JIT プロビジョニングは Team プラン、Enterprise プラン、および Console 組織で利用可能です。SCIM プロビジョニングは Enterprise および Console 組織でのみ利用可能です。
このガイドでは、Claude または Claude Console 組織のユーザープロビジョニングとロール割り当てを設定する方法について説明します。
開始する前に: このガイドは、シングルサインオン (SSO) の設定(ドメイン検証と Identity Provider (IdP) との SSO 設定を含む)をすでに完了していること、および Admin (Console) または Owner (Claude) ロールを持っていることを前提としています。
ステップ 1: プロビジョニングモードを選択する
SSO が設定されたら、ユーザーが組織にプロビジョニングされる方法を決定する必要があります。これは Organization settings > Identity and access の Provisioning mode 設定で制御されます。
プロビジョニングオプション
Invite only がデフォルトです。ユーザーは Claude または Console 設定で直接追加および削除されます。
Approve automatically (JIT): Anthropic IdP アプリに割り当てられたユーザーは、初回ログイン時に自動的にプロビジョニングされます。このオプションはすべてのプランで利用可能です。
Sync with SCIM: ユーザーは IdP での割り当てに基づいて自動的にプロビジョニングおよびデプロビジョニングされ、最初にログインする必要はありません。SCIM は Enterprise プランおよび独自の親組織を持つか Enterprise 親組織に参加している Console 組織で利用可能です。SCIM は Team プランまたは Team プランの親組織に参加している Console 組織では利用できません。
プロビジョニング動作の概要
この表を使用して、組織に適したプロビジョニングモードを決定するのに役立てください:
モード | プロビジョニング | ロールとシートタイプの変更 | 削除 |
Invite only | ユーザーは手動で追加されます | ロールとシートタイプは手動で変更されます | ユーザーは手動で削除されます |
Approve automatically (JIT) | IdP アプリに割り当てられたユーザーは、ログイン時に User ロールでプロビジョニングされます | ロールとシートタイプは手動で変更されます | 手動削除が必要:IdP アプリから削除されたユーザーはログインできなくなりますが、ログイン試行または手動削除されるまでユーザーリストに残ります |
JIT + グループマッピング | 少なくとも 1 つのマップされたグループに属するユーザーは、ログイン時にグループメンバーシップから最も高い権限を持つロールでプロビジョニングされます | ロールとシートタイプは次回ログイン時にグループメンバーシップに基づいて更新されます | グループアクセスのないユーザーはログインできませんが、ログイン試行または手動削除されるまでリストに残ります |
Sync with SCIM | IdP アプリに割り当てられたユーザーは、親組織に参加しているすべての組織に自動的にプロビジョニングされます。 | ロールとシートタイプは手動で変更されます | IdP アプリから削除されたユーザーは自動的に削除されます |
SCIM + グループマッピング | 少なくとも 1 つのマップされたグループに属するユーザーは、適切なロールで自動的にプロビジョニングされます | ロールとシートタイプの変更はグループメンバーシップに基づいて自動的に伝播されます | グループアクセスが取り消されると自動的に削除されます |
JIT と SCIM の両方を Enable group mappings と組み合わせて、IdP グループメンバーシップに基づいてロールまたはシートティア割り当てを制御できます。
利用可能なロールとシートティア
製品 | ロール | シートタイプ |
Team プラン / シートベース Enterprise プラン | Owner、Admin、User | Premium、Standard |
使用量ベース Enterprise プラン(2 つのシートタイプ) | Owner、Admin、User | Chat、Chat + Claude Code |
使用量ベース Enterprise プラン(単一シートタイプ) | Owner、Admin、User | Enterprise |
Console | Admin、Developer、Billing、Claude Code User、User | — |
シートの購入またはプランのシート割り当ての調整に関する情報については、Team プランおよびEnterprise プランのガイドを参照してください。
ステップ 2: SCIM ディレクトリ同期を設定する(SCIM を使用する場合)
注: Invite only または JIT プロビジョニングを使用している場合は、このステップをスキップしてください。
プロビジョニングモードとして SCIM を選択した場合は、それを有効にする前に Identity Provider と Anthropic 間の接続を確立する必要があります。
Claude(claude.ai/admin-settings/identity)または Console(platform.claude.com/settings/identity)の Identity and access 設定に移動します
Global access settings セクションで、Directory sync (SCIM) の横にある「Setup SCIM」(または「Manage SCIM」)をクリックします。
WorkOS セットアップガイドに従って、Identity Provider で SCIM を設定します。WorkOS から IdP の Anthropic アプリケーションに値をコピーする必要があります。
‼️ IdP Group ステップに到達したら、このガイドのステップ 3 と 4 を他のガイドと一緒に確認するために一時停止してください。
IdP 固有の JIT / SCIM セットアップ手順については、以下を参照してください:
その他の IdP についてはこちらを参照してください
IdP が接続されたら、ステップ 3 に進みます。
ステップ 3: プロビジョニングモードを設定し、グループマッピングを有効にする
Identity and access 設定の Global access settings セクションで、Provisioning mode を見つけます。
