このガイドでは、ClaudeまたはClaude Consoleの組織に対するユーザープロビジョニングとロール割り当ての設定方法について説明します。
JITプロビジョニングはTeamプラン、Enterpriseプラン、およびConsole組織で利用できます。SCIMプロビジョニングはEnterpriseおよびConsole組織でのみ利用できます。
開始する前に: このガイドでは、シングルサインオン(SSO)の設定(ドメイン検証とIdentity Provider(IdP)によるSSO設定を含む)が既に完了していること、およびAdmin(Console)またはOwner(Claude)ロールを持っていることを前提としています。
ステップ1: プロビジョニングモードを選択する
SSOが設定されたら、ユーザーが組織にプロビジョニングされる方法を決定する必要があります。これは組織設定 > 組織とアクセスのユーザープロビジョニングセクションで制御されます。
プロビジョニングオプション
招待のみがデフォルトです。ユーザーはClaudeまたはConsole設定で直接追加および削除されます。
ジャストインタイム(JIT): Anthropic IdPアプリに割り当てられたユーザーは、初回ログイン時に自動的にプロビジョニングされます。このオプションはすべてのプランで利用できます。
SCIMディレクトリ同期: ユーザーはIdPの割り当てに基づいて自動的にプロビジョニングおよびデプロビジョニングされ、事前にログインする必要はありません。SCIMはEnterpriseプランおよび独自の親組織を持つまたはEnterpriseの親組織に参加しているConsole組織で利用できます。SCIMはTeamプランまたはTeamプランの親組織に参加しているConsole組織では利用できません。
プロビジョニング動作の概要
この表を使用して、組織に適したプロビジョニングモードを決定するのに役立てください。
モード | プロビジョニング | ロールとシートタイプの変更 | 削除 |
招待のみ | ユーザーは手動で追加されます | ロールとシートタイプは手動で変更されます | ユーザーは手動で削除されます |
ジャストインタイム(JIT) | IdPアプリに割り当てられたユーザーはログイン時にUserロールでプロビジョニングされます | ロールとシートタイプは手動で変更されます | 手動削除が必要: IdPアプリから削除されたユーザーはログインできなくなりますが、ログイン試行または手動削除されるまでユーザーリストに残ります |
JIT + グループマッピング | マップされたグループの少なくとも1つに属するユーザーは、ログイン時にグループメンバーシップから最も高い権限を持つロールでプロビジョニングされます | ロールとシートタイプは次のログイン時にグループメンバーシップに基づいて更新されます | グループアクセスのないユーザーはログインできませんが、ログイン試行または手動削除されるまでリストに残ります |
SCIMディレクトリ同期 | IdPアプリに割り当てられたユーザーは、親組織に参加しているすべての組織に自動的にプロビジョニングされます。 | ロールとシートタイプは手動で変更されます | IdPアプリから削除されたユーザーは自動的に削除されます |
SCIM + グループマッピング | マップされたグループの少なくとも1つに属するユーザーは、そのグループが追加された親組織に参加している組織にのみ、適切なロールで自動的にプロビジョニングされます。 | ロールとシートタイプの変更はグループメンバーシップに基づいて自動的に伝播されます | グループアクセスが取り消されたときの自動削除 |
JITとSCIMの両方をグループマッピングを有効にすると組み合わせて、IdPグループメンバーシップに基づいてロールまたはシートティア割り当てを制御できます。プロビジョニングモードでこれらのオプションのいずれかを選択した場合、グループマッピングを有効にするはユーザープロビジョニングセクション内に表示されます。
利用可能なロールとシートティア
製品 | ロール | シートタイプ |
Teamプラン | Owner、Admin、User | Premium、Standard |
シートベースのEnterpriseプラン | Owner、Admin、User、カスタムロール | Premium、Standard |
使用量ベースのEnterpriseプラン(2つのシートタイプ付き) | Owner、Admin、User、カスタムロール | チャット、チャット + Claude Code |
使用量ベースのエンタープライズプラン(シングルシートタイプ) | オーナー、管理者、ユーザー、カスタムロール | エンタープライズ |
コンソール | 管理者、開発者、限定開発者、請求、Claude Code ユーザー、ユーザー | — |
シートの購入またはプランのシート割り当ての調整に関する情報については、チームプランおよびエンタープライズプランのガイドをご覧ください。
ステップ 2: SCIM ディレクトリ同期をセットアップする(SCIM を使用する場合)
注: 招待のみまたは JIT プロビジョニングを使用している場合は、このステップをスキップしてください。
プロビジョニングモードとして SCIM を選択した場合、有効にする前に、ID プロバイダーと Anthropic 間の接続を確立する必要があります。
Claude の組織とアクセス設定(claude.ai/admin-settings/organization)またはコンソールのID とアクセス設定(platform.claude.com/settings/identity)に移動します。
ユーザープロビジョニングセクションで、SCIM ディレクトリ同期の横にある「Setup SCIM」(または「Manage SCIM」)をクリックします。
WorkOS セットアップガイドに従って、ID プロバイダーで SCIM を構成します。WorkOS から IdP の Anthropic アプリケーションに値をコピーする必要があります。
‼️ IdP グループステップに到達したら、一時停止して、このガイドのステップ 3 と 4、および他のガイドを確認してください。
IdP 固有の JIT / SCIM セットアップ手順については、以下を参照してください:
その他の IdP についてはこちらを参照してください
IdP が接続されたら、ステップ 3 に進みます。
ステップ 3: プロビジョニングモードを構成し、グループマッピングを有効にする
設定のユーザープロビジョニングセクションを見つけます。
選択したオプションを選択します:
招待のみ: 新しいメンバーは、既存のメンバーによって手動で招待された場合にのみ参加できます。SSO アクセスだけでは、組織に追加されません。
ジャストインタイム (JIT): SSO アクセス権を持つユーザーが初回ログイン時に参加できるようにします。新しいメンバーは利用可能なシートの 1 つを使用します。
