メインコンテンツにスキップ

SSO/SCIM Email Mismatch — OneLogin

概要: Claudeはメールアドレスをプライマリ識別子として使用し、SSO ログインをプロビジョニング済みシートにマッチングします。OneLogin では、SCIM プロビジョニングと SAML SSO がアプリの別々のタブで設定されており、異なるユーザープロファイルフィールドを参照する可能性があり、これがミスマッチを引き起こしてアクセスをブロックします。

症状

ユーザーが SSO 経由で Claude for Enterprise にアクセスしようとする際に、以下の 1 つ以上の症状が発生する可能性があります:

  • 「アカウント作成がブロックされています」 — ユーザーは SSO 経由で認証されますが、Claude がマッチングするプロビジョニング済みアカウントを見つけられません。組織の作成が制限されている場合(推奨)、ユーザーは完全にブロックされ、先に進むことができません。

  • 無料の個人アカウントにランディング — 組織の作成が制限されていない場合、ユーザーはエンタープライズ組織をバイパスし、エンタープライズシートの代わりに無料の個人アカウントを作成するか、そこにランディングします。

  • 「メールアドレスを確認してください」ミスマッチ — SSO コールバックがログイン時にユーザーが入力したメールアドレスと異なるメールアドレスを表示します。

  • Claude Code 認証エラー — Claude Code CLI は認証フロー中にメールアドレスのミスマッチエラーを表示します。

これが発生する仕組み

OneLogin ユーザープロファイルには、ユーザー名とメールアドレスの異なるフィールドが含まれており、異なる値を保持する可能性があります。SCIM プロビジョニングパラメータと SAML 属性ステートメントは独立して設定され、それぞれ異なるフィールドから取得できます:

OneLogin フィールド

典型的な値

一般的に使用される場所

Username

testuser1 または [email protected]

SCIM userName マッピングで使用されることがあります

Email

[email protected]

SCIM と SAML の両方に推奨

Login Name

SSO が非メールログインに使用される場合、メールアドレスと異なる可能性があります

レガシーまたはカスタム設定

カスタムユーザーフィールド

組織ごとに定義されたカスタム属性

高度な属性マッピング

一般的なミスマッチ:SCIM パラメータタブがメール属性を Username(従業員 ID または短い名前である可能性があります)にマッピングしている一方で、SAML 属性ステートメントは Email フィールドを送信しています。Claude は完全な文字列一致を必要とします。

一般的な混乱: OneLogin の SCIM パラメータと SAML 属性ステートメントは同じアプリの異なるタブにあります — SCIM の場合はパラメータ、SSO の場合はSSO(または SAML 固有フィールドを含むパラメータ)です。両方をチェックして調整する必要があります。

診断手順

ステップ 1 — ミスマッチを確認する

  1. SCIM メールアドレスを確認: OneLogin 管理ポータルで、アプリケーション → [Claude アプリ] → パラメータに移動します。Claude が受け取るメールアドレスにマッピングされたフィールドを見つけます。OneLogin 値列に注目してください — これは送信されるユーザーフィールドを示しています。

  2. SAML メールアドレスを確認: 同じアプリで、SSO タブに移動します。その他のアクション → SAML レスポンスを編集をクリックするか、SAML 属性ステートメントセクションを確認します。email 属性を見つけ、そのソースフィールドをメモします。

  3. 特定のユーザーを確認: ユーザー → [ユーザー]で、ユーザーのユーザー名メールアドレスフィールドを比較します。異なる場合、一方を使用するマッピングはミスマッチを引き起こします。

ステップ 2 — 問題の範囲を特定する

これが影響を受けた 1 人のユーザーか、システム全体の問題かを判断します:

  • ほとんどまたはすべてのプロビジョニング済みユーザーが同じメールアドレス形式のミスマッチを共有している場合、これはシステム属性マッピング問題であり、ディレクトリ全体に影響します。修正は IdP の SCIM 属性マッピングにあります。

  • 他のユーザーが正常に機能している一方で、1 ~ 2 人のユーザーのみが影響を受けている場合、問題はそれらのユーザーアカウントに固有である可能性があります。ユーザープロファイルを直接確認してください。

ステップ 3 — ユーザーフィールド値を確認する

  1. ユーザー → [影響を受けたユーザー] → ユーザー情報に移動します。

  2. ユーザー名メールアドレスの両方のフィールドを確認します。

  3. ユーザー名が有効なメールアドレスと一致しない形式の場合、SCIM は無効または一致しない値を送信している可能性があります。

解決方法

両方のマッピングをメールフィールドに調整する

OneLogin の Email フィールドは、有効なメールアドレスを保持するように設計されているため、SCIM と SAML の両方に最も信頼できるソースです。

