Questa guida ti guida nella configurazione dei permessi basati sui ruoli per la tua organizzazione Enterprise. Questo ti consente di controllare quali funzionalità e connettori possono accedere team o gruppi specifici di membri, e delegare accesso admin specifico come fatturazione o gestione utenti, invece di dare a tutti gli stessi permessi.
Prima di iniziare, assicurati di avere familiarità con:
Gestire gruppi e limiti di spesa dei gruppi nei piani Enterprise — come creare e gestire gruppi
Gestire ruoli personalizzati nei piani Enterprise — come funzionano i ruoli personalizzati e le capacità
Prima di iniziare
Avrai bisogno dell'accesso Owner o Primary Owner alla tua organizzazione Enterprise, o di un ruolo personalizzato con Identity & Access impostato su Manage.
Nota: Alcuni di questi passaggi richiedono più del ruolo personalizzato Identity & Access: abilitare funzionalità a livello di organizzazione richiede il ruolo Owner, e cambiare i ruoli dei membri richiede User Management impostato su Manage.
Controlla quali capacità sono abilitate a livello di organizzazione. Vai a Impostazioni organizzazione e assicurati di sapere quali capacità i membri possono accedere attualmente. Per le impostazioni gestite da RBAC, sia l'impostazione dell'organizzazione che l'impostazione del ruolo devono essere attive affinché gli utenti ottengano accesso.
Esegui il backup dell'elenco dei membri. Esporta un CSV dei tuoi membri attuali da Impostazioni organizzazione > Membri prima di apportare modifiche. Se qualcosa va storto durante la migrazione, questo ti dà un riferimento per ripristinare l'accesso. Vedi Gestire i membri nei piani Team e Enterprise.
Determina quali team o funzioni hanno bisogno di ogni capacità. Ad esempio, Engineering ottiene Claude Code + Fast Mode e Marketing ottiene Cowork + Web Search. Da qui, definisci i tuoi ruoli personalizzati.
Piani dual-seat. Se la tua organizzazione è su un piano Enterprise dual-seat (con posti Chat e Chat + Claude Code), i ruoli personalizzati non sovrascrivono le restrizioni a livello di posto. Un membro assegnato a un posto solo Chat non può accedere a Claude Code anche se il suo ruolo personalizzato lo consente. Lo stesso vale al contrario: se il ruolo personalizzato di un membro non concede la capacità di chat, non avranno accesso a chat indipendentemente dal tipo di posto. Pianifica la struttura del tuo ruolo tenendo in mente le assegnazioni dei posti.
Nota: "Chat + Claude Code" si riferisce a un tipo di posto nei piani dual-seat legacy. La capacità "chat" nei ruoli personalizzati è separata—governa l'accesso a chat per qualsiasi membro il cui ruolo è impostato su "Custom" in qualsiasi piano.
Decidi come creerai i gruppi. Puoi creare gruppi manualmente in Claude, o sincronizzarli dal tuo provider di identità (IdP) tramite SCIM. Puoi anche usare entrambi i metodi contemporaneamente. Se prevedi di usare gruppi IdP da Okta, Entra ID, o un altro provider, assicurati che la sincronizzazione della directory SCIM sia configurata. Vedi Configurare il provisioning JIT o SCIM.
Aggiungi i connettori che prevedi di governare. I permessi dei connettori coprono solo i connettori che un Owner o Primary Owner ha già aggiunto sotto Impostazioni organizzazione > Connettori e collegato con credenziali admin. Rivedi anche la tua politica degli strumenti a livello di organizzazione lì, poiché i grant dei ruoli si restringono all'interno di essa e non possono allargarsi oltre. Vedi Usare i connettori per estendere le capacità di Claude.
Pianificazione della struttura del tuo ruolo
Prima di creare qualcosa, decidi quali funzionalità ogni team o gruppo di membri dovrebbe avere accesso. Ecco quattro modelli comuni:
Ruoli base più additivi
Questo è l'approccio consigliato per la maggior parte delle organizzazioni. Crea un ruolo "Standard Access" per tutti con funzionalità comuni come web search, memory, e projects. Poi crea ruoli additivi che concedono capacità specifiche — ad esempio, un ruolo "Cowork Enabled" che aggiunge solo Cowork. Assegna tutti i membri al ruolo base attraverso un gruppo "All Users", e aggiungi membri specifici a gruppi aggiuntivi che aggiungono funzionalità extra.
Questo modello è flessibile perché i permessi sono additivi — combinare un ruolo base con ruoli additivi si compone in modo pulito senza conflitti.
Ruoli basati su livelli
Crea livelli distinti: "Full Access" con tutte le funzionalità, "Standard Access" con la maggior parte delle funzionalità, e "Restricted Access" con funzionalità minime. Ogni membro va in esattamente un gruppo assegnato a un livello.
Ruoli basati su dipartimento
Crea ruoli che mappano ai dipartimenti: "Engineering" con chat, Cowork, Claude Code, e code execution; "Research" con chat, web search, memory, e projects; "Business" con chat, web search e projects solo. Assegna ogni gruppo di dipartimento al suo ruolo corrispondente.
