Questa guida ti guida nella configurazione dei permessi basati sui ruoli per la tua organizzazione Enterprise. Questo ti consente di controllare quali funzionalità possono accedere team o gruppi specifici di membri, invece di dare a tutti gli stessi permessi.
Prima di iniziare, assicurati di avere familiarità con:
Gestire i gruppi e i limiti di spesa dei gruppi nei piani Enterprise — come creare e gestire i gruppi
Gestire i ruoli personalizzati nei piani Enterprise — come funzionano i ruoli personalizzati e le capacità
Prima di iniziare
Avrai bisogno dell'accesso Owner o Primary Owner alla tua organizzazione Enterprise.
Esci e accedi di nuovo al tuo account Claude prima di iniziare. Questo assicura che la barra laterale delle impostazioni di amministrazione aggiornata appaia, con le nuove pagine Gruppi e Ruoli personalizzati sotto Persone.
Esegui il backup dell'elenco dei membri. Esporta un CSV dei tuoi membri attuali da Impostazioni organizzazione > Membri prima di apportare modifiche. Se qualcosa va storto durante la migrazione, questo ti dà un riferimento per ripristinare l'accesso. Vedi Gestire i membri nei piani Team e Enterprise.
Piani dual-seat: Se la tua organizzazione è su un piano Enterprise dual-seat (con seat Chat e Chat + Claude Code), i ruoli personalizzati non sovrascrivono le restrizioni a livello di seat. Un membro assegnato a un seat solo Chat non può accedere a Claude Code anche se il suo ruolo personalizzato lo consente. Pianifica la struttura dei tuoi ruoli tenendo in considerazione gli assegnamenti dei seat.
Se prevedi di utilizzare i gruppi del provider di identità (IdP) da Okta, Entra ID o un altro provider, assicurati che la sincronizzazione della directory SCIM sia configurata. Vedi Configurare il provisioning JIT o SCIM.
Nota sulla modalità di provisioning: Se la tua organizzazione utilizza il provisioning Solo invito o JIT, puoi utilizzare solo i gruppi creati manualmente per RBAC. I gruppi sincronizzati SCIM non sono supportati in queste modalità.
Pianificazione della struttura dei ruoli
Prima di creare qualcosa, decidi quali funzionalità dovrebbero avere accesso ogni team o gruppo di membri. Ecco tre modelli comuni:
Ruoli base più additivi
Questo è l'approccio consigliato per la maggior parte delle organizzazioni. Crea un ruolo "Accesso standard" per tutti con funzionalità comuni come ricerca web, memoria e progetti. Quindi crea ruoli additivi che concedono capacità specifiche — ad esempio, un ruolo "Cowork abilitato" che aggiunge solo Cowork. Assegna tutti i membri al ruolo base attraverso un gruppo "Tutti gli utenti" e aggiungi membri specifici a gruppi aggiuntivi che aggiungono funzionalità extra.
Questo modello è flessibile perché i permessi sono additivi — combinare un ruolo base con ruoli additivi si compone in modo pulito senza conflitti.
Ruoli basati su livelli
Crea livelli distinti: "Accesso completo" con tutte le funzionalità, "Accesso standard" con la maggior parte delle funzionalità e "Accesso limitato" con funzionalità minime. Ogni membro va in esattamente un gruppo assegnato a un livello.
Ruoli basati su dipartimento
Crea ruoli che si mappano ai dipartimenti: "Ingegneria" con Cowork, Claude Code ed esecuzione del codice; "Ricerca" con ricerca web, memoria e progetti; "Business" con ricerca web e progetti solo. Assegna ogni gruppo di dipartimento al suo ruolo corrispondente.
Passaggio 1: Controlla le impostazioni attuali
Rivedi quali funzionalità sono attualmente abilitate o disabilitate a livello di organizzazione in Impostazioni organizzazione > Capacità.
Vai a Impostazioni organizzazione > Organizzazione per esportare o rivedere l'elenco dei tuoi membri.
Annota il ruolo integrato attuale di ogni membro (User, Admin o Owner).
Per ogni team o dipartimento, decidi quali funzionalità hanno bisogno di accesso.
Ricorda: qualsiasi funzionalità che desideri controllare per gruppo deve essere abilitata a livello di organizzazione. Se una funzionalità è disattivata a livello di organizzazione, nessun ruolo personalizzato può concedere l'accesso ad essa.
Importante: A differenza dei membri con il ruolo User, i membri assegnati a Ruoli personalizzati non ereditano automaticamente le capacità abilitate dall'organizzazione. Ogni capacità di cui un membro con Ruoli personalizzati ha bisogno deve essere esplicitamente concessa da un ruolo personalizzato assegnato a uno dei loro gruppi.
