Questa guida ti guida attraverso la configurazione delle autorizzazioni basate sui ruoli per la tua organizzazione Enterprise. Questo ti consente di controllare quali funzionalità e connettori possono accedere team o gruppi di membri specifici, invece di dare a tutti le stesse autorizzazioni.
Prima di iniziare, assicurati di avere familiarità con:
Gestire i gruppi e i limiti di spesa dei gruppi nei piani Enterprise — come creare e gestire i gruppi
Gestire i ruoli personalizzati nei piani Enterprise — come funzionano i ruoli personalizzati e le capacità
Prima di iniziare
Avrai bisogno dell'accesso Owner o Primary Owner alla tua organizzazione Enterprise.
Verifica quali capacità sono abilitate a livello di organizzazione. Vai a Impostazioni organizzazione e assicurati di sapere quali capacità i membri possono accedere attualmente. Per le impostazioni gestite da RBAC, sia l'impostazione dell'organizzazione che l'impostazione del ruolo devono essere attive affinché gli utenti ottengano l'accesso.
Esegui il backup dell'elenco dei membri. Esporta un CSV dei tuoi membri attuali da Impostazioni organizzazione > Membri prima di apportare modifiche. Se qualcosa va storto durante la migrazione, questo ti dà un riferimento per ripristinare l'accesso. Vedi Gestire i membri nei piani Team e Enterprise.
Determina quali team o funzioni hanno bisogno di ogni capacità. Ad esempio, Engineering ottiene Claude Code + Fast Mode e Marketing ottiene Cowork + Web Search. Da qui, definisci i tuoi ruoli personalizzati.
Piani a doppio posto. Se la tua organizzazione è su un piano Enterprise a doppio posto (con posti Chat e Chat + Claude Code), i ruoli personalizzati non sostituiscono le restrizioni a livello di posto. Un membro assegnato a un posto solo Chat non può accedere a Claude Code anche se il suo ruolo personalizzato lo consente. Lo stesso vale al contrario: se il ruolo personalizzato di un membro non concede la capacità di chat, non avrà accesso alla chat indipendentemente dal tipo di posto. Pianifica la struttura del tuo ruolo tenendo in considerazione gli assegnamenti dei posti.
Nota: "Chat + Claude Code" si riferisce a un tipo di posto nei piani legacy a doppio posto. La capacità "chat" nei ruoli personalizzati è separata—governa l'accesso alla chat per qualsiasi membro il cui ruolo è impostato su "Ruoli personalizzati," su qualsiasi piano.
Decidi come creerai i gruppi. Puoi creare gruppi manualmente in Claude, o sincronizzarli dal tuo provider di identità (IdP) tramite SCIM. Puoi anche utilizzare entrambi i metodi contemporaneamente. Se prevedi di utilizzare gruppi IdP da Okta, Entra ID o un altro provider, assicurati che la sincronizzazione della directory SCIM sia configurata. Vedi Configurare il provisioning JIT o SCIM.
Aggiungi i connettori che intendi governare. Le autorizzazioni dei connettori coprono solo i connettori che un Owner o Primary Owner ha già aggiunto in Impostazioni organizzazione > Connettori e collegato con credenziali di amministrazione. Rivedi anche la tua politica degli strumenti a livello di organizzazione lì, poiché i grant dei ruoli si restringono all'interno di essa e non possono allargarsi oltre. Vedi Utilizzare i connettori per estendere le capacità di Claude.
Pianificazione della struttura del tuo ruolo
Prima di creare qualcosa, decidi quali funzionalità ogni team o gruppo di membri dovrebbe avere accesso. Ecco tre modelli comuni:
Ruoli base più additivi
Questo è l'approccio consigliato per la maggior parte delle organizzazioni. Crea un ruolo "Standard Access" per tutti con funzionalità comuni come ricerca web, memoria e progetti. Quindi crea ruoli additivi che concedono capacità specifiche — ad esempio, un ruolo "Cowork Enabled" che aggiunge solo Cowork. Assegna tutti i membri al ruolo base attraverso un gruppo "All Users", e aggiungi membri specifici a gruppi aggiuntivi che aggiungono funzionalità extra.
Questo modello è flessibile perché le autorizzazioni sono additive — combinare un ruolo base con ruoli additivi si compone in modo pulito senza conflitti.
