JITまたはSCIMプロビジョニングの設定 | Anthropicヘルプセンター

このガイドでは、ClaudeまたはClaude Consoleの組織に対してユーザープロビジョニングとロール割り当てを設定する方法について説明します。

JITプロビジョニングはTeamプラン、Enterpriseプラン、およびConsole組織で利用できます。SCIMプロビジョニングはEnterpriseおよびConsole組織でのみ利用できます。

開始する前に: このガイドは、シングルサインオン(SSO)の設定（ドメイン検証とIdentity Provider(IdP)によるSSO設定を含む）の手順を既に完了していること、およびAdmin(Console)またはOwner(Claude)ロールを持っていることを前提としています。

ステップ1: プロビジョニングモードを選択する

SSOが設定されたら、ユーザーが組織にプロビジョニングされる方法を決定する必要があります。これはOrganization settings > Organization and accessのUser provisioningセクションで制御されます。

プロビジョニングオプション

招待のみがデフォルトです。ユーザーはClaudeまたはConsoleの設定で直接追加および削除されます。

ジャストインタイム(JIT): Anthropic IdPアプリに割り当てられたユーザーは、初回ログイン時に自動的にプロビジョニングされます。このオプションはすべてのプランで利用できます。

SCIMディレクトリ同期: ユーザーはIdPの割り当てに基づいて自動的にプロビジョニングおよびデプロビジョニングされ、最初にログインする必要はありません。SCIMはEnterpriseプランおよび独自の親組織を持つまたはEnterpriseの親組織に参加しているConsole組織で利用できます。SCIMはTeamプランまたはTeamプランの親組織に参加しているConsole組織では利用できません。

プロビジョニング動作の概要

この表を使用して、組織に適したプロビジョニングモードを決定するのに役立てください:

モード	プロビジョニング	ロールとシートタイプの変更	削除
招待のみ	ユーザーは手動で追加されます	ロールとシートタイプは手動で変更されます	ユーザーは手動で削除されます
ジャストインタイム(JIT)	IdPアプリに割り当てられたユーザーはログイン時にUserロールでプロビジョニングされます	ロールとシートタイプは手動で変更されます	手動削除が必要: IdPアプリから削除されたユーザーはログインできなくなりますが、ログイン試行または削除されるまでユーザーリストに残ります
JIT + グループマッピング	マップされたグループの少なくとも1つに属するユーザーは、ログイン時にグループメンバーシップから最も高い権限を持つロールでプロビジョニングされます	ロールとシートタイプは次のログイン時にグループメンバーシップに基づいて更新されます	グループアクセスのないユーザーはログインできませんが、ログイン試行または手動削除までリストに残ります
SCIMディレクトリ同期	IdPアプリに割り当てられたユーザーは、親組織に参加しているすべての組織に自動的にプロビジョニングされます。	ロールとシートタイプは手動で変更されます	IdPアプリから削除されたユーザーは自動的に削除されます
SCIM + グループマッピング	マップされたグループの少なくとも1つに属するユーザーは、そのグループが追加された親組織に参加している組織にのみ、適切なロールで自動的にプロビジョニングされます。	ロールとシートタイプの変更はグループメンバーシップに基づいて自動的に伝播されます	グループアクセスが取り消されたときの自動削除

JITとSCIMの両方をEnable group mappingsと組み合わせて、IdPグループメンバーシップに基づいてロールまたはシートティア割り当てを制御できます。プロビジョニングモードのいずれかを選択した場合、Enable group mappingsはUser provisioningセクション内に表示されます:

利用可能なロールとシートティア

製品	ロール	シートタイプ
Teamプラン	Owner、Admin、User	Premium、Standard
シートベースのEnterpriseプラン	Owner、Admin、User、Custom	Premium、Standard
使用量ベースのEnterpriseプラン(2つのシートタイプ付き)	Owner、Admin、User、Custom	チャット、チャット + Claude Code
使用量ベースのエンタープライズプラン（シングルシートタイプ）	オーナー、管理者、ユーザー、カスタム	エンタープライズ
コンソール	管理者、開発者、限定開発者、請求、Claude Code ユーザー、ユーザー	—

シートの購入またはプランのシート割り当ての調整に関する情報については、チームプランおよびエンタープライズプランのガイドをご覧ください。

ステップ 2: SCIM ディレクトリ同期をセットアップする（SCIM を使用する場合）

注: 招待のみまたは JIT プロビジョニングを使用している場合は、このステップをスキップしてください。

プロビジョニングモードとして SCIM を選択した場合は、有効にする前に、ID プロバイダーと Anthropic 間の接続を確立する必要があります。

Claude の組織とアクセス設定（claude.ai/admin-settings/organization）またはコンソールのID とアクセス設定（platform.claude.com/settings/identity）に移動します。
ユーザープロビジョニングセクションで、SCIM ディレクトリ同期の横にある「SCIM をセットアップ」（または「SCIM を管理」）をクリックします。
WorkOS セットアップガイドに従って、ID プロバイダーで SCIM を構成します。WorkOS から値をコピーして、IdP の Anthropic アプリケーションに貼り付ける必要があります。

‼️ IdP グループステップに到達したら、一時停止して、このガイドのステップ 3 と 4、および他のガイドを確認してください。

IdP 固有の JIT / SCIM セットアップ手順については、以下を参照してください:

Okta SAML / OKTA SCIM
Entra ID SAML / Entra ID SCIM
Google SAML / ディレクトリ同期
OneLogin SAML / OneLogin SCIM
JumpCloud SAML / JumpCloud SCIM
その他の IdP についてはこちらを参照してください