Passaggio 2: Crea ruoli personalizzati
Crea i tuoi ruoli personalizzati prima di abilitare qualsiasi funzionalità o migrare i membri. Questo assicura che i tuoi ruoli siano pronti a far rispettare l'accesso nel momento in cui le funzionalità si attivano.
Fai clic su "+ Aggiungi ruolo".
Nomina il ruolo e attiva le capacità appropriate.
Fai clic su "Aggiungi ruolo".
Ripeti per ogni ruolo nel tuo piano.
Vedi Gestire i ruoli personalizzati nei piani Enterprise per i dettagli sulle capacità disponibili.
Passaggio 3: Crea gruppi e assegna ruoli
Fai clic su "Aggiungi gruppo" per creare un gruppo per ogni team o livello nel tuo piano.
Aggiungi membri ai gruppi appropriati.
Assegna ogni gruppo ai ruoli personalizzati che hai creato nel passaggio 2.
Se utilizzi la sincronizzazione della directory SCIM, puoi sincronizzare i gruppi dal tuo provider di identità invece di crearli manualmente. Per i dettagli sulla sincronizzazione dei gruppi SCIM, vedi Gestire i gruppi e i limiti di spesa dei gruppi nei piani Enterprise.
Più organizzazioni sotto la stessa organizzazione padre: I gruppi sono gestiti a livello di organizzazione padre e si propagano a tutte le organizzazioni figlie. Potresti vedere membri di altre organizzazioni elencati in un gruppo — questo non significa che hanno accesso alla tua organizzazione. I ruoli personalizzati assegnati a un gruppo concedono capacità solo ai membri che fanno parte della tua organizzazione specifica.
Passaggio 4: Verifica gli assegnamenti di gruppo e ruolo
Prima di migrare i membri a Ruoli personalizzati, conferma che ogni membro che prevedi di migrare sia in almeno un gruppo assegnato a un ruolo personalizzato. I membri che vengono migrati senza copertura di gruppo o ruolo perderanno l'accesso a tutte le funzionalità gestite.
Utilizza i filtri Ruolo e Gruppo per identificare i membri che non sono assegnati a nessun gruppo.
In alternativa, fai clic su "Esporta CSV" per scaricare l'elenco completo dei membri con colonne di ruolo e gruppo per la revisione.
Aggiungi eventuali membri non assegnati ai gruppi appropriati prima di continuare.
Passaggio 5: Migrazione dei membri ai ruoli personalizzati
Affinché le funzionalità dei ruoli personalizzati abbiano effetto, i membri devono avere il loro ruolo impostato su "Ruoli personalizzati". I membri con ruoli Utente, Amministratore o Proprietario ottengono le loro autorizzazioni direttamente da questi ruoli, non dai ruoli personalizzati.
Importante: Completa questo passaggio solo dopo aver creato i tuoi ruoli personalizzati, creato i tuoi gruppi e verificato che tutti i membri siano assegnati ai gruppi (passaggi 2-4). I membri spostati ai ruoli personalizzati prima del completamento della configurazione perderanno immediatamente l'accesso a tutte le funzionalità gestite.
Scegli il percorso di migrazione in base al fatto che la tua organizzazione abbia già abilitato i mapping dei gruppi:
Percorso A: Abilita mapping dei gruppi (solo se già in uso)
Utilizza questo percorso solo se la tua organizzazione ha già abilitato i mapping dei gruppi per l'assegnazione dei ruoli. Se non stai già utilizzando questa impostazione, passa al Percorso B.
Vai a Impostazioni organizzazione > Identità e accesso.
Nella sezione mapping dei ruoli, assegna i gruppi IdP che desideri gestire tramite ruoli personalizzati al ruolo Ruoli personalizzati.
Salva le tue modifiche. I membri di questi gruppi IdP vengono migrati ai ruoli personalizzati alla sincronizzazione successiva.
I membri nei gruppi IdP mappati ai ruoli personalizzati seguono le autorizzazioni dei ruoli personalizzati assegnati ai loro gruppi in Claude. I membri nei gruppi IdP mappati a Utente seguono le impostazioni delle funzionalità a livello di organizzazione. Se un membro si trova in gruppi su entrambi i mapping, i ruoli personalizzati hanno la precedenza.
Percorso B: Strumento di assegnazione in blocco
Utilizza questo percorso se la tua organizzazione non ha abilitato i mapping dei gruppi.