Ruoli di delega admin
Crea ruoli che delegano parti dell'amministrazione senza concedere il ruolo Owner. Un ruolo personalizzato con permessi admin non ha bisogno di alcuna capacità utente, e viceversa. Potresti creare un ruolo "Finance" che concede accesso Billing ma nessuna capacità di chat o Claude Code, o un ruolo "Engineering Lead" che concede Claude Code più accesso alla visualizzazione Analytics. Scopri di più sui permessi admin per i ruoli personalizzati.
Passaggio 1: Controlla le tue impostazioni attuali
Rivedi quali funzionalità sono attualmente abilitate o disabilitate a livello di organizzazione in Impostazioni organizzazione > Capacità.
Vai a Impostazioni organizzazione > Membri per esportare o rivedere il tuo elenco di membri.
Nota il ruolo integrato attuale di ogni membro (User, Admin, o Owner).
Per ogni team o dipartimento, decidi quali funzionalità hanno bisogno di accesso.
Ricorda: qualsiasi funzionalità che vuoi controllare per gruppo deve essere abilitata a livello di organizzazione. Se una funzionalità è disattivata a livello di organizzazione, nessun ruolo personalizzato può concedere accesso ad essa.
Importante: A differenza dei membri con il ruolo User, i membri assegnati a ruoli personalizzati non ereditano automaticamente le capacità abilitate dall'organizzazione. Ogni capacità di cui un membro con ruolo "Custom" ha bisogno deve essere esplicitamente concessa da un ruolo personalizzato assegnato a uno dei loro gruppi.
Passaggio 2: Crea ruoli personalizzati
Crea i tuoi ruoli personalizzati prima di abilitare qualsiasi funzionalità o migrare i membri. Questo assicura che i tuoi ruoli siano pronti a far rispettare l'accesso nel momento in cui le funzionalità si attivano.
Naviga a Impostazioni organizzazione > Ruoli.
Fai clic su "Aggiungi ruolo."
Nomina il ruolo e attiva le capacità appropriate nella scheda Capacità.
Nella scheda Permessi, imposta i permessi admin per il ruolo. Vedi Passaggio 3.
Nella scheda Connettori, imposta i permessi dei connettori per il ruolo. Vedi Passaggio 4.
Nella scheda Modelli, imposta l'accesso ai modelli e un modello predefinito per il ruolo. Vedi Passaggio 5.
Fai clic su "Salva ruolo."
Ripeti per ogni ruolo nel tuo piano.
Le modifiche ai ruoli possono richiedere fino a 15 minuti per avere effetto. I membri potrebbero aver bisogno di aggiornare il loro browser per vedere l'accesso aggiornato.
Vedi Gestire ruoli personalizzati nei piani Enterprise per i dettagli sulle capacità disponibili, i permessi admin, e i connettori.
Passaggio 3: Configura i permessi admin (facoltativo)
Imposta i permessi admin su ogni ruolo per delegare l'accesso alle impostazioni admin, come fatturazione, gestione utenti, o privacy, senza concedere il ruolo Owner. Questo passaggio è facoltativo. Se non lo configuri, i ruoli non concedono accesso admin e l'amministrazione rimane con Owners e Primary Owners. Per quello che copre ogni area di permesso, vedi Gestire ruoli personalizzati nei piani Enterprise.
Individua la scheda Permessi
Apri un ruolo esistente oppure fai clic su "Aggiungi ruolo" per crearne uno.
Seleziona la scheda Autorizzazioni, tra Funzionalità e Connettori.
Imposta autorizzazioni amministratore
La scheda Autorizzazioni elenca ogni area amministrativa: Identità e accesso, Fatturazione, Analitiche, Privacy, Gestione utenti e Librerie. Imposta ogni area amministrativa su una delle seguenti opzioni:
Nessun accesso: Il membro non vede questa area nelle impostazioni dell'organizzazione.
Può visualizzare: La visualizzazione concede accesso in sola lettura. Il membro vede le stesse pagine e impostazioni di chi può gestire quell'area, ma ogni controllo è disabilitato o mostrato come sola lettura. Usa questo livello di autorizzazione per revisori di conformità, revisori finanziari, team di sicurezza o chiunque abbia bisogno di vedere la configurazione senza modificarla.
Può gestire: La gestione concede accesso completo in lettura e scrittura all'area e include l'accesso di visualizzazione.
All'interno di un'area, concedi tutte le autorizzazioni di Visualizzazione o tutte quelle di Gestione. Non puoi concedere o limitare pagine o impostazioni individuali.
Nota: Un ruolo con Identità e accesso impostato su Gestione può creare e modificare gruppi e ruoli, inclusa la propria definizione di ruolo. I membri con questa autorizzazione possono espandere il proprio accesso, quindi riservalo agli amministratori di sicurezza e IT affidabili.
