System for Cross-domain Identity Management (SCIM) consente al tuo provider di identità di gestire automaticamente gli account utente in Claude for Government. Con SCIM, il tuo IdP controlla chi ha accesso, quale ruolo ricopre e quale livello di seat è assegnato, senza intervento manuale nella console di amministrazione di Claude.
Per la configurazione di SCIM su Claude Enterprise, consulta Configurare il provisioning JIT o SCIM.
Come SCIM differisce per Claude for Government
Claude for Government utilizza un'implementazione SCIM di prima parte ospitata nell'ambiente autorizzato da FedRAMP. Il piano commerciale Claude Enterprise utilizza un backend SCIM diverso.
Funzionalità | Claude for Government | Claude Enterprise |
Endpoint SCIM | claude.fedstart.com/v1/scim/v2 | Configurato tramite claude.ai |
Implementazione SCIM | Anthropic di prima parte (autorizzato da FedRAMP) | Integrazione di terze parti |
Gestione delle chiavi API | Self-service tramite pagina delle impostazioni di identità | Self-service tramite impostazioni di amministrazione |
Supporto organizzazione padre | Sì — per la gestione dell'identità multi-org | Non applicabile |
Prerequisiti
Prima di configurare SCIM, devi completare:
Configurazione SSO — Completa i passaggi descritti nella guida di configurazione SSO.
Verifica del dominio — Il tuo dominio di accesso deve essere verificato (questo viene completato durante la configurazione SSO).
Accesso amministratore IdP — Autorizzazione per configurare un'integrazione SCIM nel tuo provider di identità.
Come funziona il provisioning con e senza SCIM
Senza SCIM, Claude for Government utilizza il provisioning just-in-time (JIT): qualsiasi utente che si autentica tramite SSO riceve automaticamente un seat, purché siano disponibili licenze. Controlli chi può autenticarsi gestendo l'appartenenza all'applicazione SAML all'interno del tuo IdP.
Con SCIM, l'accesso e il provisioning sono separati. Il tuo IdP comunica ad Anthropic chi dovrebbe avere accesso e a quale ruolo/livello. SSO viene utilizzato solo per l'autenticazione. Questo ti dà un controllo granulare su ruoli, livelli di seat e offboarding.
Passaggio 1: Generare una chiave API SCIM
Accedi a claude.fedstart.com/admin-settings/identity.
Nella sezione SCIM, genera una nuova chiave API.
Copia la chiave — ti servirà quando configurerai il tuo IdP.
Importante: Archivia questa chiave in modo sicuro. Non può essere recuperata dopo aver lasciato la pagina.
Passaggio 2: Configurare SCIM nel tuo provider di identità
Nel tuo IdP (ad es. Entra ID, Okta), crea o apri un'integrazione di provisioning SCIM.
Immetti i seguenti valori:
URL endpoint SCIM: https://claude.fedstart.com/v1/scim/v2
Chiave API / Token Bearer: La chiave generata nel Passaggio 1
Configura gli attributi utente che il tuo IdP sincronizzerà (in genere nome e email).
Assegna utenti e gruppi all'integrazione SCIM all'interno del tuo IdP.
Passaggio 3: Verificare lo stato della sincronizzazione
Dopo aver abilitato l'integrazione nel tuo IdP:
Torna alla pagina delle impostazioni di identità su claude.fedstart.com/admin-settings/identity.
Controlla l'indicatore di stato della sincronizzazione SCIM per confermare che gli utenti si stanno sincronizzando.
Avvertenza: Quando abiliti completamente il provisioning SCIM, tutti gli utenti che non sono stati sincronizzati tramite SCIM verranno rimossi dall'organizzazione. Conferma che tutti gli utenti previsti compaiano nella sincronizzazione prima di procedere.
Passaggio 4: Mappare i gruppi ai ruoli e ai livelli di seat
Il provisioning SCIM utilizza i gruppi IdP per assegnare ruoli e livelli di seat all'interno di Claude for Government.
Nella pagina delle impostazioni di identità, apri la tabella dei mapping dei ruoli.
Per ogni gruppo IdP, assegna:
Ruolo — Il ruolo dell'utente all'interno dell'organizzazione (ad es. Membro, Proprietario).
Livello di seat — Il livello di licenza, se la tua organizzazione ha acquistato più livelli.
Salva i tuoi mapping.
Se gestisci più organizzazioni sotto un'unica organizzazione padre (vedi sotto), ogni organizzazione mantiene i propri mapping di ruoli e livelli di seat. Passa da un'organizzazione all'altra utilizzando il selettore di organizzazione nell'angolo in basso a sinistra della pagina.
Organizzazioni padre (configurazioni multi-org)
Ogni organizzazione Claude for Government appartiene a un'organizzazione padre. Per la maggior parte dei clienti, questo è trasparente: un'organizzazione padre viene creata automaticamente durante il provisioning e contiene una singola organizzazione figlio.
Le organizzazioni padre diventano rilevanti quando più organizzazioni condividono un dominio di accesso. Gli scenari comuni includono:
Uffici regionali che acquistano Claude for Government indipendentemente ma condividono un dominio email.
Sotto-dipartimenti all'interno di un'agenzia che richiedono la separazione dei dati (ad es. prevenire la condivisione tra organizzazioni di chat o progetti).
In una configurazione multi-org:
Le impostazioni di identità (configurazione IdP e SCIM) vengono gestite a livello di organizzazione padre.
I mapping di ruoli e livelli di seat vengono configurati per ogni organizzazione figlio, consentendo a diversi gruppi di mappare a diverse organizzazioni.
Qualsiasi Proprietario o Proprietario principale in un'organizzazione figlio può gestire le impostazioni IdP. Limita questi ruoli al personale IT centralizzato.
Nota: Il supporto Anthropic lavorerà con te durante il provisioning per configurare le relazioni tra organizzazioni padre e figlio. Contatta il tuo rappresentante di account o il supporto Anthropic se hai bisogno di configurare una struttura multi-org.