Ruoli basati su livelli
Crea livelli distinti: "Full Access" con tutte le funzionalità, "Standard Access" con la maggior parte delle funzionalità, e "Restricted Access" con funzionalità minime. Ogni membro va in esattamente un gruppo assegnato a un livello.
Ruoli basati su dipartimento
Crea ruoli che si mappano ai dipartimenti: "Engineering" con chat, Cowork, Claude Code, ed esecuzione del codice; "Research" con chat, ricerca web, memoria, e progetti; "Business" con chat, ricerca web e progetti solo. Assegna ogni gruppo di dipartimento al suo ruolo corrispondente.
Passaggio 1: Controlla le tue impostazioni attuali
Rivedi quali funzionalità sono attualmente abilitate o disabilitate a livello di organizzazione in Impostazioni organizzazione > Capacità.
Vai a Impostazioni organizzazione > Membri per esportare o rivedere il tuo elenco di membri.
Annota il ruolo integrato attuale di ogni membro (User, Admin, o Owner).
Per ogni team o dipartimento, decidi quali funzionalità hanno bisogno di accesso.
Ricorda: qualsiasi funzionalità che desideri controllare per gruppo deve essere abilitata a livello di organizzazione. Se una funzionalità è disattivata a livello di organizzazione, nessun ruolo personalizzato può concedere l'accesso ad essa.
Importante: A differenza dei membri con il ruolo User, i membri assegnati a ruoli personalizzati non ereditano automaticamente le capacità abilitate dall'organizzazione. Ogni capacità di cui un membro "Ruoli personalizzati" ha bisogno deve essere esplicitamente concessa da un ruolo personalizzato assegnato a uno dei loro gruppi.
Passaggio 2: Crea ruoli personalizzati
Crea i tuoi ruoli personalizzati prima di abilitare qualsiasi funzionalità o migrare i membri. Questo assicura che i tuoi ruoli siano pronti a far rispettare l'accesso nel momento in cui le funzionalità si attivano.
Fai clic su "Aggiungi ruolo."
Nomina il ruolo e attiva le capacità appropriate nella scheda Capacità.
Fai clic su "Avanti: Configura connettori."
Nella scheda Connettori, imposta le autorizzazioni dei connettori per il ruolo. Vedi Passaggio 3.
Fai clic su "Aggiungi ruolo."
Ripeti per ogni ruolo nel tuo piano.
Le modifiche ai ruoli personalizzati possono richiedere fino a cinque minuti per propagarsi. I membri potrebbero aver bisogno di aggiornare i loro browser per vedere l'accesso aggiornato.
Vedi Gestire i ruoli personalizzati nei piani Enterprise per i dettagli sulle capacità disponibili.
Passaggio 3: Configura le autorizzazioni dei connettori (facoltativo)
Imposta le autorizzazioni dei connettori su ogni ruolo per controllare quali connettori, e quali strumenti su quei connettori, il ruolo può utilizzare. Questo passaggio è facoltativo. Se non lo configuri, i tuoi ruoli ricadono nel comportamento predefinito descritto di seguito. Per come il modello di autorizzazione funziona da capo a fondo, vedi Gestire i ruoli personalizzati nei piani Enterprise.
Importante: Quando Anthropic abilita le autorizzazioni dei connettori per la tua organizzazione, ogni ruolo personalizzato esistente viene inizializzato con il grant "Tutti i connettori" a "Consenti sempre". Poiché "Consenti sempre" è il grant più permissivo, la tua politica degli strumenti a livello di organizzazione determina da sola il massimale effettivo di ogni membro all'abilitazione. I membri non guadagnano né perdono accesso all'abilitazione. Il tuo primo passaggio di configurazione si restringe da quella linea di base.
Nota: Un ruolo appena creato predefinisce "Richiede approvazione" su ogni connettore. Il flusso di creazione del ruolo passa attraverso la scheda Connettori in modo che tu veda questo predefinito prima di salvare. Alza un connettore a "Consenti sempre" o abbassalo a "Bloccato" secondo necessità.
Individua la scheda Connettori
Apri un ruolo esistente, o fai clic su "Aggiungi ruolo" per crearne uno.
Seleziona la scheda Connettori, accanto a Capacità.
Le impostazioni predefinite per i nuovi ruoli sono permissive. Quando crei o modifichi un ruolo, conferma le impostazioni in ogni scheda per evitare di concedere autorizzazioni non intenzionali.
