메인 콘텐츠로 건너뛰기

SSO/SCIM 이메일 불일치 — Google Workspace

요약: Claude는 SSO 로그인을 프로비저닝된 시트와 매칭하기 위해 이메일을 기본 식별자로 사용합니다. Google Workspace에서 SCIM 자동 프로비저닝과 SAML SSO는 서로 다른 이메일 값을 보낼 수 있습니다. 특히 사용자가 이메일 별칭을 가지고 있을 때 불일치가 발생하여 액세스를 차단합니다.

증상

사용자가 SSO를 통해 Claude for Enterprise에 액세스하려고 할 때 다음 중 하나 이상의 증상을 경험할 수 있습니다:

  • "계정 생성이 차단됨" — 사용자가 SSO를 통해 인증되지만 Claude가 일치하는 프로비저닝된 계정을 찾을 수 없습니다. 조직에서 조직 생성이 제한되어 있으면(권장), 사용자는 완전히 차단되고 진행할 수 없습니다.

  • 무료 개인 계정으로 이동 — 조직 생성이 제한되지 않으면 사용자는 엔터프라이즈 조직을 완전히 우회하고 엔터프라이즈 시트 대신 무료 개인 계정을 생성하거나 이동합니다.

  • "이메일 확인 부탁드립니다" 불일치 — SSO 콜백이 사용자가 로그인할 때 입력한 이메일과 다른 이메일을 표시합니다.

  • Claude Code 인증 실패 — Claude Code CLI가 인증 흐름 중에 이메일 불일치 오류를 표시하여 사용자가 엔터프라이즈 조직에 연결할 수 없습니다.

이것이 발생하는 방식

Google Workspace 사용자 계정에는 기본 이메일이 있으며 여러 별칭을 가질 수 있습니다. SCIM 프로비저닝과 SAML SSO는 Google 관리자 콘솔에서 별도로 구성되며 다른 주소 필드에서 가져올 수 있습니다:

Google 속성

일반적인 값

일반적으로 사용되는 대상

primaryEmail

[email protected]

SCIM과 SAML 모두에 권장

이메일 별칭

[email protected], [email protected]

때때로 SCIM에서 실수로 매핑됨

사용자 정의 스키마 필드

조직별로 정의된 사용자 정의 속성

고급 속성 매핑

조직 단위 이메일

OU 파생 주소 변형

드물게, 복잡한 조직 구조에서

가장 일반적인 불일치: SCIM이 별칭 주소를 보내도록 구성되어 있고 SAML이 기본 이메일을 보냅니다(또는 그 반대). 별칭과 기본 이메일은 다른 문자열이므로 Claude가 이들을 매칭할 수 없습니다. Claude는 정확한 문자열 일치를 요구합니다.

일반적인 혼동: Google 관리자에서 SCIM 자동 프로비저닝 설정과 SAML 속성 매핑은 동일한 앱 내의 별도 탭에 있습니다. 관리자가 하나를 업데이트하고 다른 하나를 놓치는 경우가 있습니다. 두 위치를 모두 확인하세요.

진단 단계

단계 1 — 불일치 확인

  1. SCIM 이메일 확인: Google 관리자 콘솔에서 앱 → 웹 및 모바일 앱 → [Claude 앱] → 자동 프로비저닝으로 이동합니다. Claude로 전송되는 이메일 필드에 매핑된 속성을 확인합니다.

  2. SAML 이메일 확인: 동일한 앱에서 SAML 속성 매핑 섹션으로 이동합니다. email에 매핑된 속성을 찾고 해당 소스를 기록합니다.

  3. 특정 사용자 확인: 디렉토리 → 사용자 → [사용자]에서 사용자의 기본 이메일을 나열된 별칭 이메일과 비교합니다.

단계 2 — 문제의 범위 파악

이것이 영향을 받는 한 사용자인지 또는 시스템 전체 문제인지 결정합니다:

  • 대부분 또는 모든 프로비저닝된 사용자가 동일한 이메일 형식 불일치를 공유하면 이는 시스템 속성 매핑 문제입니다. 해결책은 IdP의 SCIM 속성 매핑에 있습니다.

  • 한두 명의 사용자만 영향을 받으면 문제는 해당 사용자 계정에만 해당할 가능성이 높습니다. 해당 사용자 프로필을 직접 확인하세요.

단계 3 — SAML 구성에서 Name ID 확인

  1. 앱 설정에서 SAML → 서비스 제공자 세부 정보로 이동합니다.

  2. Name ID기본 정보 → 기본 이메일로 설정되어 있는지 확인합니다.

  3. Name ID가 사용자 정의 스키마 필드 또는 별칭으로 설정되어 있으면 SCIM과 다른 값을 보낼 수 있습니다.

해결

두 매핑을 primaryEmail에 정렬

Google Workspace의 primaryEmail은 SCIM과 SAML 모두에 가장 신뢰할 수 있는 소스입니다.

  1. SCIM 프로비저닝 업데이트: 앱 → 웹 및 모바일 앱 → [Claude 앱] → 자동 프로비저닝 → 속성 매핑에서 이메일 속성이 primaryEmail에 매핑되는지 확인합니다.

  2. SAML Name ID 업데이트: SAML → 서비스 제공자 세부 정보에서 Name ID기본 정보 → 기본 이메일로 설정합니다.

  3. SAML 속성 매핑 업데이트: 속성 매핑 단계에서 email 속성이 기본 정보 → 기본 이메일에 매핑되는지 확인합니다.

  4. 모든 변경 사항을 저장합니다.