Verifica l'applicazione
Verifica le autorizzazioni amministratore dopo aver migrato i membri ai ruoli "Personalizzati" (Passaggio 7). Vedi Passaggio 11: Verifica e monitoraggio.
Passaggio 4: Configura autorizzazioni connettore (facoltativo)
Imposta le autorizzazioni del connettore su ogni ruolo per controllare quali connettori e quali strumenti su quei connettori il ruolo può utilizzare. Questo passaggio è facoltativo. Se non lo configuri, i tuoi ruoli tornano al comportamento predefinito descritto di seguito. Per come funziona il modello di autorizzazione da capo a fondo, vedi Gestisci ruoli personalizzati nei piani Enterprise.
Importante: Quando Anthropic abilita le autorizzazioni del connettore per la tua organizzazione, ogni ruolo personalizzato esistente viene inizializzato con la concessione "Tutti i connettori" su "Consenti sempre". Poiché "Consenti sempre" è la concessione più permissiva, la tua politica degli strumenti a livello di organizzazione determina da sola il limite massimo effettivo di ogni membro all'abilitazione. I membri non guadagnano né perdono accesso all'abilitazione. Il tuo primo passaggio di configurazione si restringe da quella linea di base.
Nota: Un ruolo appena creato ha come impostazione predefinita "Richiede approvazione" su ogni connettore. Il flusso di creazione del ruolo esamina la scheda Connettori in modo da visualizzare questa impostazione predefinita prima di salvare. Aumenta un connettore a "Consenti sempre" o riducilo a "Bloccato" secondo necessità.
Individua la scheda Connettori
Apri un ruolo esistente oppure fai clic su "Aggiungi ruolo" per crearne uno.
Seleziona la scheda Connettori, accanto a Autorizzazioni.
Le impostazioni predefinite per i nuovi ruoli sono permissive. Quando crei o modifichi un ruolo, conferma le impostazioni su ogni scheda per evitare di concedere autorizzazioni non intenzionali.
Imposta autorizzazioni a livello di connettore
La scheda Connettori elenca una riga Tutti i connettori in alto, seguita da ogni connettore che la tua organizzazione ha aggiunto. Ogni riga ha un menu a discesa con quattro opzioni:
Consenti sempre: Ogni strumento sul connettore è disponibile e i membri possono impostare la propria approvazione su "Consenti sempre".
Richiede approvazione: Ogni strumento è disponibile, ma i membri confermano ogni chiamata.
Bloccato: Il connettore è nascosto ai membri con questo ruolo.
Personalizzato: Imposta ogni strumento sul connettore individualmente. Vedi "Imposta autorizzazioni per strumento" di seguito.
La scelta di "Consenti sempre", "Richiede approvazione" o "Bloccato" applica quel livello a ogni strumento sul connettore. La riga Tutti i connettori funziona allo stesso modo un livello più in alto: imposta una linea di base per ogni connettore contemporaneamente, incluso qualsiasi connettore che aggiungerai in seguito. Usala per impostare il valore predefinito di un ruolo, quindi sostituisci i singoli connettori.
Imposta autorizzazioni per strumento
Imposta un connettore su Personalizzato per rivelare i suoi strumenti come righe individuali. Ogni strumento ha il suo menu a discesa: "Consenti sempre", "Richiede approvazione" o "Bloccato".
Le autorizzazioni per strumento consentono a un ruolo di raggiungere parte di un connettore. Ad esempio, con Jira impostato su Personalizzato, il suo strumento search_issues impostato su "Richiede approvazione" e ogni altro strumento Jira impostato su "Bloccato", i membri con il ruolo possono cercare in Jira ma nient'altro. Claude vede solo gli strumenti che hai concesso, quindi chiedergli di creare un ticket restituisce "Non ho uno strumento per questo" piuttosto che un errore.
Rivedi conflitti tra ruoli
Poiché le autorizzazioni del connettore sono cumulative tra i ruoli, bloccare un connettore in un ruolo non ha effetto su un membro che detiene anche un altro ruolo che lo concede. Ogni riga di connettore mostra un avviso quando altri ruoli concedono lo stesso connettore a un livello diverso. L'avviso nomina quei ruoli e si collega a loro, e la concessione più permissiva è quella che si applica.
Se hai modifiche non salvate quando apri un ruolo collegato, ti viene chiesto di scartarle prima.
Verifica l'applicazione
Verifica le autorizzazioni del connettore dopo aver migrato i membri ai ruoli "Personalizzati" (Passaggio 7). Vedi Passaggio 11: Verifica e monitoraggio.
Importante: Se la tua organizzazione utilizza Claude Code, l'abilitazione delle autorizzazioni del connettore applica anche la tua politica degli strumenti a livello di organizzazione a Claude Code. Questo può solo limitare l'accesso agli strumenti lì, mai ampliarlo, e influisce su tutti i membri. Rivedi la tua politica degli strumenti a livello di organizzazione prima dell'abilitazione se Claude Code è ampiamente distribuito. Le autorizzazioni del connettore e le impostazioni gestite di Claude Code si compongono per il più restrittivo. Vedi Impostazioni di Claude Code.