Imposta autorizzazioni a livello di connettore
La scheda Connettori elenca una riga Tutti i connettori in alto, seguita da ogni connettore aggiunto dalla tua organizzazione. Ogni riga ha un menu a discesa con quattro opzioni:
Consenti sempre: Ogni strumento sul connettore è disponibile e i membri possono impostare la propria approvazione su "Consenti sempre".
Richiede approvazione: Ogni strumento è disponibile, ma i membri confermano ogni chiamata.
Bloccato: Il connettore è nascosto ai membri con questo ruolo.
Personalizzato: Imposta ogni strumento sul connettore individualmente. Vedi "Imposta autorizzazioni per strumento" di seguito.
Scegliendo "Consenti sempre", "Richiede approvazione" o "Bloccato" applica quel livello a ogni strumento sul connettore. La riga Tutti i connettori funziona allo stesso modo un livello più in alto: imposta una linea di base per ogni connettore contemporaneamente, incluso qualsiasi connettore che aggiungerai in seguito. Usala per impostare il valore predefinito di un ruolo, quindi sostituisci i singoli connettori.
Imposta autorizzazioni per strumento
Imposta un connettore su Personalizzato per rivelare i suoi strumenti come righe individuali. Ogni strumento ha il suo menu a discesa: "Consenti sempre", "Richiede approvazione" o "Bloccato".
Le autorizzazioni per strumento consentono a un ruolo di accedere a parte di un connettore. Ad esempio, con Jira impostato su Personalizzato, il suo strumento search_issues impostato su "Richiede approvazione" e ogni altro strumento Jira impostato su "Bloccato", i membri con il ruolo possono cercare in Jira ma nient'altro. Claude vede solo gli strumenti che hai concesso, quindi chiedergli di creare un ticket restituisce "Non ho uno strumento per questo" piuttosto che un errore.
Rivedi conflitti tra ruoli
Poiché le autorizzazioni del connettore sono cumulative tra i ruoli, bloccare un connettore in un ruolo non ha effetto su un membro che detiene anche un altro ruolo che lo concede. Ogni riga di connettore mostra un avviso quando altri ruoli concedono lo stesso connettore a un livello diverso. L'avviso nomina quei ruoli e si collega a loro, e la concessione più permissiva è quella che si applica.
Se hai modifiche non salvate quando apri un ruolo collegato, ti viene chiesto di scartarle prima.
Verifica l'applicazione
Verifica le autorizzazioni del connettore dopo aver migrato i membri a "Ruoli personalizzati" (Passaggio 6). Vedi Passaggio 9: Verifica e monitora.
Importante: Se la tua organizzazione utilizza Claude Code, l'abilitazione delle autorizzazioni del connettore applica anche la tua politica degli strumenti a livello di organizzazione a Claude Code. Questo può solo restringere l'accesso agli strumenti lì, mai ampliarlo, e influisce su tutti i membri. Rivedi la tua politica degli strumenti a livello di organizzazione prima dell'abilitazione se Claude Code è ampiamente distribuito. Le autorizzazioni del connettore e le impostazioni gestite di Claude Code si compongono per il più restrittivo. Vedi Impostazioni di Claude Code.
Passaggio 4: Crea gruppi e assegna ruoli
Fai clic su "Aggiungi gruppo" per creare un gruppo per ogni team o livello nel tuo piano.
Aggiungi membri ai gruppi appropriati.
Assegna ogni gruppo ai ruoli personalizzati che hai creato nel passaggio 2.
Se utilizzi la sincronizzazione della directory SCIM, puoi sincronizzare i gruppi dal tuo provider di identità invece di crearli manualmente. Per i dettagli sulla sincronizzazione dei gruppi SCIM, vedi Gestisci gruppi e limiti di spesa dei gruppi nei piani Enterprise.
Più organizzazioni sotto la stessa organizzazione padre: I gruppi vengono gestiti a livello di organizzazione padre e si propagano a tutte le organizzazioni figlie. Potresti vedere membri di altre organizzazioni elencati in un gruppo, il che non significa che abbiano accesso alla tua organizzazione. I ruoli personalizzati assegnati a un gruppo concedono solo capacità ai membri che fanno parte della tua organizzazione specifica.