전체 재동기화 트리거

중요 — 전체 동기화 필요: 증분 동기화는 속성 매핑을 변경한 후 기존 사용자를 업데이트하지 않습니다. 프로비저닝 주기의 전체 재시작을 트리거해야 합니다.

  1. Google 관리자 콘솔에서 앱의 자동 프로비저닝 설정으로 이동합니다.

  2. 프로비저닝을 일시적으로 일시 중지한 후 다시 활성화합니다. 이렇게 하면 할당된 모든 사용자의 전체 동기화가 트리거됩니다.

  3. 또는 영향을 받는 사용자를 앱 할당에서 제거했다가 다시 추가하여 개별 레코드를 강제로 재프로비저닝합니다.

  4. 프로비저닝 로그에서 오류를 모니터링하고 사용자에게 재시도를 요청하기 전에 사용자 이메일이 SAML 형식과 일치하도록 업데이트되었는지 확인합니다.

수정 후 정리

속성 매핑을 수정하고 전체 동기화를 완료한 후 추가 정리가 필요할 수 있습니다:

  • 불량 무료 계정: 수정 전에 조직 생성이 제한되지 않았다면 일부 사용자가 실수로 무료 개인 Claude 계정을 생성했을 수 있습니다. Anthropic 지원팀에 문의하여 이를 제거하도록 합니다.

  • 유령 계정(잘못된 이메일 시트): 원래 프로비저닝된 계정(잘못된 이메일 포함)이 여전히 엔터프라이즈 조직에 존재하여 시트를 차지할 수 있습니다. Anthropic 지원팀에 문의하여 이러한 유령 계정을 프로비저닝 해제합니다.

  • 시트 가용성: 유령 계정이 계약된 모든 시트를 차지하고 있으면 새 로그인이 시트 부족 오류로 실패합니다. 유령 계정을 프로비저닝 해제하면 해당 시트가 해제됩니다.

  • 영향을 받는 사용자 다시 추가: 유령 계정이 제거된 후 수정된 이메일을 가진 사용자는 다시 초대되거나 재프로비저닝되어야 할 수 있습니다.

향후 발생 방지: 엔터프라이즈 설정에서 "조직 생성 제한"을 활성화합니다. 이렇게 하면 아직 프로비저닝되지 않은 사용자가 실수로 무료 개인 계정을 생성하는 것을 방지합니다.

검증

  1. 프로비저닝된 사용자의 샘플을 확인합니다. IdP의 프로비저닝 로그의 이메일이 SSO가 보내는 이메일 형식과 일치하는지 확인합니다.

  2. 영향을 받는 사용자에게 claude.ai에 대한 브라우저 쿠키를 지우고 SSO를 통해 로그인하도록 요청합니다. 오류 없이 엔터프라이즈 워크스페이스에 직접 이동해야 합니다.

  3. 사용자가 실수로 무료 계정을 생성하지 않는지 확인합니다. 조직 생성이 제한되면 차단된 사용자는 개인 계정으로 이동하는 대신 명확한 오류를 볼 것입니다.

  4. Claude Code가 영향을 받은 경우 사용자에게 claude auth login --enterprise를 다시 실행하도록 하고 이메일이 엔터프라이즈 시트와 일치하는지 확인합니다.

일반적인 함정

함정

해결책

SCIM이 별칭을 보내고 SAML이 기본 이메일을 보냄

항상 둘 다에 primaryEmail을 사용합니다.

SAML 설정의 Name ID를 확인하지 않음

Name ID 필드는 로그인 시 전송되는 이메일을 결정합니다. 이는 속성 매핑 섹션과 별개입니다. 둘 다 확인하세요.

일부 사용자의 사용자 정의 스키마 필드가 비어 있음

primaryEmail과 같은 표준 Google 속성을 사용합니다.

매핑 변경 후 재프로비저닝이 자동으로 트리거되지 않음

전체 동기화를 강제하기 위해 프로비저닝을 수동으로 일시 중지했다가 다시 활성화해야 할 수 있습니다.

사용자의 기본 이메일이 변경되었지만 이전 이메일이 여전히 Claude에 표시됨

기본 이메일 변경 후 전체 재동기화가 필요합니다.

SCIM에서 이메일이 업데이트되었지만 사용자가 여전히 로그인할 수 없음

불량 무료 조직 또는 유령 계정을 확인합니다. 브라우저 쿠키를 지우고 다시 시도합니다.

Anthropic 지원팀에 문의할 시기

  • SCIM과 SSO 속성이 동일해 보이지만 사용자가 여전히 시트에 액세스할 수 없습니다.

  • 특정 사용자에 대해 Claude가 SCIM 프로비저닝 중에 기록한 이메일을 확인해야 합니다.

  • 유령 계정 또는 불량 무료 조직 정리에 도움이 필요합니다.

  • 사용자가 계약에 사용 가능한 시트가 있음에도 불구하고 시트 부족 오류가 발생합니다.

[email protected]에 조직의 도메인, 영향을 받는 사용자의 이메일 주소, 속성 매핑의 스크린샷과 함께 문의하세요.

관련 자료
SSO/SCIM 이메일 불일치 — Microsoft Entra ID
SSO/SCIM 이메일 불일치 — Okta
SSO/SCIM 이메일 불일치 — OneLogin
SSO/SCIM 이메일 불일치 — Ping Identity
SSO 설정 — Google Workspace
답변이 도움되었나요?