Passaggio 5: Configura accesso al modello (facoltativo)
Imposta l'accesso al modello su ogni ruolo per controllare quali modelli Claude il ruolo può utilizzare, limitare il livello di sforzo massimo per modello e scegliere il modello su cui iniziano le nuove conversazioni. Questo passaggio è facoltativo; se non lo configuri, i nuovi ruoli possono utilizzare ogni modello abilitato a livello di organizzazione, a qualsiasi livello di sforzo, e iniziare sul modello predefinito dell'organizzazione.
Per come funzionano le impostazioni di accesso al modello e modello predefinito da capo a fondo, vedi Gestisci accesso al modello per la tua organizzazione e Imposta un modello predefinito per la tua organizzazione.
Individua la scheda Modelli
Apri un ruolo esistente oppure fai clic su "Aggiungi ruolo" per crearne uno.
Seleziona la scheda Modelli, accanto a Connettori.
Imposta accesso al modello
In Accesso al modello, attiva o disattiva ogni modello per questo ruolo. I modelli disabilitati a livello di organizzazione vengono visualizzati ma non possono essere abilitati qui finché non li attivi per l'organizzazione in Impostazioni organizzazione > Modelli. I modelli Haiku sono sempre attivi e non possono essere disabilitati.
Per limitare il livello di sforzo che un ruolo può selezionare su un modello, fai clic sull'icona dell'ingranaggio accanto al modello e scegli un livello.
In Modello predefinito, seleziona facoltativamente il modello su cui iniziano le nuove conversazioni per questo ruolo. È possibile selezionare solo i modelli a cui il ruolo ha accesso.
Verifica l'applicazione
Verifica l'accesso al modello dopo aver migrato i membri ai ruoli "Personalizzati". Vedi Passaggio 11: Verifica e monitoraggio.
Passaggio 6: Creare gruppi e assegnare ruoli
Accedi a Impostazioni organizzazione > Gruppi.
Fai clic su "Aggiungi gruppo" per creare un gruppo per ogni team o livello nel tuo piano.
Aggiungi membri ai gruppi appropriati.
Assegna ogni gruppo ai ruoli personalizzati che hai creato nel passaggio 2.
Se utilizzi la sincronizzazione della directory SCIM, puoi sincronizzare i gruppi dal tuo provider di identità invece di crearli manualmente. Per i dettagli sulla sincronizzazione dei gruppi SCIM, consulta Gestisci gruppi e limiti di spesa dei gruppi nei piani Enterprise.
Più organizzazioni sotto la stessa organizzazione padre: I gruppi vengono gestiti a livello di organizzazione padre e si propagano a tutte le organizzazioni figlie. Potresti vedere membri di altre organizzazioni elencati in un gruppo, ma ciò non significa che abbiano accesso alla tua organizzazione. I ruoli personalizzati assegnati a un gruppo concedono funzionalità solo ai membri che fanno parte della tua organizzazione specifica.
Se richiedi di spostare un'organizzazione da un'organizzazione padre a un'altra (questo è raro nella pratica), i gruppi e i ruoli diventeranno indefiniti e dovrai ricrearli.
Importante: Se la tua organizzazione utilizza il provisioning Solo invito o JIT, puoi utilizzare solo gruppi creati manualmente per RBAC. I gruppi sincronizzati SCIM non sono supportati in queste modalità.
Passaggio 7: Verifica le assegnazioni di gruppi e ruoli
Prima di migrare i membri ai ruoli personalizzati, conferma che ogni membro che intendi migrare sia in almeno un gruppo assegnato a un ruolo personalizzato. I membri migrati senza copertura di gruppo o ruolo perderanno l'accesso a tutte le funzioni gestite.
Accedi a Impostazioni organizzazione > Membri.
Utilizza i filtri Ruolo e Gruppo per identificare i membri che non sono assegnati a nessun gruppo.
In alternativa, fai clic su "Esporta CSV" per scaricare l'elenco completo dei membri con colonne di ruolo e gruppo per la revisione.
Aggiungi i membri non assegnati ai gruppi appropriati prima di continuare.
Passaggio 8: Migra i membri ai ruoli personalizzati
Affinché le funzionalità dei ruoli personalizzati abbiano effetto, i membri devono avere il loro ruolo impostato su "Personalizzato". I membri con i ruoli Utente, Amministratore o Proprietario ottengono le loro autorizzazioni direttamente da questi ruoli, non dai ruoli personalizzati.
Importante: Completa questo passaggio solo dopo aver creato i tuoi ruoli personalizzati, configurato le autorizzazioni di amministratore e connettore se le stai utilizzando, creato i tuoi gruppi e verificato che tutti i membri siano assegnati ai gruppi. I membri spostati ai ruoli personalizzati prima che la configurazione sia completa perderanno immediatamente l'accesso a tutte le funzioni gestite e al loro ruolo precedente. Lo spostamento di un Proprietario o Amministratore ai ruoli personalizzati rimuove il loro accesso da Proprietario o Amministratore, quindi non migrare Proprietari o Amministratori a meno che tu non intenda sostituire tale accesso con autorizzazioni di ruoli personalizzati.