  1. SCIM パラメータを更新: アプリケーション → [Claude アプリ] → パラメータで、Claude が受け取るメール属性の行を見つけます。メールアドレス(OneLogin ユーザーメールフィールド)に変更します。

  2. SAML 属性ステートメントを更新: SSO タブ(または SAML 属性のパラメータ)で、email 属性値を同じメールアドレスフィールドを使用するように更新します。

  3. 保存をクリックします。

完全な再同期をトリガーする

重要 — 完全な同期が必要: 属性マッピングを変更した後、増分同期は既存のユーザーを更新しません。プロビジョニングサイクルの完全な再開始をトリガーする必要があります。

  1. アプリのプロビジョニングタブで、再同期またはすべて同期オプションを探して実行します。

  2. 個別ユーザーを再プロビジョニングするには:ユーザー → [ユーザー] → アプリケーションに移動し、Claude アプリを見つけて、再プロビジョニングを使用します。

  3. OneLogin プロビジョニングアクティビティログでエラーを確認します。

  4. ユーザーにログインを再試行するよう依頼する前に、更新されたメールアドレス値がログに表示されることを確認します。

修正後のクリーンアップ

属性マッピングを修正して完全な同期を完了した後、状況に応じて追加のクリーンアップが必要な場合があります:

  • 不正な無料アカウント: 修正前に組織の作成が制限されていなかった場合、一部のユーザーが誤って無料の個人 Claude アカウントを作成している可能性があります。Anthropic サポートに連絡して、これらを削除してもらいます。

  • ゴーストアカウント(間違ったメールアドレスのシート): 元々プロビジョニングされたアカウント(間違ったメールアドレス付き)がエンタープライズ組織に存在する可能性があり、使用できないシートを占有しています。Anthropic サポートに連絡して、これらのゴーストアカウントをデプロビジョニングしてもらいます。

  • シート可用性: ゴーストアカウントがすべての契約済みシートを占有している場合、マッピングが修正された後でも、新しいログインはシート不足エラーで失敗します。この場合はサポートに連絡してください。

  • 影響を受けたユーザーの再追加: ゴーストアカウントが削除された後、修正されたメールアドレスを持つユーザーは再度招待またはプロビジョニングが必要な場合があります。

将来の発生を防ぐ: エンタープライズ設定で「組織作成を制限」を有効にします。

検証

修正とクリーンアップを完了した後、以下を確認します:

  1. プロビジョニング済みユーザーのサンプルを確認します — IdP のプロビジョニングログ内のメールアドレスが SSO が送信するメールアドレス形式と一致することを確認します。

  2. 影響を受けたユーザーに claude.ai のブラウザクッキーをクリアしてから、SSO 経由でログインするよう依頼します。

  3. ユーザーが誤って無料アカウントを作成していないことを確認します。

  4. Claude Code が影響を受けた場合、ユーザーに claude auth login --enterprise を再実行してもらい、メールアドレスがエンタープライズシートと一致することを確認します。

一般的な落とし穴

落とし穴

解決方法

ユーザー名フィールドがメールアドレスではなく短い名前または従業員 ID を保持している

SCIM をメールアドレスフィールドを使用するように切り替えます。

SAML 属性は更新されたが、SCIM パラメータは変更されていない

パラメータタブ(SCIM の場合)と SSO/SAML 属性の両方を独立して更新する必要があります。

再同期がトリガーされないように見える

影響を受けた個別ユーザーをアプリから削除して再割り当てしてみてください。

カスタムユーザーフィールドがマッピングされているが、一部のユーザーでは空白

標準のメールアドレスフィールドに切り替えます。

SCIM でメールアドレスが更新されたがユーザーがまだログインできない

不正な無料組織またはゴーストアカウントを確認します。ブラウザクッキーをクリアして再試行してください。

ユーザーを再追加しようとすると「招待ドメインが許可されていません」

組織のドメインが Claude で検証されていない可能性があります。Anthropic サポートに連絡してください。

Anthropic サポートに連絡する場合

  • SCIM と SSO 属性が同じに見えるがユーザーがシートにアクセスできない。

  • 特定のユーザーについて Claude が SCIM プロビジョニング中に記録したメールアドレスを確認する必要がある。

  • ゴーストアカウントまたは不正な無料組織のクリーンアップに関するヘルプが必要。

  • 契約に利用可能なシートがあるにもかかわらず、ユーザーがシート不足エラーに直面している。

[email protected]に、組織のドメイン、影響を受けたユーザーのメールアドレス、属性マッピングのスクリーンショットを添えて連絡してください。

関連記事
SSO/SCIM メール不一致 — Google Workspace
SSO/SCIM メール不一致 — Microsoft Entra ID
SSO/SCIM メール不一致 — Okta
SSO/SCIM Email Mismatch — Ping Identity
SSO Setup — OneLogin
こちらの回答で解決しましたか?