durante il provisioning SCIM per utenti specifici.

  • Hai bisogno di aiuto per pulire gli account fantasma o le organizzazioni gratuite non autorizzate.

  • Gli utenti stanno ricevendo un errore di esaurimento dei posti nonostante il tuo contratto abbia posti disponibili.

Contatta [email protected] con il dominio dell'organizzazione, l'indirizzo email dell'utente interessato e screenshot dei tuoi mapping degli attributi.

Articoli correlati
Mancata corrispondenza SSO/SCIM Email — Google Workspace
Mancata corrispondenza email SSO/SCIM — Microsoft Entra ID
Mancata corrispondenza email SSO/SCIM — Okta
Mancata corrispondenza email SSO/SCIM — OneLogin
Configurazione SSO — Ping Identity
Hai ricevuto la risposta alla tua domanda?