IdP が接続されたら、ステップ 3 に進みます。

ステップ 3: プロビジョニングモードを構成し、グループマッピングを有効にする

設定のユーザープロビジョニングセクションを見つけます。
選択したオプションを選択します:
1. 招待のみ: 新しいメンバーは、既存のメンバーによって手動で招待された場合にのみ参加できます。SSO アクセスだけでは、組織に追加されません。
2. ジャストインタイム (JIT): SSO アクセスを持つユーザーが初回ログイン時に参加できるようにします。新しいメンバーは利用可能なシートの 1 つを使用します。
3. SCIM ディレクトリ同期: ディレクトリが変更されると、メンバーを自動的に追加または削除します。組織は常に最新の状態に保たれます。
「ジャストインタイム (JIT)」または「SCIM ディレクトリ同期」を選択した場合は、すぐに「変更を保存」をクリックしないでください。まず、すべてのユーザーが IdP の Anthropic アプリケーションに割り当てられていることを確認する必要があります。
IdP ですべてのユーザーが割り当てられていることを確認したら、次のいずれかを実行できます:
1. 「変更を保存」をクリックしてセットアップを完了し、初期プロビジョニングをトリガーするか、
2. グループマッピングを有効にするをオンにして、ステップ 4 に移動します。

重要: ユーザーが適切に割り当てられる前に保存すると、それらのユーザーが組織からプロビジョニング解除されます。

ステップ 4: ID プロバイダーでグループを構成し、グループをロールとシートタイプにマッピングする

割り当てたい各ロールに対して IdP にグループを作成します。シングルシートエンタープライズプランを使用していない場合は、各シートタイプのグループも作成します。
1. これらのグループの命名要件はなくなりましたが、グループ名に何か含める（例: anthropic-claude- または anthropic-console-）ことをお勧めします。これにより、識別が容易になります。
作成したグループにユーザーを追加し、少なくとも 1 人のユーザー（自分を含む）が Admin（コンソール）または Owner（Claude）ロールにマッピングされるグループに属していることを確認します。
Claude またはコンソールの組織とアクセスまたはID とアクセス設定に戻り、ユーザープロビジョニングを見つけます。
グループマッピングを有効にするをオンにします（まだオンになっていない場合）:
グループマッピングを有効にするセクションで、各ロールの横にある「追加」をクリックし、ドロップダウンから IdP の対応するグループを選択します。
1. グループマッピングを使用する場合、アカウントがプロビジョニングされることを確認するために、すべてのユーザーをロールベースのグループに割り当てる必要があります。ユーザーをシートティアベースのグループに割り当てることはオプションです。
2. IdP グループを「カスタム」ロールにマッピングできます。このロールが割り当てられたメンバーはデフォルトのアクセス許可を持たず、アクセスは Claude のグループに割り当てられたカスタムロールによって完全に決定されます。
シングルシートエンタープライズを除くすべてのプラン: シートティアを IdP グループに割り当てるセクション（オプション）で、各シートタイプの横にある「追加」をクリックし、ドロップダウンから IdP の対応するグループを選択します。ユーザーがシートタイプグループに割り当てられていない場合、デフォルトで最も高い利用可能なタイプが割り当てられます。
1. シングルシートエンタープライズの場合: シートタイプマッピングは適用されません。プロビジョニングされたすべてのユーザーには、組織で利用可能な場合、自動的にエンタープライズシートが割り当てられます。
必要なすべてのグループが適切なロールとシートタイプにマッピングされていることを確認します。
「変更を保存」をクリックします。
1. 注: Microsoft Entra は SCIM の変更を 40 分ごとにプッシュするため、変更が表示されるまでに遅延が生じる可能性があります。「SCIM を管理」をクリックしてディレクトリを表示することで、IdP から同期されたユーザーを確認できます。ディレクトリ内のユーザーは Claude / コンソールにプロビジョニングされます。

重要: アクセスが必要なすべてのユーザーは、グループマッピング構成を保存する前に、適切なグループに割り当てられている必要があります。これらのユーザーは、SSO を有効にした時点で、IdP の Anthropic アプリケーションに既に割り当てられている必要があります。

プライマリオーナーロールが SCIM でどのように機能するか

組織のプライマリオーナーはSCIM調整から除外されます。プライマリオーナーアカウントがIdPディレクトリに存在しない場合、またはロールにマップされたグループのメンバーでない場合、SCIMが同期するときにスキップされます。プライマリオーナーのメンバーシップとロールは保持されます。
この除外は、単一のプライマリオーナーロールにのみ適用されます。オーナーおよび管理者ロールは除外されず、ロールにマップされたグループに含まれる必要があります。そうでない場合、SCIMグループマッピングが有効になると削除されます。
プライマリオーナーロールはSCIMグループマッピング経由で割り当てることはできません。組織設定 > メンバーから手動で転送することのみ可能です。SCIMを有効にする前に、目的のプライマリオーナーを設定してください。
プライマリオーナーはSSOサインイン強制から除外されません。SSO強制はメールドメインで適用されます。プライマリオーナーのメールが強制ドメイン上にある場合、SSOを通じて認証する必要があります。

トラブルシューティング

ユーザーが正しく割り当てられてディレクトリに表示されているのに、Claudeにメンバーとして追加されていませんか？

組織にメンバーを追加するために購入して利用可能なシートが十分にあることを確認してください。

組織設定 > 組織とアクセスに表示されている利用可能なシート数を確認し、必要に応じて追加シートを購入してください（チームプランおよびエンタープライズプランのガイドを参照）。
利用可能なシートがある場合は、「組織とアクセス」ページに戻り、ディレクトリ同期（SCIM）の横にある「今すぐ同期」をクリックしてください。これにより、まだメンバーとして追加されていないユーザーのアカウントをプロビジョニングするための同期がトリガーされます。