Avvertenza: Se non hai già abilitato i mapping dei gruppi, non abilitarli durante la configurazione RBAC. L'abilitazione senza prima assegnare tutti i membri ai gruppi mappati può causare la perdita di accesso dei membri alla tua organizzazione.
Utilizza i filtri Ruolo e Gruppo per selezionare i membri che desideri migrare.
Utilizza lo strumento di assegnazione in blocco nella tabella Membri per modificare il ruolo dei membri selezionati in Ruoli personalizzati.
Ti consigliamo di migrare prima un gruppo pilota — un team o un reparto — e verificare che il loro accesso sia corretto prima di espandere al resto dell'organizzazione.
Implementazione graduale
Indipendentemente dal percorso che utilizzi, ti consigliamo di migrare in fasi:
Inizia con un gruppo pilota di un team o un reparto.
Dopo la migrazione, verifica che il gruppo pilota abbia il corretto accesso alle funzionalità in base alle loro assegnazioni di gruppo e ruolo.
Se qualcosa non è corretto, riporta i membri interessati al loro ruolo precedente mentre effettui gli aggiustamenti.
Espandi a più membri una volta confermato che la configurazione funziona.
Passaggio 6: Abilita le funzionalità a livello di organizzazione
Abilita le funzionalità a livello di organizzazione solo dopo che i ruoli, i gruppi e la migrazione dei membri sono completi. Ciò garantisce che le funzionalità dei ruoli personalizzati siano già in atto, senza una finestra in cui i membri non autorizzati potrebbero accedere a una funzionalità.
Per qualsiasi funzionalità che desideri controllare per gruppo:
Vai alla pagina delle impostazioni della funzionalità in Impostazioni organizzazione (ad esempio, Impostazioni organizzazione > Cowork).
Abilita la funzionalità a livello di organizzazione.
L'abilitazione di una funzionalità a livello di organizzazione non significa che tutti la ottengono — le autorizzazioni dei ruoli personalizzati sono già in atto per controllare chi può utilizzarla. Pensa all'interruttore a livello di organizzazione come a rendere la funzionalità "disponibile per l'assegnazione basata su ruoli" piuttosto che "attiva per tutti".
Passaggio 7: Verifica e monitora
Verifica spot: Controlla alcuni membri di ogni gruppo per confermare che vedono le funzionalità corrette.
Testa lo stato limitato: Accedi come (o chiedi a) un membro che non dovrebbe avere una funzionalità come Cowork. Dovrebbe vederla disattivata con il messaggio "Contatta il tuo amministratore per richiedere l'accesso a questa funzionalità".
Testa lo stato concesso: Conferma che un membro che dovrebbe avere la funzionalità la vede funzionare normalmente.
Controlla i casi limite: Testa i membri in più gruppi, i membri senza gruppo e i nuovi membri che si uniscono tramite SSO.
Le modifiche alle autorizzazioni richiedono fino a cinque minuti per sincronizzarsi completamente su tutta la piattaforma. I membri potrebbero aver bisogno di aggiornare il browser per vedere l'accesso aggiornato.
Utilizzo di SCIM con funzionalità basate su ruoli
SCIM si connette alle tue funzionalità basate su ruoli attraverso due meccanismi che funzionano insieme.
Mapping da gruppo IdP a ruolo
Questo controlla quale ruolo integrato un membro ottiene quando viene fornito. Mappa i tuoi gruppi IdP a "Ruoli personalizzati" in modo che l'accesso dei nuovi membri sia automaticamente gestito dalle funzionalità dei ruoli personalizzati.
Nella tabella mapping dei ruoli, mappa i tuoi gruppi IdP a "Ruoli personalizzati".
Sincronizzazione dei gruppi
Questo estrae i tuoi gruppi IdP in Claude in modo che possano essere assegnati ai ruoli personalizzati.
Fai clic su "Controlla gli aggiornamenti" nella sezione Sincronizzazione SCIM.
Quando ti viene chiesto di sincronizzare Gruppi, Membri o Entrambi, seleziona solo Gruppi. La sincronizzazione dei Membri può influire sul provisioning e sull'accesso dei membri.
I tuoi gruppi IdP appaiono come gruppi con origine SCIM nell'elenco.
Assegna i gruppi SCIM ai ruoli personalizzati proprio come i gruppi creati manualmente.
Nel tuo IdP, esegui il push solo dei gruppi che intendi effettivamente utilizzare per RBAC o limiti di spesa. La sincronizzazione di tutti i gruppi IdP può rallentare i caricamenti delle pagine nella sezione Gruppi.