Se richiedi di spostare un'organizzazione da un genitore a un altro (questo è raro nella pratica), i gruppi e i ruoli diventeranno indefiniti e dovrai ricrearli.
Importante: Se la tua organizzazione utilizza Solo invito o provisioning JIT, puoi utilizzare solo gruppi creati manualmente per RBAC. I gruppi sincronizzati SCIM non sono supportati in queste modalità.
Passaggio 5: Verifica assegnazioni di gruppi e ruoli
Prima di migrare i membri a ruoli personalizzati, conferma che ogni membro che intendi migrare sia in almeno un gruppo assegnato a un ruolo personalizzato. I membri migrati senza copertura di gruppo o ruolo perderanno l'accesso a tutte le funzioni gestite.
Utilizza i filtri Ruolo e Gruppo per identificare i membri che non sono assegnati a nessun gruppo.
In alternativa, fai clic su "Esporta CSV" per scaricare l'elenco completo dei membri con colonne di ruolo e gruppo per la revisione.
Aggiungi i membri non assegnati ai gruppi appropriati prima di continuare.
Passaggio 6: Migra i membri a ruoli personalizzati
Affinché le capacità dei ruoli personalizzati abbiano effetto, i membri devono avere il loro ruolo impostato su "Ruoli personalizzati". I membri con i ruoli Utente, Amministratore o Proprietario ottengono le loro autorizzazioni da quei ruoli direttamente, non dai ruoli personalizzati.
Importante: Completa questo passaggio solo dopo aver creato i tuoi ruoli personalizzati, configurato le autorizzazioni del connettore se le stai utilizzando, creato i tuoi gruppi e verificato che tutti i membri siano assegnati ai gruppi. I membri spostati a ruoli personalizzati prima che la configurazione sia completa perderanno immediatamente l'accesso a tutte le funzioni gestite.
Scegli il percorso di migrazione in base al fatto che la tua organizzazione abbia già abilitato i mapping dei gruppi:
Percorso A: Abilita mapping dei gruppi (solo se già in uso)
Utilizza questo percorso solo se la tua organizzazione ha già abilitato i mapping dei gruppi per l'assegnazione dei ruoli. Se non stai già utilizzando questa impostazione, passa al Percorso B.
Nella sezione mapping dei ruoli, assegna i gruppi IdP che desideri governati da ruoli personalizzati al ruolo "Ruoli personalizzati".
Salva le tue modifiche. I membri in quei gruppi IdP vengono migrati a "Ruoli personalizzati" alla prossima sincronizzazione.
I membri nei gruppi IdP mappati a "Ruoli personalizzati" seguono le autorizzazioni dei ruoli personalizzati assegnati ai loro gruppi in Claude. I membri nei gruppi IdP mappati a Utente seguono le impostazioni di capacità a livello di organizzazione. Se un membro è in gruppi su entrambi i mapping, "Ruoli personalizzati" ha la precedenza.
Percorso B: Strumento di assegnazione in blocco
Utilizza questo percorso se la tua organizzazione non ha abilitato i mapping dei gruppi.
Avviso: Se non hai già abilitato i mapping dei gruppi, non abilitarli durante la configurazione di RBAC. L'abilitazione senza prima assegnare tutti i membri ai gruppi mappati può causare la perdita di accesso dei membri alla tua organizzazione.
Utilizza i filtri Ruolo e Gruppo per selezionare i membri che desideri migrare.
Utilizza lo strumento di assegnazione in blocco nella tabella Membri per modificare il ruolo dei membri selezionati in "Ruoli personalizzati".
Ti consigliamo di migrare prima un gruppo pilota (un team o un dipartimento) e verificare che il loro accesso sia corretto prima di espandere al resto dell'organizzazione.
Implementazione graduale
Indipendentemente dal percorso che utilizzi, ti consigliamo di eseguire la migrazione in fasi:
Inizia con un gruppo pilota di un team o un reparto.
Dopo la migrazione, verifica che il gruppo pilota abbia l'accesso corretto alle funzioni in base alle assegnazioni di gruppo e ruolo.
Se qualcosa non è corretto, riporta i membri interessati al loro ruolo precedente mentre apporta gli aggiustamenti.
Espandi a più membri una volta confermato che la configurazione funziona.