Scegli il percorso di migrazione in base al fatto che la tua organizzazione abbia già abilitato i mapping dei gruppi:
Percorso A: Abilita mapping dei gruppi (solo se già in uso)
Utilizza questo percorso solo se la tua organizzazione ha già abilitato i mapping dei gruppi per l'assegnazione dei ruoli. Se non stai già utilizzando questa impostazione, passa al Percorso B.
Nella sezione mapping dei ruoli, assegna i gruppi IdP che desideri siano gestiti da ruoli personalizzati al ruolo "Personalizzato".
Salva le tue modifiche. I membri in questi gruppi IdP vengono migrati ai ruoli "Personalizzato" alla sincronizzazione successiva.
I membri nei gruppi IdP mappati ai ruoli "Personalizzato" seguono le autorizzazioni dei ruoli personalizzati assegnati ai loro gruppi in Claude. I membri nei gruppi IdP mappati a Utente seguono le impostazioni di funzionalità a livello di organizzazione. Se un membro è in gruppi su entrambi i mapping, i ruoli "Personalizzato" hanno la precedenza.
Percorso B: Strumento di assegnazione in blocco
Utilizza questo percorso se la tua organizzazione non ha abilitato i mapping dei gruppi.
Avviso: Se non hai già abilitato i mapping dei gruppi, non abilitarli durante la configurazione di RBAC. L'abilitazione senza prima assegnare tutti i membri ai gruppi mappati può causare la perdita di accesso dei membri alla tua organizzazione.
Accedi a Impostazioni organizzazione > Membri.
Utilizza i filtri Ruolo e Gruppo per selezionare i membri che desideri migrare.
Utilizza lo strumento di assegnazione in blocco nella tabella Membri per modificare il ruolo dei membri selezionati in "Personalizzato".
Ti consigliamo di migrare prima un gruppo pilota, un team o un reparto, e verificare che il loro accesso sia corretto prima di espandere al resto dell'organizzazione.
Implementazione graduale
Indipendentemente dal percorso che utilizzi, ti consigliamo di migrare in fasi:
Inizia con un gruppo pilota di un team o un reparto.
Dopo la migrazione, verifica che il gruppo pilota abbia il corretto accesso alle funzioni in base alle loro assegnazioni di gruppo e ruolo.
Se qualcosa non è corretto, riporta i membri interessati al loro ruolo precedente mentre effettui gli aggiustamenti.
Espandi a più membri una volta confermato che la configurazione funziona.
Passaggio 9: Abilita le funzioni a livello di organizzazione
Abilita le funzioni a livello di organizzazione solo dopo che i ruoli, i gruppi e la migrazione dei membri sono completi. Ciò garantisce che le funzionalità dei ruoli personalizzati siano già in atto, senza una finestra in cui i membri non autorizzati potrebbero accedere a una funzione.
Per qualsiasi funzione che desideri controllare per gruppo:
Accedi alla pagina delle impostazioni della funzione in Impostazioni organizzazione (ad esempio, Impostazioni organizzazione > Cowork).
Abilita la funzione a livello di organizzazione.
L'abilitazione di una funzione a livello di organizzazione non significa che tutti la ottengono: le autorizzazioni dei ruoli personalizzati sono già in atto per controllare chi può utilizzarla. Pensa all'interruttore a livello di organizzazione come a rendere la funzione "disponibile per l'assegnazione basata su ruoli" piuttosto che "attiva per tutti".
Passaggio 10: Applica un limite di spesa del gruppo (solo organizzazioni basate sull'utilizzo)
Accedi alla pagina "Utilizzo" per assegnare un limite di spesa mensile per utente a qualsiasi gruppo.
Nota le seguenti regole di precedenza:
I limiti individuali hanno sempre la precedenza sui limiti di gruppo, indipendentemente da quale sia più alto.
Se un utente appartiene a più gruppi con limiti diversi, l'impostazione Limite di spesa multi-gruppo in Impostazioni predefinite di spesa controlla se si applica il limite più alto o più basso.
I limiti a livello di organizzazione rimangono il limite massimo assoluto.
Le modifiche all'iscrizione hanno effetto automaticamente: gli utenti ereditano o perdono i limiti non appena cambia l'iscrizione al gruppo. Rilevante solo per le organizzazioni con fatturazione basata sull'utilizzo.
Passaggio 11: Verifica e monitoraggio
Verifica spot: Apri il menu "⋮" sul lato destro della riga di un membro in Impostazioni organizzazione > Membri e seleziona "Visualizza ruolo effettivo". La finestra modale mostra ogni funzionalità, autorizzazione amministrativa e connettore che il membro ha in tutti i suoi ruoli, con un'etichetta "Concesso da" che indica quale ruolo fornisce ciascuno. Puoi fare lo stesso per un gruppo da Impostazioni organizzazione > Gruppi. Per i dettagli, consulta Gestisci ruoli personalizzati nei piani Enterprise.