Nota: Le autorizzazioni dei ruoli personalizzati si applicano solo ai membri con "Ruoli personalizzati" selezionati in Impostazioni organizzazione > Organizzazione. Se mappi un gruppo IdP a un ruolo diverso (come Utente) tramite il mapping da gruppo a ruolo ma assegni lo stesso gruppo SCIM a un ruolo personalizzato, le autorizzazioni del ruolo personalizzato non hanno effetto — il membro ottiene le sue autorizzazioni dal suo ruolo assegnato. Per utilizzare i ruoli personalizzati, assicurati che il gruppo IdP sia mappato a "Ruoli personalizzati".
Gestione continua con SCIM
Per concedere a un membro l'accesso a una funzione, aggiungilo al gruppo IdP appropriato. Alla sincronizzazione successiva, riceverà il ruolo personalizzato assegnato a quel gruppo.
Per revocare l'accesso, rimuovilo dal gruppo IdP. Alla sincronizzazione successiva, l'autorizzazione viene rimossa.
Fai clic su "Sincronizzazione SCIM" nella sezione Gruppi per forzare una sincronizzazione immediata anziché attendere la sincronizzazione pianificata successiva.
Piano di rollback
Se noti che la struttura dei ruoli non è configurata correttamente dopo la migrazione:
Disattiva tutte le funzioni a livello di organizzazione che sono state abilitate come parte della migrazione.
Ripristina i membri interessati al loro ruolo integrato precedente (ad esempio, Utente).
Recupereranno immediatamente le autorizzazioni statiche da quel ruolo e le autorizzazioni dei ruoli personalizzati cesseranno di applicarsi.
Regola i ruoli e i gruppi secondo le necessità, quindi esegui di nuovo la migrazione.
Se hai abilitato i mapping dei gruppi durante la configurazione e hai perso l'accesso amministratore, segui i passaggi di recupero in Configurare il provisioning JIT o SCIM nella sezione "Ho perso l'accesso Admin/Owner dopo aver abilitato i mapping dei gruppi."
Domande frequenti
Devo abilitare una funzione a livello di organizzazione se voglio che solo alcuni membri la abbiano?
Sì. L'interruttore a livello di organizzazione deve essere attivo affinché i ruoli personalizzati controllino l'accesso per membro. Se una funzione è disattivata a livello di organizzazione, nessuno può accedervi indipendentemente dal suo ruolo. Pensalo come un interruttore principale: i ruoli personalizzati controllano chi ottiene l'accesso al di sotto di esso.
Cosa succede se un membro impostato su "Ruoli personalizzati" non è in nessun gruppo?
Non hanno autorizzazioni di ruoli personalizzati, quindi tutte le funzioni che richiedono autorizzazioni sono disattivate o nascoste. Assicurati che ogni membro impostato su "Ruoli personalizzati" sia in almeno un gruppo assegnato a un ruolo personalizzato.
Posso usare sia ruoli integrati che personalizzati?
Sì. I membri con i ruoli Utente, Admin o Owner non sono interessati dalle autorizzazioni dei ruoli personalizzati perché ottengono le loro autorizzazioni direttamente da questi ruoli. Solo i membri impostati su Ruoli personalizzati sono controllati dal sistema di gruppi e ruoli. Questo consente una migrazione graduale.
Cosa succede se un membro è in due gruppi con ruoli diversi?
Le autorizzazioni sono cumulative. Se un ruolo nella catena di un membro concede una funzione, la hanno. Non puoi usare un ruolo per rimuovere un'autorizzazione concessa da un altro ruolo.
Posso usare gruppi SCIM e gruppi manuali insieme?
Sì. Entrambi i tipi possono essere assegnati a ruoli personalizzati. La differenza è che l'appartenenza al gruppo SCIM è gestita nel tuo provider di identità, mentre l'appartenenza al gruppo manuale è gestita nelle impostazioni dell'organizzazione di Claude.
I proprietari e i proprietari primari sono interessati dalle autorizzazioni dei ruoli personalizzati?
No. I proprietari e i proprietari primari hanno sempre accesso completo a tutte le funzioni.
Come funziona questo tra organizzazioni padre e figlie?
I gruppi e la sincronizzazione SCIM sono gestiti a livello di organizzazione padre e condivisi tra tutte le organizzazioni figlie. Le assegnazioni di ruoli e limiti di spesa sono configurate indipendentemente in ogni organizzazione figlia: le modifiche in un'organizzazione figlia non influiscono sulle altre. Le modifiche all'appartenenza ai gruppi e le risincronizzazioni SCIM si propagano in tutte le organizzazioni figlie sotto lo stesso padre.