메인 콘텐츠로 건너뛰기

SSO/SCIM 이메일 불일치 — OneLogin

요약: Claude는 SSO 로그인을 프로비저닝된 시트와 매칭하기 위해 이메일을 기본 식별자로 사용합니다. OneLogin에서 SCIM 프로비저닝과 SAML SSO는 앱의 별도 탭에서 구성되며 서로 다른 사용자 프로필 필드를 참조할 수 있어 액세스를 차단하는 불일치가 발생합니다.

증상

사용자가 SSO를 통해 Claude for Enterprise에 액세스하려고 할 때 다음 중 하나 이상의 문제가 발생할 수 있습니다:

  • "계정 생성이 차단됨" — 사용자가 SSO를 통해 인증되지만 Claude가 일치하는 프로비저닝된 계정을 찾을 수 없습니다. 조직에서 조직 생성이 제한된 경우(권장), 사용자는 완전히 차단되며 진행할 수 없습니다.

  • 무료 개인 계정으로 이동 — 조직 생성이 제한되지 않은 경우, 사용자는 엔터프라이즈 조직을 완전히 우회하고 엔터프라이즈 시트 대신 무료 개인 계정을 생성하거나 이동합니다.

  • "이메일 확인 바람" 불일치 — SSO 콜백이 사용자가 로그인 시 입력한 이메일과 다른 이메일을 표시합니다.

  • Claude Code 인증 실패 — Claude Code CLI가 인증 흐름 중에 이메일 불일치 오류를 표시합니다.

이것이 발생하는 방식

OneLogin 사용자 프로필에는 사용자 이름과 이메일을 위한 별개의 필드가 포함되어 있으며, 이는 서로 다른 값을 가질 수 있습니다. SCIM 프로비저닝 매개변수와 SAML 속성 명령문은 독립적으로 구성되며 각각 다른 필드에서 가져올 수 있습니다:

OneLogin 필드

일반적인 값

일반적으로 사용되는 곳

Username

testuser1 또는 [email protected]

때때로 SCIM userName 매핑에 사용됨

Email

[email protected]

SCIM과 SAML 모두에 권장됨

Login Name

SSO가 이메일이 아닌 로그인에 사용되는 경우 이메일과 다를 수 있음

레거시 또는 사용자 정의 구성

사용자 정의 사용자 필드

조직별로 정의된 사용자 정의 속성

고급 속성 매핑

일반적인 불일치: SCIM 매개변수 탭이 이메일 속성을 Username(직원 ID 또는 짧은 이름일 수 있음)으로 매핑하는 반면 SAML 속성 명령문은 Email 필드를 전송합니다. Claude는 정확한 문자열 일치를 요구합니다.

일반적인 혼동: OneLogin의 SCIM 매개변수와 SAML 속성 명령문은 동일한 앱의 다른 탭에 있습니다 — SCIM의 경우 Parameters, SSO의 경우 SSO (또는 SAML 관련 필드가 있는 Parameters). 둘 다 확인하고 정렬해야 합니다.

진단 단계

단계 1 — 불일치 확인

  1. SCIM 이메일 확인: OneLogin 관리자 포털에서 Applications → [Claude App] → Parameters로 이동합니다. Claude가 수신하는 이메일로 매핑된 필드를 찾습니다. OneLogin value 열을 확인합니다 — 이는 어떤 사용자 필드가 전송되는지 보여줍니다.

  2. SAML 이메일 확인: 동일한 앱에서 SSO 탭으로 이동합니다. More Actions → Edit SAML Response를 클릭하거나 SAML Attribute Statements 섹션을 확인합니다. email 속성을 찾고 소스 필드를 확인합니다.

  3. 특정 사용자 확인: Users → [User]에서 사용자의 UsernameEmail 필드를 비교합니다. 이들이 다르면 하나 또는 다른 것을 사용하는 모든 매핑이 불일치를 야기합니다.

단계 2 — 문제의 범위 파악

이것이 영향을 받는 한 사용자인지 또는 시스템 전체 문제인지 결정합니다:

  • 대부분 또는 모든 프로비저닝된 사용자가 동일한 이메일 형식 불일치를 공유하는 경우, 이는 전체 디렉토리에 영향을 미치는 시스템 속성 매핑 문제입니다. 수정은 IdP의 SCIM 속성 매핑에 있습니다.

  • 다른 사용자는 정상 작동하는데 한두 명의 사용자만 영향을 받는 경우, 문제는 해당 사용자 계정에만 해당될 가능성이 높습니다. 해당 사용자 프로필을 직접 확인합니다.

단계 3 — 사용자 필드 값 검토

  1. Users → [Affected User] → User Info로 이동합니다.

  2. UsernameEmail 필드를 모두 확인합니다.

  3. Username이 유효한 이메일과 일치하지 않는 형식인 경우, SCIM이 유효하지 않거나 일치하지 않는 값을 전송할 수 있습니다.

해결

두 매핑을 Email 필드에 정렬

OneLogin의 Email 필드는 유효한 이메일 주소를 보유하도록 설계되었으므로 SCIM과 SAML 모두에 가장 신뢰할 수 있는 소스입니다.

  1. SCIM 매개변수 업데이트: Applications → [Claude App] → Parameters에서 Claude가 수신하는 이메일 속성의 행을 찾습니다. ValueEmail(OneLogin 사용자 Email 필드)로 변경합니다.

