메인 콘텐츠로 건너뛰기

SSO/SCIM 이메일 불일치 — Microsoft Entra ID

이 가이드의 범위: Claude는 이메일을 기본 식별자로 사용하여 SSO 로그인을 프로비저닝된 시트와 일치시킵니다. Microsoft Entra ID에서 SCIM 프로비저닝과 SSO 인증은 별도의 위치에서 구성되며 다른 사용자 속성에서 이메일을 가져올 수 있어 액세스를 차단하는 불일치가 발생할 수 있습니다. 이 가이드는 문제를 식별하고, 속성 매핑을 수정하고, 부작용을 정리하는 방법을 설명합니다.

증상

사용자가 SSO를 통해 Claude for Enterprise에 액세스하려고 할 때 다음 중 하나 이상의 증상을 경험할 수 있습니다:

  • "계정 생성이 차단됨" — 사용자가 SSO를 통해 인증되지만 Claude가 일치하는 프로비저닝된 계정을 찾을 수 없습니다. 조직 생성이 제한된 경우(권장), 사용자는 완전히 차단됩니다.

  • 무료 개인 계정으로 이동 — 조직 생성이 제한되지 않은 경우, 사용자는 엔터프라이즈 조직을 우회하고 무료 개인 계정을 생성하거나 이동합니다.

  • "이메일 확인 요청" 불일치 — SSO 콜백이 사용자가 로그인 시 입력한 이메일과 다른 이메일을 표시합니다.

  • Claude Code 인증 실패 — Claude Code CLI가 인증 흐름 중에 이메일 불일치 오류를 표시합니다.

이것이 발생하는 방식

Microsoft Entra ID 사용자 계정에는 다른 값을 보유할 수 있는 여러 이메일 유사 속성이 있습니다. SCIM 프로비저닝과 SSO 인증은 별도의 관리자 영역에서 구성되며 각각 다른 속성에서 가져올 수 있습니다:

Entra 속성

일반적인 값

일반적으로 사용하는 대상

userPrincipalName

[email protected] (직원 ID 형식일 수 있음)

기본 SCIM userName 매핑

mail

[email protected] (표준 이메일)

OIDC / SAML 이메일 클레임

proxyAddresses

SMTP:[email protected]

Exchange / M365 기본 주소

otherMails

별칭 또는 보조 주소를 포함할 수 있음

대체 연락처 이메일

불일치는 SCIM이 한 속성에서 이메일을 가져오는 동안 SSO가 다른 속성에서 이메일을 보낼 때 발생합니다. 미묘한 차이도 액세스를 차단합니다 — Claude는 정확한 문자열 일치를 요구합니다.

일반적인 혼동: Entra에는 두 개의 별도 관리자 영역이 있습니다. SCIM 프로비저닝 앱엔터프라이즈 애플리케이션 아래에 있습니다. SSO/OIDC 앱앱 등록 아래에 있습니다. IT 관리자는 자주 잘못된 위치로 이동합니다.

진단 단계

단계 1 — 불일치 확인

  1. SCIM 이메일 확인: Entra 관리 센터 → 엔터프라이즈 애플리케이션 → [Claude SCIM 앱] → 프로비저닝 → 프로비저닝 로그에서 최근에 프로비저닝된 사용자를 찾고 수정된 속성을 검사합니다. emails[type eq "work"].value에 매핑된 값이 SCIM이 Claude로 보낸 것입니다.

  2. SSO 이메일 확인: 엔터프라이즈 애플리케이션 → [Claude 앱] → Single Sign-On → 속성 및 클레임에서 이메일 클레임을 찾습니다. OIDC 앱의 경우 앱 등록 → [Claude 앱] → 토큰 구성을 확인합니다.

  3. 두 소스 속성이 다른 필드를 가리키면 불일치를 확인한 것입니다.

단계 2 — 범위 식별

  • 대부분 또는 모든 프로비저닝된 사용자가 동일한 형식 불일치를 공유하면 이는 체계적인 속성 매핑 문제입니다. 수정은 SCIM 속성 매핑 구성에 있습니다.

  • 한두 명의 사용자만 영향을 받으면 Entra에서 직접 해당 사용자 프로필을 확인합니다.

단계 3 — OIDC 토큰 클레임 확인 (OIDC 앱만 해당)

  1. Entra 관리 센터에서 앱 등록(엔터프라이즈 애플리케이션 아님)으로 이동합니다.

  2. Claude OIDC 앱을 찾고 토큰 구성을 클릭합니다.

  3. email 선택적 클레임을 확인합니다.

  4. SCIM 속성 매핑과 교차 참조하여 일치하는지 확인합니다.

해결

SCIM 속성 매핑 수정

SCIM 프로비저닝 앱으로 이동합니다 — SSO/OIDC 앱이 아닙니다:

  1. Entra 관리 센터 → 엔터프라이즈 애플리케이션으로 이동합니다.

  2. Claude SCIM 앱을 검색합니다. 프로비저닝 섹션이 있는 앱을 찾습니다.

  3. 프로비저닝 → 프로비저닝 편집 → 속성 매핑을 클릭합니다.

  4. SCIM 속성이 emails[type eq "work"].value인 행을 찾습니다. 편집하려면 클릭합니다.

  5. 소스 속성을 SSO가 보내는 것과 일치하도록 변경합니다 — 일반적으로 mail입니다.

  6. userName 매핑도 확인하고 필요한 경우 업데이트합니다.

  7. 저장을 클릭합니다.

전체 프로비저닝 동기화 트리거

전체 동기화 필요 — 증분 동기화는 작동하지 않습니다. 프로비저닝 주기의 전체 재시작을 트리거해야 합니다.

  1. 프로비저닝 개요 페이지로 이동합니다.

  2. 프로비저닝 재시작을 클릭합니다.

  3. 동기화가 완료될 때까지 기다립니다.

  4. 프로비저닝 로그에서 사용자 이메일이 올바른 형식으로 업데이트되었는지 확인합니다.

관련 자료
SSO/SCIM 이메일 불일치 — Google Workspace
SSO/SCIM 이메일 불일치 — Okta
SSO/SCIM 이메일 불일치 — OneLogin
SSO/SCIM 이메일 불일치 — Ping Identity
SSO 설정 — Microsoft Entra ID
답변이 도움되었나요?