Passaggio 7: Abilita le funzioni a livello organizzativo
Abilita le funzioni a livello organizzativo solo dopo che la migrazione di ruoli, gruppi e membri è completata. Questo garantisce che le capacità dei ruoli personalizzati siano già in atto, senza una finestra in cui i membri non autorizzati potrebbero accedere a una funzione.
Per qualsiasi funzione che desideri controllare per gruppo:
Vai alla pagina delle impostazioni della funzione in Impostazioni organizzazione (ad esempio, Impostazioni organizzazione > Cowork).
Abilita la funzione a livello organizzativo.
Abilitare una funzione a livello organizzativo non significa che tutti la ottengono: i permessi dei ruoli personalizzati sono già in atto per controllare chi può utilizzarla. Pensa all'interruttore a livello organizzativo come a rendere la funzione "disponibile per l'assegnazione basata su ruoli" piuttosto che "attiva per tutti".
Passaggio 8: Applica un limite di spesa per gruppo (solo organizzazioni basate sull'utilizzo)
Vai alla pagina "Utilizzo" per assegnare un limite di spesa mensile per utente a qualsiasi gruppo.
Nota le seguenti regole di precedenza:
I limiti individuali hanno sempre la priorità sui limiti di gruppo, indipendentemente da quale sia più alto.
Se un utente appartiene a più gruppi con limiti diversi, l'organizzazione può applicare il limite di spesa più basso o più alto. Utilizza il menu a discesa in "Impostazioni predefinite di spesa" per determinare la precedenza che desideri applicare.
I limiti a livello organizzativo rimangono il limite massimo assoluto.
I cambiamenti di appartenenza hanno effetto automaticamente: gli utenti ereditano o perdono i limiti non appena cambia l'appartenenza al gruppo. Rilevante solo per le organizzazioni con fatturazione basata sull'utilizzo.
Passaggio 9: Verifica e monitora
Verifica spot: Controlla alcuni membri di ogni gruppo per confermare che vedono le funzioni corrette.
Testa lo stato limitato: Accedi come (o chiedi a) un membro che non dovrebbe avere una funzione come Cowork. Dovrebbe vederla disattivata con il messaggio "Contatta il tuo amministratore per richiedere l'accesso a questa funzione".
Testa lo stato concesso: Conferma che un membro che dovrebbe avere la funzione la vede funzionare normalmente.
Controlla i casi limite: Testa i membri in più gruppi, i membri senza gruppo e i nuovi membri che si uniscono tramite SSO.
Se hai configurato i permessi del connettore, controlla anche:
Menu del connettore: i connettori bloccati non vengono visualizzati e i connettori con almeno uno strumento concesso vengono visualizzati.
Impostazioni del connettore: gli strumenti bloccati sono disattivati con "Questo strumento non è abilitato per il tuo ruolo. Contatta il tuo amministratore". Gli strumenti limitati a "Richiede approvazione" mostrano un menu di approvazione personale limitato a "Chiedi" e "Mai".
In una conversazione: chiedi a Claude di utilizzare uno strumento bloccato e segnala che non ha uno strumento per l'attività. Chiedigli di utilizzare uno strumento "Richiede approvazione" e il prompt di approvazione viene visualizzato senza un'opzione "Consenti sempre".
I cambiamenti di permesso impiegano fino a cinque minuti per sincronizzarsi completamente su tutta la piattaforma. I membri potrebbero aver bisogno di aggiornare il browser per vedere l'accesso aggiornato.
I cambiamenti di permesso del connettore raggiungono Claude al prossimo messaggio del membro e il menu del connettore al prossimo caricamento della pagina, di solito entro un minuto.
Utilizzo di SCIM con capacità basate su ruoli
SCIM si connette alle tue capacità basate su ruoli attraverso due meccanismi che funzionano insieme.
Mappatura del gruppo IdP al ruolo
Questo controlla quale ruolo integrato un membro ottiene quando viene fornito. Mappa i tuoi gruppi IdP a "Ruoli personalizzati" in modo che l'accesso dei nuovi membri sia automaticamente governato dalle capacità dei ruoli personalizzati.
Nella tabella delle mappature dei ruoli, mappa i tuoi gruppi IdP a "Ruoli personalizzati".
Sincronizzazione dei gruppi
Questo estrae i tuoi gruppi IdP in Claude in modo che possano essere assegnati ai ruoli personalizzati.
Fai clic su "Verifica aggiornamenti" nella sezione Sincronizzazione SCIM.