Testa lo stato limitato: Accedi come (o chiedi a) un membro che non dovrebbe avere una funzionalità come Cowork. Dovrebbe vederla disattivata con il messaggio "Contatta il tuo amministratore per richiedere l'accesso a questa funzionalità".
Testa lo stato concesso: Conferma che un membro che dovrebbe avere la funzionalità la veda funzionare normalmente.
Controlla i casi limite: Testa i membri in più gruppi, i membri senza gruppo e i nuovi membri che si uniscono tramite SSO.
Se hai configurato le autorizzazioni amministrative, controlla anche:
Assegnazioni di gruppi e ruoli: I proprietari possono verificare l'accesso di un membro controllando le assegnazioni del gruppo nella pagina Membri e i ruoli assegnati a tali gruppi nella pagina Ruoli.
Impostazioni organizzazione: Nelle impostazioni dell'organizzazione, il membro vede solo le sezioni coperte dalle sue autorizzazioni amministrative. Tutto il resto è nascosto dalle loro impostazioni. I membri con accesso in visualizzazione vedono le pagine come di sola lettura, con i controlli disabilitati.
Accesso all'analisi: I membri con accesso all'analisi visualizzeranno l'analisi in Impostazioni > Analisi, non nelle impostazioni dell'organizzazione.
Se hai configurato le autorizzazioni del connettore, controlla anche:
Menu connettore: i connettori bloccati non vengono visualizzati e vengono visualizzati i connettori con almeno uno strumento concesso.
Impostazioni connettore: gli strumenti bloccati sono disattivati con "Questo strumento non è abilitato per il tuo ruolo. Contatta il tuo amministratore". Gli strumenti limitati a "Richiede approvazione" mostrano un menu di approvazione personale limitato a "Chiedi" e "Mai".
In una conversazione: chiedi a Claude di utilizzare uno strumento bloccato e segnala che non ha uno strumento per l'attività. Chiedigli di utilizzare uno strumento "Richiede approvazione" e viene visualizzato il prompt di approvazione senza un'opzione "Consenti sempre".
Se hai configurato l'accesso al modello, controlla anche:
Selettore modello: i modelli disabilitati non vengono visualizzati e il menu dello sforzo si ferma al limite del ruolo.
In una conversazione: chiedi al membro di passare a un modello disabilitato. Non dovrebbe essere elencato e in Claude Code CLI, /model <disabled-model> restituisce un errore.
Le modifiche ai ruoli possono richiedere fino a 15 minuti per avere effetto su tutta la piattaforma. I membri potrebbero aver bisogno di aggiornare il browser per vedere l'accesso aggiornato.
Utilizzo di SCIM con funzionalità basate su ruoli
SCIM si connette alle tue funzionalità basate su ruoli attraverso due meccanismi che funzionano insieme.
Mappatura del gruppo IdP al ruolo
Questo controlla quale ruolo integrato un membro ottiene quando viene fornito. Mappa i tuoi gruppi IdP ai ruoli "Personalizzato" in modo che l'accesso dei nuovi membri sia automaticamente governato dalle funzionalità del ruolo personalizzato.
Nella tabella delle mappature dei ruoli, mappa i tuoi gruppi IdP ai ruoli "Personalizzato".
Sincronizzazione dei gruppi
Questo estrae i tuoi gruppi IdP in Claude in modo che possano essere assegnati ai ruoli personalizzati.
Fai clic su "Controlla gli aggiornamenti" nella sezione Sincronizzazione SCIM.
Quando ti viene chiesto di sincronizzare Gruppi, Membri o Entrambi, seleziona solo Gruppi. La sincronizzazione dei Membri può influire sul provisioning e sull'accesso dei membri.
I tuoi gruppi IdP vengono visualizzati come gruppi di origine SCIM nell'elenco.
Assegna i gruppi SCIM ai ruoli personalizzati proprio come i gruppi creati manualmente.
Nel tuo IdP, esegui il push solo dei gruppi che intendi effettivamente utilizzare per RBAC o limiti di spesa. La sincronizzazione di tutti i gruppi IdP può rallentare il caricamento delle pagine nella sezione Gruppi.
Nota: Le autorizzazioni del ruolo personalizzato si applicano solo ai membri con ruoli "Personalizzato" selezionati in Impostazioni organizzazione > Membri. Se mappi un gruppo IdP a un ruolo diverso (come Utente) tramite la mappatura da gruppo a ruolo ma assegni lo stesso gruppo SCIM a un ruolo personalizzato, le autorizzazioni del ruolo personalizzato non hanno effetto: il membro ottiene le sue autorizzazioni dal suo ruolo assegnato. Per utilizzare i ruoli personalizzati, assicurati che il gruppo IdP sia mappato a "Personalizzato".