ドロップダウンから選択したオプションを選択します:
Invite only:新しいメンバーは既存のメンバーによって手動で招待された場合にのみ参加できます。SSO アクセスだけでは組織に追加されません。
Approve automatically (JIT):SSO アクセスを持つユーザーが初回ログイン時に参加できるようにします。新しいメンバーは利用可能なシートの 1 つを使用します。
Sync with SCIM:ディレクトリが変更されるとメンバーを自動的に追加または削除します。組織は常に最新の状態に保たれます。
使用する場合は Enable group mappings をオンに切り替えます。
重要: まだ「Save changes」をクリックしないでください。まず、すべてのユーザーが IdP の Anthropic アプリケーションに割り当てられていることを確認する必要があります。グループマッピングを有効にする場合、ユーザーは適切なグループにも割り当てられている必要があります(ステップ 4 と 5)。ユーザーが適切に割り当てられる前に保存すると、それらのユーザーが組織からデプロビジョニングされます。
グループマッピングを使用していない場合: すべてのユーザーが SCIM プロビジョニング用に IdP の Anthropic アプリケーションに割り当てられていることを確認してから、「Save changes」をクリックしてセットアップを完了します。
ステップ 4: Identity Provider でグループマッピング用のグループを設定し、ユーザーを割り当てる
割り当てたい各ロール用に IdP でグループを作成します。単一シート Enterprise プランを使用していない場合は、各シートタイプ用にもグループを作成します。
これらのグループの命名要件はなくなりましたが、グループ名に何か含める(例:
anthropic-claude-またはanthropic-console-)ことをお勧めします。これにより、識別しやすくなります。
作成したグループにユーザーを追加し、少なくとも 1 人のユーザー(自分を含む)が Admin (Console) または Owner (Claude) ロールにマップされるグループに属していることを確認します。
重要: アクセスが必要なすべてのユーザーは、次のステップでグループマッピング設定を保存する前に、適切なグループに割り当てられている必要があります。これらのユーザーは、SSO を有効にしたときに IdP の Anthropic アプリケーションに既に割り当てられているはずです。
ステップ 5: グループをロールとシートタイプにマップする
Claude または Console の Identity and access 設定に戻り、Enable group mappings をオンに切り替えます(まだオンになっていない場合)。
Enable group mappings セクションで、各ロールの横にある「Add」をクリックし、ドロップダウンから IdP の対応するグループを選択します。
単一シート Enterprise を除くすべてのプラン: Assign seat tiers to IdP groups セクションで、各シートタイプの横にある「Add」をクリックし、ドロップダウンから IdP の対応するグループを選択します。ユーザーがシートタイプグループに割り当てられていない場合、デフォルトで最も高い利用可能なタイプが割り当てられます。
単一シート Enterprise の場合: シートタイプマッピングは適用されません。プロビジョニングされたすべてのユーザーには、組織で利用可能な Enterprise シートが自動的に割り当てられます。
必要なすべてのグループが適切なロールとシートタイプにマップされていることを確認します。
「Save changes」をクリックします。
注: Microsoft Entra は SCIM の変更を 40 分ごとにプッシュするため、変更が表示されるまでに遅延が生じる場合があります。
トラブルシューティング
ユーザーが正しく割り当てられ、ディレクトリに表示されているが、Claude にメンバーとして追加されていない場合
組織にメンバーを追加するのに十分なシートが購入され、利用可能であることを確認してください。
Organization settings > Billing に表示されている利用可能なシート数を確認し、必要に応じて追加シートを購入します(Team プランおよびEnterprise プランのガイドを参照してください)。
利用可能なシートを取得したら、Identity and access ページに戻り、Directory sync (SCIM) の横にある「Sync now」をクリックします。これにより、まだメンバーとして追加されていないユーザーのアカウントをプロビジョニングするための同期がトリガーされます。
ユーザーが正しいロールでプロビジョニングされていない
ユーザーが IdP の正しいグループに割り当てられていることを確認します。
グループが Identity and access 設定の正しいロールにマップされていることを確認します。
JIT の場合: ロール変更を有効にするには、ユーザーはログアウトしてログバックインする必要があります。
SCIM の場合: 「Sync Now」をクリックして即座の同期を促すか、自動同期サイクルを待ちます。
グループマッピングを有効にした後、Admin/Owner アクセスを失った
これは、グループマッピングを設定している人が Admin または Owner ロールにマップされたグループに割り当てられていない場合に発生し、その権限が User にダウングレードされます。
これを修正するには:
オプション 1: 別の Admin/Owner にロールを復元してもらう
組織の別の Admin または Owner に連絡します。
Claude の場合は Organization settings > Organization、Console の場合は Settings > Members に移動するよう依頼します。
ロールを Admin または Owner に戻すよう依頼します。
オプション 2: Identity Provider 経由で修正する
IdP で、Admin または Owner ロールにマップされる正しいプレフィックスを持つグループに自分を割り当てます。
JIT の場合: ログアウトしてログバックインしてアクセスを復元します。
SCIM の場合: 別の Admin または Owner に Identity and access 設定で「Sync Now」をクリックするよう依頼するか、自動同期サイクルを待ちます。