Quando ti viene chiesto di sincronizzare Gruppi, Membri o Entrambi, seleziona solo Gruppi. La sincronizzazione dei Membri può influire sul provisioning e sull'accesso dei membri.
I tuoi gruppi IdP vengono visualizzati come gruppi con origine SCIM nell'elenco.
Assegna i gruppi SCIM ai ruoli personalizzati proprio come i gruppi creati manualmente.
Nel tuo IdP, esegui il push solo dei gruppi che intendi effettivamente utilizzare per RBAC o limiti di spesa. La sincronizzazione di tutti i gruppi IdP può rallentare i caricamenti delle pagine nella sezione Gruppi.
Nota: I permessi dei ruoli personalizzati si applicano solo ai membri con "Ruoli personalizzati" selezionati in Impostazioni organizzazione > Membri. Se mappi un gruppo IdP a un ruolo diverso (come Utente) attraverso la mappatura gruppo-a-ruolo ma assegni lo stesso gruppo SCIM a un ruolo personalizzato, i permessi del ruolo personalizzato non hanno effetto: il membro ottiene i suoi permessi dal ruolo assegnato. Per utilizzare i ruoli personalizzati, assicurati che il gruppo IdP sia mappato a "Ruoli personalizzati".
Gestione continua con SCIM
Per concedere a un membro l'accesso a una funzione, aggiungilo al gruppo IdP appropriato. Alla sincronizzazione successiva, acquisisce il ruolo personalizzato assegnato a quel gruppo.
Per revocare l'accesso, rimuovilo dal gruppo IdP. Alla sincronizzazione successiva, il permesso viene rimosso.
Fai clic su "Sincronizzazione SCIM" nella sezione Gruppi per forzare una sincronizzazione immediata anziché attendere la sincronizzazione pianificata successiva.
Piano di rollback
Se noti che la struttura dei ruoli non è configurata correttamente dopo la migrazione:
Disattiva le funzionalità a livello organizzativo che sono state abilitate come parte della migrazione.
Ripristina i membri interessati ai loro ruoli predefiniti precedenti (ad esempio, Utente).
Recuperano immediatamente i permessi statici da quel ruolo e i permessi dei ruoli personalizzati smettono di applicarsi.
Regola i ruoli e i gruppi secondo le necessità, quindi esegui di nuovo la migrazione.
Se hai abilitato i mapping dei gruppi durante la configurazione e hai perso l'accesso amministratore, segui i passaggi di recupero in Configura il provisioning JIT o SCIM nella sezione "Ho perso l'accesso Admin/Owner dopo aver abilitato i mapping dei gruppi."
Domande frequenti
Devo abilitare una funzionalità a livello organizzativo se voglio che solo alcuni membri la abbiano?
Sì. L'interruttore a livello organizzativo deve essere attivo affinché i ruoli personalizzati controllino l'accesso per membro. Se una funzionalità è disattivata a livello organizzativo, nessuno può accedervi indipendentemente dal suo ruolo. Pensalo come un interruttore principale: i ruoli personalizzati controllano chi ottiene l'accesso al di sotto di esso.
Cosa succede se un membro impostato su "Ruoli personalizzati" non è in nessun gruppo?
Non hanno permessi di ruolo personalizzato, quindi tutte le funzionalità che richiedono permessi sono disattivate o nascoste. Assicurati che ogni membro impostato su "Ruoli personalizzati" sia in almeno un gruppo assegnato a un ruolo personalizzato.
Cosa succede se un ruolo personalizzato non concede l'accesso alla chat?
I membri in quel ruolo non vedranno l'interfaccia di chat di Claude. Atterreranno sulla loro pagina di impostazioni quando accedono. Se il loro ruolo concede altri prodotti come Cowork o Claude Code, rimangono accessibili dalla loro pagina di impostazioni e dalle app pertinenti.
La chat è abilitata per impostazione predefinita in tutti i ruoli personalizzati, quindi devi preoccuparti di questo solo se hai intenzionalmente disattivato la chat per un ruolo.
Posso usare sia ruoli predefiniti che personalizzati?
Sì. I membri con i ruoli Utente, Admin o Owner non sono interessati dai permessi dei ruoli personalizzati perché ottengono i loro permessi direttamente da quei ruoli. Solo i membri impostati su "Ruoli personalizzati" sono controllati dal sistema di gruppi e ruoli. Questo consente una migrazione graduale.
