メインコンテンツにスキップ

SSO/SCIM メール不一致 — Microsoft Entra ID

このガイドの対象: Claudeはメールアドレスをプライマリ識別子として使用し、SSO ログインをプロビジョニング済みシートにマッチングします。Microsoft Entra IDでは、SCIMプロビジョニングとSSO認証が別々の場所で設定されており、異なるユーザー属性からメールアドレスを取得する可能性があります。これにより、メールアドレスの不一致が発生してアクセスがブロックされることがあります。このガイドでは、問題を特定する方法、属性マッピングを修正する方法、および副作用をクリーンアップする方法について説明します。

症状

ユーザーがSSO経由でClaude for Enterpriseにアクセスしようとする際に、以下の1つ以上の症状が発生する可能性があります:

  • 「アカウント作成がブロックされています」 — ユーザーはSSO経由で認証されますが、Claudeはマッチングするプロビジョニング済みアカウントを見つけることができません。組織の作成が制限されている場合(推奨)、ユーザーは完全にブロックされます。

  • 無料の個人アカウントにランディング — 組織の作成が制限されていない場合、ユーザーはエンタープライズ組織をバイパスして、無料の個人アカウントを作成するか、そこにランディングします。

  • 「メールアドレスを確認してください」の不一致 — SSO コールバックに表示されるメールアドレスが、ユーザーがログイン時に入力したメールアドレスと異なります。

  • Claude Code認証エラー — Claude Code CLIが認証フロー中にメールアドレスの不一致エラーを表示します。

これが発生する仕組み

Microsoft Entra IDのユーザーアカウントには、異なる値を保持できる複数のメールのような属性があります。SCIMプロビジョニングとSSO認証は別々の管理者エリアで設定され、それぞれが異なる属性から取得できます:

Entra属性

典型的な値

一般的に使用される場所

userPrincipalName

[email protected](従業員ID形式の場合もあります)

デフォルトのSCIM userNameマッピング

mail

[email protected](標準メール)

OIDC / SAMLメールクレーム

proxyAddresses

SMTP:[email protected]

Exchange / M365プライマリアドレス

otherMails

エイリアスまたはセカンダリアドレスが含まれる場合があります

代替連絡先メール

不一致は、SCIMが1つの属性からメールアドレスを取得し、SSO が別の属性からメールアドレスを送信する場合に発生します。わずかな違いでもアクセスがブロックされます。Claudeは完全な文字列一致を必要とします。

よくある混乱: Entraには2つの別々の管理者エリアがあります。SCIMプロビジョニングアプリエンタープライズアプリケーションの下にあります。SSO/OIDCアプリアプリ登録の下にあります。IT管理者は頻繁に間違った場所に移動します。

診断手順

ステップ1 — 不一致を確認する

  1. SCIMメールアドレスを確認する: Entra管理センター → エンタープライズアプリケーション → [Claude SCIMアプリ] → プロビジョニング → プロビジョニングログで、最近プロビジョニングされたユーザーを見つけて、変更された属性を確認します。emails[type eq "work"].valueにマッピングされた値が、SCIMがClaudeに送信したものです。

  2. SSO メールアドレスを確認する: エンタープライズアプリケーション → [Claudeアプリ] → シングルサインオン → 属性とクレームでメールクレームを見つけます。OIDCアプリの場合は、アプリ登録 → [Claudeアプリ] → トークン設定を確認します。

  3. 2つのソース属性が異なるフィールドを指している場合、不一致が確認されました。

ステップ2 — 範囲を特定する

  • ほとんどまたはすべてのプロビジョニング済みユーザーが同じ形式の不一致を共有している場合、これはシステム的な属性マッピングの問題です。修正はSCIM属性マッピング設定にあります。

  • 1~2人のユーザーのみが影響を受けている場合は、Entraでそのユーザープロファイルを直接確認してください。

ステップ3 — OIDCトークンクレームを確認する(OIDCアプリのみ)

  1. Entra管理センターで、アプリ登録(エンタープライズアプリケーションではなく)に移動します。

  2. Claude OIDCアプリを見つけて、トークン設定をクリックします。

  3. emailオプショナルクレームを確認します。

  4. SCIMの属性マッピングと相互参照して、それらが一致しているかどうかを確認します。

解決方法

SCIM属性マッピングを修正する

SCIMプロビジョニングアプリに移動します。SSO/OIDCアプリではありません:

  1. Entra管理センター → エンタープライズアプリケーションに移動します。

  2. Claude SCIMアプリを検索します。プロビジョニングセクションを持つアプリを探します。

  3. プロビジョニング → プロビジョニングを編集 → 属性マッピングをクリックします。

  4. SCIM属性がemails[type eq "work"].valueである行を見つけます。クリックして編集します。

  5. ソース属性をSSO が送信するものに変更します。通常はmailです。

  6. userNameマッピングも確認し、必要に応じて更新します。

  7. 保存をクリックします。

完全なプロビジョニング同期をトリガーする

完全な同期が必要です。増分では機能しません。プロビジョニングサイクルの完全な再開をトリガーする必要があります。

  1. プロビジョニング概要ページに移動します。

  2. プロビジョニングを再開をクリックします。

  3. 同期が完了するまで待ちます。

  4. プロビジョニングログで、ユーザーメールアドレスが正しい形式に更新されたことを確認します。

関連記事
SSO/SCIM メール不一致 — Google Workspace
SSO/SCIM メール不一致 — Okta
SSO/SCIM Email Mismatch — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
SSO Setup — Microsoft Entra ID
こちらの回答で解決しましたか?