メインコンテンツにスキップ

テナント制限によるネットワークレベルのアクセス制御の実施

テナント制限はエンタープライズプランおよびコンソール組織のメンバーが利用できます。

テナント制限により、エンタープライズプランのIT管理者はClaudeのネットワークレベルのアクセス制御を実施できます。この機能により、企業ネットワーク上のユーザーは承認された組織アカウントのみにアクセスでき、個人アカウントの不正使用を防止します。

仕組み

有効にすると、ネットワークプロキシはClaudeへのリクエストにHTTPヘッダーを挿入します。Anthropicはこのヘッダーを検証し、許可リストに含まれていない組織からのアクセスをブロックします。

サポートされている認証方法:

  • ウェブアクセス (claude.ai)

  • デスクトップ/アプリアクセス

  • APIキー認証

  • OAuthトークン認証

ヘッダー形式

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • 組織UUIDのカンマ区切りリスト

  • 値の間にスペースなし

例:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

大きな許可リストを複数のヘッダーに分割

許可リストがプロキシプラットフォームの単一ヘッダー行に対して長すぎる場合は、番号付き継続ヘッダーに分割します。ベースヘッダーに;n=Kを追加してヘッダー行の総数を宣言し、残りのUUIDをanthropic-allowed-org-ids1からanthropic-allowed-org-ids{K-1}のヘッダーに追加します。

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • 最大10ヘッダー行 (K ≤ 10)

  • すべての行を合わせて最大500の組織UUID

  • プロキシは宣言されたすべてのスロットを送信する必要があります。;n=3を設定した場合、3つのヘッダーすべてがリクエストに存在する必要があります。

  • プロキシを設定して、これらのヘッダーを存在しない場合のみ追加するのではなく、すべてのリクエストで上書きするようにします。


設定手順

1. 組織UUIDを見つける

エンタープライズプランのメンバーは、2つの異なる場所でこれを見つけることができます:

  1. 設定 > アカウントに移動し、組織IDを見つけます。

  2. 組織設定 > 組織に移動し、ページの下部までスクロールして組織IDを見つけます。

コンソール組織のメンバーは、設定 > 組織でこれを見つけることができます。

2. ネットワークプロキシを設定

Claudeトラフィック用のヘッダーを挿入するようにプロキシを設定します:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. 設定をテスト

制限されたネットワークから、組織のAPIキーでテストします:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


エラーレスポンス

アクセスがブロックされました

ユーザーの組織が許可リストにない場合、403エラーが返されます:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

ヘッダー設定エラー

プロキシがヘッダーを正しく送信しない場合、リクエストは400ステータスで失敗し、以下のいずれかのメッセージが表示されます:

  • 複数のanthropic-allowed-org-idsヘッダー: ヘッダー名が同じリクエストに複数回表示されました。プロキシを設定して、重複を追加するのではなく、各ヘッダーを上書きするようにします。

  • 不正な形式のanthropic-allowed-org-idsヘッダー: ;n=K値が無効であるか、宣言された継続スロットが不足しているか余分であるか、または許可リストの合計が500 UUIDを超えています。

サポートされているプロキシプラットフォーム

  • Zscaler ZIA (Cloud App Control ポリシー)

  • Palo Alto Prisma Access (SaaS App Management)

  • Cato Networks (テナント制限ポリシー)

  • Netskope (ヘッダー挿入ルール)

  • ヘッダー挿入機能を備えた汎用HTTPSプロキシ

ユースケース

シナリオ

ヘッダー値

単一組織

<your-org-uuid>

複数組織 (パートナー)

<org-uuid-1>,<org-uuid-2>

セキュリティ上の利点

  • データ損失防止: 企業ネットワークからの個人アカウント使用をブロック。

  • コンプライアンス: データレジデンシーとアクセスポリシーを実施。

  • シャドーIT制御: 不正なClaude使用を防止。

  • 監査証跡: アクセス試行の完全な可視性。

後方互換性

  • テナント制限が設定されていないネットワークへの影響なし。

  • 管理されていないネットワークでは標準認証が継続されます。

  • 既存のAPIキー認証は変更されません。

こちらの回答で解決しましたか?