Gestione continua con SCIM
Per concedere a un membro l'accesso a una funzionalità, aggiungilo al gruppo IdP appropriato. Alla sincronizzazione successiva, acquisisce il ruolo personalizzato assegnato a quel gruppo.
Per revocare l'accesso, rimuovilo dal gruppo IdP. Alla sincronizzazione successiva, l'autorizzazione viene rimossa.
Fai clic su "Sincronizzazione SCIM" nella sezione Gruppi per forzare una sincronizzazione immediata anziché attendere la sincronizzazione pianificata successiva.
Piano di rollback
Se noti che la struttura dei tuoi ruoli è configurata in modo errato dopo la migrazione:
Disattiva tutte le funzionalità a livello di organizzazione che sono state abilitate come parte della migrazione.
Cambia i membri interessati al loro ruolo integrato precedente (ad esempio, Utente).
Recuperano immediatamente le autorizzazioni statiche da quel ruolo e le autorizzazioni del ruolo personalizzato smettono di applicarsi.
Regola i ruoli e i gruppi secondo le necessità, quindi esegui di nuovo la migrazione.
Se hai abilitato le mappature dei gruppi durante la configurazione e hai perso l'accesso amministrativo, segui i passaggi di recupero in Configura il provisioning JIT o SCIM in "Ho perso l'accesso Admin/Owner dopo aver abilitato le mappature dei gruppi".
Domande frequenti
Devo abilitare una funzionalità a livello di organizzazione se voglio che solo alcuni membri la abbiano?
Sì. L'interruttore a livello di organizzazione deve essere attivo affinché i ruoli personalizzati controllino l'accesso per membro. Se una funzionalità è disattivata a livello di organizzazione, nessuno può accedervi indipendentemente dal suo ruolo. Pensalo come un interruttore principale: i ruoli personalizzati controllano chi ottiene l'accesso al di sotto di esso.
Cosa succede se un membro il cui ruolo è impostato su "Personalizzato" non è in alcun gruppo?
Non hanno autorizzazioni di ruolo personalizzato, quindi tutte le funzionalità che richiedono autorizzazioni sono disattivate o nascoste. Assicurati che ogni membro il cui ruolo è impostato su "Personalizzato" sia in almeno un gruppo assegnato a un ruolo personalizzato.
Un modello manca dal selettore di modelli di un membro.
Il modello è disabilitato a livello organizzativo (Impostazioni organizzazione > Modelli) oppure nessuno dei ruoli personalizzati dei membri lo consente. I disabilitamenti a livello organizzativo interessano tutti, inclusi i Proprietari e gli Amministratori.
Cosa succede se un ruolo personalizzato non consente l'accesso alla chat?
I membri con quel ruolo non vedranno l'interfaccia di chat di Claude. Verranno indirizzati alla pagina delle impostazioni quando accedono. Se il loro ruolo consente altri prodotti come Cowork o Claude Code, questi rimangono accessibili dalla pagina delle impostazioni e dalle app pertinenti.
La chat è abilitata per impostazione predefinita in tutti i ruoli personalizzati, quindi devi preoccuparti di questo solo se hai intenzionalmente disabilitato la chat per un ruolo.
Posso utilizzare sia ruoli incorporati che personalizzati?
Sì. I membri con i ruoli Utente, Amministratore o Proprietario non sono interessati dalle autorizzazioni dei ruoli personalizzati perché ottengono le loro autorizzazioni direttamente da questi ruoli. Solo i membri con un ruolo impostato su "Personalizzato" sono controllati dal sistema di gruppi e ruoli. Ciò consente una migrazione graduale.
Cosa succede se un membro si trova in due gruppi con ruoli diversi?
Le autorizzazioni sono cumulative. Se qualsiasi ruolo nella catena di un membro concede una funzione, la possiede. Non puoi utilizzare un ruolo per rimuovere un'autorizzazione concessa da un altro ruolo.
Posso utilizzare insieme gruppi SCIM e gruppi manuali?
Sì. Entrambi i tipi possono essere assegnati a ruoli personalizzati. La differenza è che l'appartenenza al gruppo SCIM è gestita nel tuo provider di identità, mentre l'appartenenza al gruppo manuale è gestita nelle impostazioni dell'organizzazione di Claude.
I Proprietari e i Proprietari Primari sono interessati dalle autorizzazioni dei ruoli personalizzati?
No. I Proprietari e i Proprietari Primari hanno sempre accesso completo a tutte le funzioni.
Come funziona questo tra organizzazioni padre e figlie?
I gruppi e la sincronizzazione SCIM sono gestiti a livello di organizzazione padre e condivisi tra tutte le organizzazioni figlie. Le assegnazioni di ruoli e limiti di spesa sono configurate indipendentemente in ogni organizzazione figlia: le modifiche in un'organizzazione figlia non interessano le altre. Le modifiche all'appartenenza ai gruppi e le risincronizzazioni SCIM si propagano in tutte le organizzazioni figlie sotto lo stesso padre.
