JITプロビジョニングはTeamプラン、Enterpriseプラン、およびConsoleオーガニゼーションで利用可能です。SCIMプロビジョニングはEnterpriseおよびConsoleオーガニゼーションのみで利用可能です。
このガイドでは、ClaudeまたはClaude Consoleオーガニゼーション向けにユーザープロビジョニングとロール割り当てを設定する方法について説明します。
開始する前に:このガイドは、シングルサインオン(SSO)の設定(ドメイン検証とIdentity Provider(IdP)でのSSO設定を含む)をすでに完了し、Admin(Console)またはOwner(Claude)ロールを持っていることを前提としています。
ステップ1:プロビジョニングモードを選択する
SSOが設定されたら、ユーザーがオーガニゼーションにプロビジョニングされる方法を決定する必要があります。これは、Identity and accessの設定のプロビジョニングモード設定によって制御されます。
プロビジョニングオプション
手動がデフォルトです。ユーザーはClaudeまたはConsoleの設定で直接追加および削除されます。
JIT(Just-in-Time):Anthropic IdPアプリに割り当てられたユーザーは、初回ログイン時に自動的にプロビジョニングされます。このオプションはすべてのプランで利用可能です。
SCIM:ユーザーは、最初にログインすることなく、IdPの割り当てに基づいて自動的にプロビジョニングおよびデプロビジョニングされます。SCIMはEnterpriseプランおよび独自の親オーガニゼーションを持つか、Enterpriseの親オーガニゼーションに参加しているConsoleオーガニゼーションで利用可能です。SCIMはTeamプランまたはTeamプランの親オーガニゼーションに参加しているConsoleオーガニゼーションでは利用できません。
プロビジョニング動作の概要
この表を使用して、オーガニゼーションに適したプロビジョニングモードを決定するのに役立てください:
モード | プロビジョニング | ロールとシートティアの変更 | 削除 |
手動 | ユーザーは手動で追加されます | ロールとシートティアは手動で変更されます | ユーザーは手動で削除されます |
JIT | IdPアプリに割り当てられたユーザーはログイン時にUserロールでプロビジョニングされます | ロールとシートティアは手動で変更されます | 手動削除が必要:IdPアプリから削除されたユーザーはログインできなくなりますが、ログイン試行または削除されるまでユーザーリストに残ります |
JIT + 高度なグループマッピング | 少なくとも1つのマップされたグループに属するユーザーは、ログイン時にグループメンバーシップから最も高い権限を持つロールでプロビジョニングされます | ロールとシートティアは次のログイン時にグループメンバーシップに基づいて更新されます | グループアクセスのないユーザーはログインできませんが、ログイン試行または手動削除までリストに残ります |
SCIM | IdPアプリに割り当てられたユーザーは、親オーガニゼーションに参加しているすべてのオーガニゼーションに自動的にプロビジョニングされます。 | ロールとシートティアは手動で変更されます | IdPアプリから削除されたユーザーは自動的に削除されます |
SCIM + 高度なグループマッピング | 少なくとも1つのマップされたグループに属するユーザーは、適切なロールで自動的にプロビジョニングされます | ロールとシートティアの変更は、グループメンバーシップに基づいて自動的に伝播されます | グループアクセスが取り消されると自動的に削除されます |
JITとSCIMの両方を高度なグループマッピングと組み合わせて、IdPグループメンバーシップに基づいてロールまたはシートティア割り当てを制御できます。
利用可能なロールとシートティア
製品 | ロール | シートティア |
Teamプラン / シートベースのEnterpriseプラン | Owner、Admin、User | Premium、Standard |
使用量ベースのEnterpriseプラン | Owner、Admin、User | Chat、Chat + Claude Code |
Console | Admin、Developer、Billing、Claude Code User、User | — |
シートの購入またはプランのシート割り当ての調整に関する情報については、TeamプランおよびEnterpriseプランのガイドを参照してください。
ステップ2:SCIMディレクトリ同期を設定する(SCIMを使用する場合)
注:手動またはJITプロビジョニングを使用している場合は、このステップをスキップしてください。
プロビジョニングモードとしてSCIMを選択した場合は、有効にする前にIdentity ProviderとAnthropicの間の接続を確立する必要があります。
Claude(claude.ai/admin-settings/identity)またはConsole(platform.claude.com/settings/identity)のIdentity and accessの設定に移動します
「Global SSO Configuration」セクションで、「Directory sync(SCIM)」の横にある「Setup SCIM」(または「Manage SCIM」)をクリックします。
WorkOSセットアップガイドに従って、Identity ProviderでSCIMを設定します。WorkOSから値をコピーして、IdPのAnthropicアプリケーションに貼り付ける必要があります。
‼️ IdP Groupステップに到達したら、このガイドのステップ3および4を他のガイドと一緒に確認するために一時停止してください。
IdP固有のJIT / SCIMセットアップ手順については、以下を参照してください:
その他のIdPについてはこちらを参照してください
IdPが接続されたら、ステップ3に進みます。
ステップ3:プロビジョニングモードと高度なグループマッピングを設定する
Identity and accessの設定のOrganization SSO Configurationセクションで、プロビジョニングモードを見つけます。
ドロップダウンから選択したオプション(「Just in time(JIT)」または「Directory sync(SCIM)」)を選択します。
使用する場合は高度なグループマッピングをオンに切り替えます。
重要:まだ「変更を保存」をクリックしないでください。まず、すべてのユーザーがIdPのAnthropicアプリケーションに割り当てられていることを確認する必要があります。高度なグループマッピングの場合、ユーザーは適切なグループにも割り当てられている必要があります(ステップ4および5)。ユーザーが適切に割り当てられる前に保存すると、それらのユーザーがオーガニゼーションからデプロビジョニングされます。
高度なグループマッピングを使用していない場合:すべてのユーザーがSCIMプロビジョニング用にIdPのAnthropicアプリケーションに割り当てられていることを確認してから、「変更を保存」をクリックしてセットアップを完了します。
ステップ4:高度なグループマッピング用にIdentity Providerでグループを設定し、ユーザーを割り当てる
割り当てたい各ロールとシートティアに対してIdPにグループを作成します。
これらのグループの命名要件はなくなりましたが、グループ名に何か含めることをお勧めします(例:
anthropic-claude-またはanthropic-console-)。これにより、識別しやすくなります。
作成したグループにユーザーを追加し、少なくとも1人のユーザー(自分を含む)がAdmin(Console)またはOwner(Claude)ロールにマップされるグループに属していることを確認します。
重要:アクセスが必要なすべてのユーザーは、次のステップで高度なグループマッピング設定を保存する前に、適切なグループに割り当てられている必要があります。これらのユーザーは、SSOを有効にしたときにすでにIdPのAnthropicアプリケーションに割り当てられているはずです。
ステップ5:グループをロールとシートティアにマップする
ClaudeまたはConsoleのIdentity and accessの設定に戻り、高度なグループマッピングをオンに切り替えます(まだオンになっていない場合)。
Role mappingsセクションで、各ロールの横にある「Add」をクリックし、ドロップダウンからIdPの対応するグループを選択します。
Claudeオーガニゼーションの場合:Seat tier mappingsセクションで、各ティア(Premium、Standard)の横にある「Add」をクリックし、対応するグループを選択します。ユーザーがシートティアグループに割り当てられていない場合、デフォルトで最も高い利用可能なティアが割り当てられます。
必要なすべてのグループが適切なロールとシートティアにマップされていることを確認します。
「変更を保存」をクリックします。
注:Microsoft Entraは40分ごとにのみSCIM変更をプッシュするため、変更が表示されるまで遅延が生じる場合があります。
トラブルシューティング
ユーザーが正しく割り当てられ、ディレクトリに表示されているが、Claudeのメンバーとして追加されていない場合
オーガニゼーションにメンバーを追加するのに十分なシートが購入され、利用可能であることを確認してください。
Organization ページに表示されている「Total seats」を確認し、必要に応じて追加シートを購入します(TeamプランおよびEnterpriseプランのガイドを参照)。
利用可能なシートがある場合は、Identity and accessページに戻り、Directory sync(SCIM)の横にある「Sync now」をクリックします。これにより、まだメンバーとして追加されていないユーザーのアカウントをプロビジョニングするための同期がトリガーされます。
ユーザーが正しいロールでプロビジョニングされていない
ユーザーがIdPの正しいグループに割り当てられていることを確認します。
グループがIdentity and accessの設定で正しいロールにマップされていることを確認します。
JITの場合:ロール変更を有効にするには、ユーザーはログアウトしてログバックインする必要があります。
SCIMの場合:「Sync Now」をクリックして即座の同期をトリガーするか、自動同期サイクルを待ちます。
高度なグループマッピングを有効にした後、Admin/Ownerアクセスを失った
これは、高度なグループマッピングを設定している人が、Admin またはOwnerロールにマップされたグループに割り当てられていない場合に発生し、その権限がUserにダウングレードされます。これを修正するには:
オプション1:別のAdmin/Ownerにロールを復元してもらう
オーガニゼーションの別のAdminまたはOwnerに連絡します。
Claude の場合はAdmin settings > Organization、Console の場合はSettings > Membersに移動するよう依頼します。
ロールをAdmin またはOwnerに戻すよう依頼します。
オプション2:Identity Providerを通じて修正する
IdPで、Admin またはOwnerロールにマップされる正しいプレフィックスを持つグループに自分を割り当てます。
JITの場合:ログアウトしてログバックインしてアクセスを復元します。
SCIMの場合:別のAdmin またはOwnerにIdentity and accessの設定で「Sync Now」をクリックするよう依頼するか、自動同期サイクルを待ちます。