메인 콘텐츠로 건너뛰기

SSO/SCIM 이메일 불일치 — Okta

요약: Claude는 이메일을 기본 식별자로 사용하여 SSO 로그인을 프로비저닝된 시트와 일치시킵니다. Okta에서 SCIM 프로비저닝과 SSO는 앱의 별도 섹션에서 구성되며 Okta 사용자 프로필 필드의 다른 위치에서 이메일을 가져올 수 있습니다. 이 가이드는 불일치를 식별하고 수정하는 방법을 설명합니다.

증상

사용자가 SSO를 통해 Claude for Enterprise에 액세스하려고 할 때 다음 중 하나 이상을 경험할 수 있습니다:

  • "계정 생성이 차단됨" — 사용자가 SSO를 통해 인증되지만 Claude가 일치하는 프로비저닝된 계정을 찾을 수 없습니다.

  • 무료 개인 계정으로 이동 — 조직 생성이 제한되지 않으면 사용자가 엔터프라이즈 조직을 우회합니다.

  • "이메일 확인" 불일치 — SSO 콜백이 사용자가 로그인 시 입력한 이메일과 다른 이메일을 표시합니다.

  • Claude Code 인증 실패 — Claude Code CLI가 이메일 불일치 오류를 표시합니다.

이것이 발생하는 방식

Okta 사용자 프로필에는 ID를 나타내는 여러 필드가 포함되어 있습니다. SCIM 프로비저닝(프로비저닝 → 앱으로)과 SAML/OIDC SSO(로그인)는 독립적으로 구성됩니다:

Okta 속성

일반적인 값

일반적으로 사용되는 곳

user.login

testuser1 또는 [email protected]

기본 SCIM userName 매핑; 때때로 NameID

user.email

[email protected]

SAML/OIDC 이메일 클레임(권장)

appuser.email

사용자 이메일의 앱 수준 재정의

사용자 정의 앱 수준 속성 매핑

일반적인 불일치: SCIM은 user.login을 사용하고 SAML은 user.email을 전송합니다. Claude는 정확한 문자열 일치를 요구합니다.

일반적인 혼동: Okta의 SCIM 속성 매핑과 SAML 속성 명령문은 두 개의 다른 탭에 있습니다 — SCIM의 경우 프로비저닝 → 앱으로, SSO의 경우 로그인. 둘 다 확인해야 합니다.

진단 단계

단계 1 — 불일치 확인

  1. SCIM 이메일 확인: Okta 관리 콘솔에서 애플리케이션 → [Claude 앱] → 프로비저닝 → 앱으로 → 속성 매핑으로 이동합니다. email(또는 Claude 측에서 이메일로 매핑되는 경우 userName)에 대한 행을 찾습니다. 열은 전송되는 Okta 표현식 또는 필드를 표시합니다.

  2. SSO 이메일 확인(SAML): 애플리케이션 → [Claude 앱] → 로그인 → SAML 설정 → 편집 → 속성 명령문으로 이동합니다. email이라는 속성을 찾습니다. 열은 로그인 시 어떤 Okta 필드가 어설션되는지 표시합니다.

  3. SSO 이메일 확인(OIDC): 애플리케이션 → [Claude 앱] → 로그인 → OpenID Connect ID 토큰으로 이동하고 클레임 섹션에서 이메일 클레임을 확인합니다.

  4. SCIM과 SSO 값이 다른 Okta 필드를 참조하면 불일치를 확인한 것입니다.

단계 2 — 문제의 범위 파악

이것이 영향을 받는 한 사용자인지 또는 시스템 전체 문제인지 결정합니다:

  • 대부분 또는 모든 프로비저닝된 사용자가 동일한 이메일 형식 불일치를 공유하면 이는 전체 디렉토리에 영향을 미치는 시스템 속성 매핑 문제입니다. 수정은 IdP의 SCIM 속성 매핑에 있습니다.

  • 다른 사용자는 정상 작동하는데 한두 명의 사용자만 영향을 받으면 문제는 해당 사용자 계정에만 해당될 가능성이 높습니다. 해당 사용자 프로필을 직접 확인하세요.

단계 3 — Okta 사용자 프로필 직접 확인

영향을 받는 개별 사용자의 경우 실제 필드 값을 확인합니다:

  1. 디렉토리 → 사람 → [사용자] → 프로필로 이동합니다.

  2. 로그인이메일 필드 값을 비교합니다. 다르면 로그인이메일을 사용하는 모든 매핑이 불일치를 생성합니다.

해결

두 매핑을 동일한 Okta 필드에 정렬

가장 안전한 수정은 SCIM과 SSO 모두에 user.email을 사용하는 것입니다. 이 필드는 Okta의 정규 이메일 주소를 포함하기 때문입니다.

  1. SCIM 매핑 업데이트: 프로비저닝 → 앱으로 → 속성 매핑에서 email(또는 userName) 소스를 user.email로 변경합니다.

  2. SSO 클레임 업데이트(SAML): 로그인 → SAML 설정 → 속성 명령문에서 email 속성 값을 user.email로 변경합니다.

  3. SSO 클레임 업데이트(OIDC): 로그인 → OpenID Connect ID 토큰 → 클레임에서 이메일 클레임을 user.email로 매핑하도록 업데이트합니다.

  4. 저장을 클릭합니다.

전체 재동기화 강제 실행

중요 — 전체 동기화 필요: 속성 매핑을 변경한 후 증분 동기화는 기존 사용자를 업데이트하지 않습니다. 프로비저닝 주기의 전체 재시작을 트리거해야 합니다.