Cosa succede ai miei ruoli personalizzati esistenti quando le autorizzazioni dei connettori sono abilitate?
Ogni ruolo esistente viene inizializzato con la concessione "Tutti i connettori" impostata su "Consenti sempre", quindi l'accesso dei membri non cambia all'abilitazione. Da lì puoi restringere l'accesso.
Qual è l'autorizzazione predefinita del connettore su un nuovo ruolo?
"Richiede approvazione" su ogni connettore. Il flusso di creazione del ruolo esamina la scheda Connettori in modo da visualizzare questo prima di salvare.
Cosa succede quando aggiungo un nuovo connettore dopo che i miei ruoli esistono?
Un ruolo la cui riga "Tutti i connettori" è impostata su "Consenti sempre", "Richiede approvazione" o "Bloccato" copre il nuovo connettore a quel livello automaticamente. Un ruolo la cui riga "Tutti i connettori" è impostata su "Personalizzato" tratta il nuovo connettore come "Bloccato" finché non lo imposti.
Ho bloccato un connettore in un ruolo, ma un membro con quel ruolo può comunque utilizzarlo. Perché?
Verifica se il membro detiene un altro ruolo che lo consente, poiché la concessione più permissiva vince tra i ruoli. L'avviso di conflitto sulla riga del connettore elenca questi ruoli. Inoltre, conferma che il ruolo del membro sia impostato su "Personalizzato".
La mia politica degli strumenti a livello organizzativo blocca già uno strumento. Devo bloccarlo in ogni ruolo?
No. La politica a livello organizzativo è il limite massimo. Uno strumento bloccato lì è bloccato per tutti, indipendentemente dalle concessioni dei ruoli.
Un ruolo può concedere uno strumento che la politica a livello organizzativo imposta su "Richiede approvazione"?
Il ruolo può concederlo, ma l'impostazione più restrittiva vince, quindi i membri lo vedono limitato a "Richiede approvazione". Per consentire ai membri di impostare "Consenti sempre", aumenta prima la politica a livello organizzativo a "Consenti sempre".
Posso concedere uno strumento su un connettore senza concedere l'intero connettore?
Sì. Imposta il connettore su "Personalizzato", imposta lo strumento su "Consenti sempre" o "Richiede approvazione" e lascia il resto "Bloccato".
Le autorizzazioni dei connettori si applicano agli strumenti incorporati come la ricerca web o l'esecuzione del codice?
No. Le funzioni incorporate sono gestite nella scheda Funzionalità. La scheda Connettori gestisce i connettori che la tua organizzazione ha aggiunto.
Con quale rapidità le modifiche alle autorizzazioni dei connettori hanno effetto?
Le modifiche ai ruoli possono richiedere fino a 15 minuti per avere effetto. I membri potrebbero aver bisogno di aggiornare il browser.
Qualcuno in un ruolo personalizzato con autorizzazioni può concedere a se stesso un accesso maggiore?
Solo se il suo ruolo include Identità e Accesso impostato su Gestisci, che copre la modifica di ruoli e gruppi. Riserva questa autorizzazione agli amministratori di sicurezza e IT affidabili, poiché può essere utilizzata per modificare le definizioni dei ruoli incluso il loro.
Posso concedere autorizzazioni di amministrazione a un membro sul ruolo Utente, Amministratore, Proprietario o Proprietario Primario?
No. Le autorizzazioni di amministrazione si applicano solo ai membri in un ruolo personalizzato. I membri con un ruolo incorporato mantengono l'accesso che quel ruolo concede. Per concedere a qualcuno autorizzazioni di amministrazione specifiche, cambia il membro a un ruolo personalizzato e aggiungilo a un gruppo assegnato a un ruolo con le autorizzazioni di cui ha bisogno. Tieni presente che questo rimuove il loro accesso al ruolo incorporato precedente.
Cosa vede qualcuno quando non ha autorizzazioni per una determinata impostazione?
Le impostazioni dell'organizzazione mostrano solo le sezioni coperte dalle loro autorizzazioni. Le sezioni a cui non hanno accesso sono completamente nascoste dalle loro impostazioni dell'organizzazione.
Come posso controllare chi ha accesso amministrativo?
Impostazioni organizzazione > Ruoli mostra le autorizzazioni di amministrazione che ogni ruolo personalizzato concede, e Impostazioni organizzazione > Gruppi mostra quali gruppi sono assegnati a ogni ruolo e chi vi appartiene. Per verificare un membro specifico, cerca i suoi gruppi in Impostazioni organizzazione > Membri, quindi i ruoli a cui questi gruppi sono assegnati.
Cosa succede se qualcuno ha bisogno di autorizzazioni in più aree?
Crea un ruolo che conceda accesso a più aree, oppure aggiungi il membro a più gruppi i cui ruoli coprano le aree di cui ha bisogno. Le autorizzazioni si combinano in modo cumulativo.