Cosa succede se un membro è in due gruppi con ruoli diversi?
I permessi sono cumulativi. Se un qualsiasi ruolo nella catena di un membro concede una funzionalità, ce l'ha. Non puoi usare un ruolo per rimuovere un permesso concesso da un altro ruolo.
Posso usare i gruppi SCIM e i gruppi manuali insieme?
Sì. Entrambi i tipi possono essere assegnati a ruoli personalizzati. La differenza è che l'appartenenza al gruppo SCIM è gestita nel tuo provider di identità, mentre l'appartenenza al gruppo manuale è gestita nelle impostazioni organizzative di Claude.
I proprietari e i proprietari primari sono interessati dai permessi dei ruoli personalizzati?
No. I proprietari e i proprietari primari hanno sempre accesso completo a tutte le funzionalità.
Come funziona questo tra organizzazioni padre e figlio?
I gruppi e la sincronizzazione SCIM sono gestiti a livello di organizzazione padre e condivisi tra tutte le organizzazioni figlio. Le assegnazioni di ruoli e limiti di spesa sono configurate indipendentemente in ogni organizzazione figlio: i cambiamenti in un'organizzazione figlio non influenzano gli altri. I cambiamenti di appartenenza ai gruppi e le risincronizzazioni SCIM si propagano in tutte le organizzazioni figlio sotto lo stesso padre.
Cosa succede ai miei ruoli personalizzati esistenti quando i permessi dei connettori sono abilitati?
Ogni ruolo esistente è inizializzato con la concessione "Tutti i connettori" impostata su "Consenti sempre", quindi l'accesso dei membri non cambia all'abilitazione. Da lì restringi l'accesso.
Qual è il permesso del connettore predefinito su un nuovo ruolo?
"Richiede approvazione" su ogni connettore. Il flusso di creazione del ruolo esamina la scheda Connettori in modo da vederlo prima di salvare.
Cosa succede quando aggiungo un nuovo connettore dopo che i miei ruoli esistono?
Un ruolo la cui riga "Tutti i connettori" è impostata su "Consenti sempre", "Richiede approvazione" o "Bloccato" copre il nuovo connettore a quel livello automaticamente. Un ruolo la cui riga "Tutti i connettori" è impostata su "Personalizzato" tratta il nuovo connettore come "Bloccato" finché non lo imposti.
Ho bloccato un connettore in un ruolo, ma un membro con quel ruolo può ancora usarlo. Perché?
Verifica se il membro detiene un altro ruolo che lo concede, poiché la concessione più permissiva vince tra i ruoli. L'avviso di conflitto sulla riga del connettore elenca quei ruoli. Inoltre, conferma che il ruolo del membro è impostato su "Ruoli personalizzati".
La mia politica degli strumenti a livello organizzativo blocca già uno strumento. Devo bloccarlo in ogni ruolo?
No. La politica a livello organizzativo è il limite massimo. Uno strumento bloccato lì è bloccato per tutti, indipendentemente dalle concessioni di ruolo.
Un ruolo può concedere uno strumento che la politica a livello organizzativo imposta su "Richiede approvazione"?
Il ruolo può concederlo, ma l'impostazione più restrittiva vince, quindi i membri lo vedono limitato a "Richiede approvazione". Per consentire ai membri di impostare "Consenti sempre", aumenta prima la politica a livello organizzativo a "Consenti sempre".
Posso concedere uno strumento su un connettore senza concedere l'intero connettore?
Sì. Imposta il connettore su "Personalizzato", imposta lo strumento su "Consenti sempre" o "Richiede approvazione" e lascia il resto "Bloccato".
I permessi dei connettori si applicano agli strumenti predefiniti come la ricerca web o l'esecuzione del codice?
No. Le funzionalità predefinite sono governate nella scheda Funzionalità. La scheda Connettori governa i connettori che la tua organizzazione ha aggiunto.
Con quale rapidità i cambiamenti dei permessi dei connettori hanno effetto?
Raggiungono Claude al prossimo messaggio del membro e il menu dei connettori al prossimo caricamento della pagina. Consenti circa un minuto affinché i cambiamenti si propaghino. I cambiamenti di appartenenza ai gruppi e ai ruoli si propagano entro circa cinque minuti come altri cambiamenti di ruolo.