  2. SAML 속성 명령문 업데이트: SSO 탭(또는 SAML 속성의 경우 Parameters)에서 email 속성 값을 동일한 Email 필드를 사용하도록 업데이트합니다.

  3. Save를 클릭합니다.

전체 재동기화 트리거

중요 — 전체 동기화 필요: 속성 매핑을 변경한 후 증분 동기화는 기존 사용자를 업데이트하지 않습니다. 프로비저닝 주기의 전체 재시작을 트리거해야 합니다.

  1. 앱의 Provisioning 탭에서 Re-sync 또는 Sync All 옵션을 찾아 실행합니다.

  2. 개별 사용자를 다시 프로비저닝하려면: Users → [User] → Applications로 이동하여 Claude 앱을 찾고 Re-provision을 사용합니다.

  3. OneLogin 프로비저닝 활동 로그에서 오류를 확인합니다.

  4. 사용자에게 로그인을 다시 시도하도록 요청하기 전에 업데이트된 이메일 값이 로그에 나타나는지 확인합니다.

수정 후 정리

속성 매핑을 수정하고 전체 동기화를 완료한 후 상황에 따라 추가 정리가 필요할 수 있습니다:

  • 불법 무료 계정: 수정 전에 조직 생성이 제한되지 않은 경우, 일부 사용자가 실수로 무료 개인 Claude 계정을 생성했을 수 있습니다. Anthropic Support에 문의하여 이를 제거하도록 합니다.

  • 유령 계정(잘못된 이메일 시트): 원래 프로비저닝된 계정(잘못된 이메일 포함)이 엔터프라이즈 조직에 여전히 존재할 수 있으며, 절대 사용할 수 없는 시트를 차지합니다. Anthropic Support에 문의하여 이러한 유령 계정을 프로비저닝 해제합니다.

  • 시트 가용성: 유령 계정이 계약된 모든 시트를 차지하는 경우, 매핑이 수정된 후에도 새 로그인이 시트 부족 오류로 실패합니다. 이 문제가 발생하면 지원팀에 문의합니다.

  • 영향을 받은 사용자 다시 추가: 유령 계정이 제거된 후, 수정된 이메일을 가진 사용자는 다시 초대되거나 다시 프로비저닝되어야 할 수 있습니다.

향후 발생 방지: 엔터프라이즈 설정에서 "조직 생성 제한"을 활성화합니다.

검증

수정 및 정리를 완료한 후 다음을 확인합니다:

  1. 프로비저닝된 사용자의 샘플을 확인합니다 — IdP의 프로비저닝 로그의 이메일이 SSO가 전송하는 이메일 형식과 일치하는지 확인합니다.

  2. 영향을 받은 사용자에게 claude.ai의 브라우저 쿠키를 지우도록 요청한 후 SSO를 통해 로그인합니다.

  3. 사용자가 실수로 무료 계정을 생성하지 않는지 확인합니다.

  4. Claude Code가 영향을 받은 경우, 사용자에게 claude auth login --enterprise를 다시 실행하도록 하고 이메일이 엔터프라이즈 시트와 일치하는지 확인합니다.

일반적인 함정

함정

해결책

Username 필드가 이메일이 아닌 짧은 이름 또는 직원 ID를 보유

SCIM을 Email 필드를 사용하도록 전환합니다.

SAML 속성은 업데이트되었지만 SCIM 매개변수는 변경되지 않음

Parameters 탭(SCIM의 경우)과 SSO/SAML 속성을 모두 독립적으로 업데이트해야 합니다.

재동기화가 트리거되지 않는 것으로 보임

앱에서 영향을 받은 개별 사용자를 제거하고 다시 할당해 봅니다.

사용자 정의 사용자 필드가 매핑되었지만 일부 사용자에 대해 비어 있음

표준 Email 필드로 전환합니다.

SCIM에서 이메일이 업데이트되었지만 사용자가 여전히 로그인할 수 없음

불법 무료 조직 또는 유령 계정을 확인합니다. 브라우저 쿠키를 지우고 다시 시도합니다.

사용자를 다시 추가하려고 할 때 "초대 도메인이 허용되지 않음"

조직의 도메인이 Claude에서 확인되지 않았을 수 있습니다. Anthropic Support에 문의합니다.

Anthropic Support에 문의할 시기

  • SCIM 및 SSO 속성이 동일해 보이지만 사용자가 여전히 시트에 액세스할 수 없습니다.

  • 특정 사용자에 대해 Claude가 SCIM 프로비저닝 중에 기록한 이메일을 확인해야 합니다.

  • 유령 계정 또는 불법 무료 조직 정리에 도움이 필요합니다.

  • 사용자가 계약에 사용 가능한 시트가 있음에도 불구하고 시트 부족 오류가 발생합니다.

[email protected]에 조직의 도메인, 영향을 받은 사용자의 이메일 주소, 속성 매핑의 스크린샷과 함께 문의합니다.

관련 자료
SSO/SCIM 이메일 불일치 — Google Workspace
SSO/SCIM 이메일 불일치 — Microsoft Entra ID
SSO/SCIM 이메일 불일치 — Okta
SSO/SCIM 이메일 불일치 — Ping Identity
SSO 설정 — OneLogin
답변이 도움되었나요?