  1. 프로비저닝 → 앱으로에서 동기화 강제 실행을 클릭하여 할당된 모든 사용자의 전체 재평가를 트리거합니다.

  2. 또는 대상 사용자의 경우: 프로비저닝 → 사용자 푸시 → 영향을 받는 사용자 선택 → 지금 푸시.

  3. Okta 시스템 로그(보고서 → 시스템 로그)에서 프로비저닝 오류를 확인합니다.

  4. 사용자에게 로그인을 다시 시도하도록 요청하기 전에 업데이트된 이메일 값이 프로비저닝 로그에 나타나는지 확인합니다.

수정 후 정리

속성 매핑을 수정하고 전체 동기화를 완료한 후 상황에 따라 추가 정리가 필요할 수 있습니다:

  • 불법 무료 계정: 수정 전에 조직 생성이 제한되지 않았다면 일부 사용자가 실수로 무료 개인 Claude 계정을 생성했을 수 있습니다. Anthropic 지원팀에 문의하여 이를 제거하도록 합니다.

  • 유령 계정(잘못된 이메일 시트): 원래 프로비저닝된 계정(잘못된 이메일 포함)이 엔터프라이즈 조직에 여전히 존재할 수 있으며 절대 사용할 수 없는 시트를 차지합니다. Anthropic 지원팀에 문의하여 이러한 유령 계정을 프로비저닝 해제합니다.

  • 시트 가용성: 유령 계정이 계약된 모든 시트를 차지하고 있으면 매핑이 수정된 후에도 새 로그인이 시트 부족 오류로 실패합니다. 이 문제가 발생하면 지원팀에 문의하세요.

  • 영향을 받는 사용자 다시 추가: 유령 계정이 제거된 후 수정된 이메일을 가진 사용자는 다시 초대되거나 재프로비저닝되어야 할 수 있습니다.

향후 발생 방지: 엔터프라이즈 설정에서 "조직 생성 제한"을 활성화합니다. 이렇게 하면 아직 프로비저닝되지 않은 사용자가 실수로 무료 개인 계정을 생성하는 것을 방지합니다.

검증

수정 및 정리를 완료한 후 다음을 확인합니다:

  1. 프로비저닝된 사용자의 샘플을 확인합니다 — IdP의 프로비저닝 로그의 이메일이 SSO가 전송하는 이메일 형식과 일치하는지 확인합니다.

  2. 영향을 받는 사용자에게 claude.ai에 대한 브라우저 쿠키를 지우고 SSO를 통해 로그인하도록 요청합니다. 오류 없이 엔터프라이즈 워크스페이스에 직접 이동해야 합니다.

  3. 사용자가 실수로 무료 계정을 생성하지 않는지 확인합니다 — 조직 생성이 제한되면 차단된 사용자는 개인 계정으로 이동하는 대신 명확한 오류를 볼 수 있습니다.

  4. Claude Code가 영향을 받은 경우 사용자에게 claude auth login --enterprise를 다시 실행하도록 하고 이메일이 엔터프라이즈 시트와 일치하는지 확인합니다.

일반적인 함정

함정

해결책

관리자가 SAML 클레임을 업데이트하지만 SCIM 속성 매핑을 잊음(또는 그 반대)

둘 다 업데이트해야 합니다. SCIM 매핑은 프로비저닝 → 앱으로 아래에 있고, SAML 클레임은 로그인 → SAML 설정 아래에 있습니다.

user.login에 일부 사용자의 사용자 이름(이메일 아님)이 포함됨

둘 다 user.email로 전환하고 모든 사용자에 대해 이메일 필드가 채워져 있는지 확인합니다.

증분 동기화가 실행되지만 이메일이 업데이트되지 않음

속성 매핑 변경 후 동기화 강제 실행 또는 사용자 푸시가 필요합니다.

앱 수준 프로필 속성(appuser.email)이 사용자 프로필(user.email)과 다름

앱 수준 속성 매핑이 사용자 프로필 값을 재정의하는지 확인합니다.

이메일이 업데이트되었지만 사용자가 여전히 로그인할 수 없음

불법 무료 조직 또는 유령 계정을 찾습니다. 브라우저 쿠키를 지우고 다시 시도합니다. 문제가 지속되면 Anthropic 지원팀에 문의합니다.

OIDC 및 SAML 앱이 Claude의 별도 Okta 앱

일부 조직에서는 둘 다 구성합니다. 두 앱 모두에서 속성 정렬을 확인하세요.

Anthropic 지원팀에 문의할 시기

  • SCIM 및 SSO 속성이 동일해 보이지만 사용자가 여전히 시트에 액세스할 수 없습니다.

  • 특정 사용자에 대해 Claude가 SCIM 프로비저닝 중에 기록한 이메일을 확인해야 합니다.

  • 유령 계정 또는 불법 무료 조직 정리에 도움이 필요합니다.

  • 사용자가 계약에 사용 가능한 시트가 있음에도 불구하고 시트 부족 오류가 발생합니다.

[email protected]에 조직의 도메인, 영향을 받는 사용자의 이메일 주소, 속성 매핑의 스크린샷과 함께 문의하세요.

관련 자료
SSO/SCIM 이메일 불일치 — Google Workspace
SSO/SCIM 이메일 불일치 — Microsoft Entra ID
SSO/SCIM 이메일 불일치 — OneLogin
SSO/SCIM 이메일 불일치 — Ping Identity
SSO 설정 — Okta
답변이 도움되었나요?