SCIM ディレクトリ同期: ディレクトリが変更されると、メンバーを自動的に追加または削除します。組織は常に最新の状態に保たれます。
「ジャストインタイム (JIT)」または「SCIM ディレクトリ同期」を選択した場合、すぐに「変更を保存」をクリックしないでください。まず、すべてのユーザーが IdP の Anthropic アプリケーションに割り当てられていることを確認する必要があります。
IdP ですべてのユーザーが割り当てられていることを確認したら、次のいずれかを実行できます:
「変更を保存」をクリックしてセットアップを完了し、初期プロビジョニングをトリガーするか、
グループマッピングを有効にするをオンにして、ステップ 4 に移動します。
重要: ユーザーが適切に割り当てられる前に保存すると、それらのユーザーが組織からプロビジョニング解除されます。
ステップ 4: ID プロバイダーでグループを構成し、グループをロールとシートタイプにマッピングする
割り当てたい各ロール用に IdP にグループを作成します。シングルシート エンタープライズプランを使用していない場合は、各シートタイプ用にもグループを作成します。
これらのグループの命名要件はなくなりましたが、グループ名に何か含める(例:
anthropic-claude-またはanthropic-console-)ことをお勧めします。これにより、識別しやすくなります。
作成したグループにユーザーを追加し、少なくとも 1 人のユーザー(自分を含む)が管理者(コンソール)または所有者(Claude)ロールにマッピングされるグループに含まれていることを確認します。
Claude またはコンソールの組織とアクセスまたはID とアクセス設定に戻り、ユーザープロビジョニングを見つけます。
グループマッピングを有効にするをオンにします(まだオンになっていない場合):
グループマッピングを有効にするセクションで、各ロールの横にある「追加」をクリックし、ドロップダウンから IdP の対応するグループを選択します。
グループマッピングを使用する場合、ユーザーがアカウントをプロビジョニングされることを確認するために、すべてのユーザーをロールベースのグループに割り当てる必要があります。ユーザーをシートティアベースのグループに割り当てることはオプションです。
IdP グループを「カスタムロール」ロールにマッピングできます。このロールに割り当てられたメンバーはデフォルトのアクセス許可を持たず、アクセスは Claude のグループに割り当てられたカスタムロールによって完全に決定されます。
シングルシート エンタープライズ以外のすべてのプラン: IdP グループへのシートティアの割り当てセクション(オプション)で、各シートタイプの横にある「追加」をクリックし、ドロップダウンから IdP の対応するグループを選択します。ユーザーがシートタイプグループに割り当てられていない場合、デフォルトで最も高い利用可能なタイプが割り当てられます。
シングルシート エンタープライズ: シートタイプマッピングは適用されません。プロビジョニングされたすべてのユーザーには、組織で利用可能なエンタープライズシートが自動的に割り当てられます。
必要なすべてのグループが適切なロールとシートタイプにマッピングされていることを確認します。
「変更を保存」をクリックします。
注: Microsoft Entra は SCIM の変更を 40 分ごとにプッシュするため、変更が表示されるまでに遅延が生じる可能性があります。「Manage SCIM」をクリックしてディレクトリを表示することで、IdP から同期されたユーザーを確認できます。ディレクトリ内のユーザーは Claude / コンソールにプロビジョニングされます。
重要: アクセスが必要なすべてのユーザーは、グループマッピング構成を保存する前に、適切なグループに割り当てられている必要があります。これらのユーザーは、SSO を有効にした時点で、IdP の Anthropic アプリケーションに既に割り当てられている必要があります。
トラブルシューティング
ユーザーが正しく割り当てられ、ディレクトリに表示されていますが、Claude のメンバーとして追加されていませんか?
組織にメンバーを追加するために購入して利用可能なシートが十分にあることを確認してください。
Organization settings > Organization and access に表示されている利用可能なシート数を確認し、必要に応じて追加シートを購入してください(Team plans および Enterprise plans のガイドを参照)。
利用可能なシートがある場合は、Organization and access ページに戻り、Directory sync (SCIM) の横にある「Sync now」をクリックします。これにより、まだメンバーとして追加されていないユーザーのアカウントをプロビジョニングするための同期がトリガーされます。
ユーザーが正しいロールでプロビジョニングされていません
ユーザーが IdP の正しいグループに割り当てられていることを確認してください。
グループが Organization and access 設定の正しいロールにマップされていることを確認してください。
JIT の場合:ロール変更を有効にするには、ユーザーはログアウトしてからログバックインする必要があります。
SCIM の場合:「Sync」をクリックして即座に同期を実行するか、自動同期サイクルを待ってください:
グループマッピングを有効にした後、Admin/Owner アクセスを失いました
これは、グループマッピングを設定している人が Admin または Owner ロールにマップされたグループに割り当てられていないため、権限が User にダウングレードされた場合に発生します。
これを修正するには:
オプション 1: 別の Admin/Owner にロールを復元してもらう
組織の別の Admin または Owner に連絡してください。
Organization settings > Organization(Claude の場合)または Settings > Members(Console の場合)に移動するよう依頼してください。
ロールを Admin または Owner に戻すよう依頼してください。
オプション 2: Identity Provider 経由で修正する
IdP で、Admin または Owner ロールにマップされた正しいプレフィックスを持つグループに自分自身を割り当ててください。
JIT の場合:ログアウトしてからログバックインしてアクセスを復元してください。
SCIM の場合:Organization and access 設定で別の Admin または Owner に「Sync」をクリックするよう依頼するか、自動同期サイクルを待ってください。