메인 콘텐츠로 건너뛰기

SSO/SCIM 이메일 불일치 — Ping Identity

요약: Claude는 SSO 로그인을 프로비저닝된 시트와 매칭하기 위해 이메일을 기본 식별자로 사용합니다. Ping Identity 제품(PingOne 및 PingFederate)은 유연한 계층화된 속성 구성을 제공합니다. SCIM 프로비저닝과 SAML/OIDC SSO가 서로 다른 사용자 속성에서 데이터를 가져올 때, 불일치로 인해 액세스가 차단됩니다.

증상

사용자가 SSO를 통해 Claude for Enterprise에 액세스하려고 할 때 다음 중 하나 이상의 증상을 경험할 수 있습니다:

  • "계정 생성이 차단됨" — 사용자가 SSO를 통해 인증되지만 Claude가 일치하는 프로비저닝된 계정을 찾을 수 없습니다.

  • 무료 개인 계정으로 이동 — 조직 생성이 제한되지 않으면 사용자가 엔터프라이즈 조직을 완전히 우회합니다.

  • "이메일 확인" 불일치 — SSO 콜백이 사용자가 로그인 시 입력한 이메일과 다른 이메일을 표시합니다.

  • Claude Code 인증 실패 — Claude Code CLI가 인증 흐름 중에 이메일 불일치 오류를 표시합니다.

발생 원인

Ping Identity 제품은 여러 계층(디렉토리, IdP 어댑터, SP 커넥터, 애플리케이션)에서 세분화된 속성 매핑을 허용합니다. SCIM과 SSO는 각각 이러한 계층을 통해 서로 다른 경로를 거칠 수 있으므로, Claude에 도달하는 이메일 값이 달라질 수 있습니다:

Ping 속성

일반적인 값

일반적으로 사용되는 곳

email (PingOne)

[email protected]

SCIM 및 SAML/OIDC 모두에 권장됨

username (PingOne)

testuser1 또는 [email protected]

기본 로그인 식별자; 이메일과 다를 수 있음

IdP 어댑터 속성 (PingFederate)

어댑터 유형(LDAP, HTML Form 등)에 따라 다름

PingFederate 신원 소스

LDAP mail 속성

[email protected]

PingFederate의 디렉토리 소스 이메일

LDAP sAMAccountName 또는 uid

직원 ID 또는 짧은 사용자명일 수 있음

실수로 이메일로 매핑되기도 함

사용자 정의 인구 속성

환경별로 정의된 사용자 정의 필드

고급 PingOne 구성

Claude는 SCIM으로 프로비저닝된 이메일과 SSO로 어설션된 이메일 간의 정확한 문자열 일치를 요구합니다.

PingFederate 참고: PingFederate의 속성 계약 시스템은 특히 복잡합니다 — 이메일은 여러 계층(LDAP → IdP 어댑터 → 어댑터 계약 → SP 커넥터 → 어설션)을 통과할 수 있습니다. 어느 계층에서든 불일치가 발생하면 Claude에 도달하는 값이 잘못됩니다. 값을 끝에서 끝까지 추적하세요.

진단 단계

단계 1 — 불일치 확인 (PingOne)

  1. SCIM 속성 매핑 확인: PingOne Admin에서 Connections → Applications → [Claude App] → Attribute Mappings로 이동합니다. emails[primary].value 또는 email로 매핑된 속성을 찾습니다. 소스로 사용되는 PingOne 사용자 속성을 기록합니다.

  2. SSO 속성 매핑 확인: 동일한 앱에서 SAML 또는 OIDC 탭으로 이동하여 email로 매핑된 속성 또는 클레임을 찾습니다. 소스 속성을 기록합니다.

  3. SCIM과 SSO가 서로 다른 PingOne 속성을 참조하면 불일치를 확인한 것입니다.

단계 1 (대체) — 불일치 확인 (PingFederate)

  1. PingFederate Admin 콘솔에서 Claude의 SP Connection을 찾습니다.

  2. Attribute Contract Fulfillment에서 email 속성을 찾고 그 소스를 IdP 어댑터 또는 LDAP 데이터 저장소로 추적합니다.

  3. 별도로 Claude의 SCIM 프로비저닝 커넥터 또는 아웃바운드 프로비저닝 채널을 확인하고 전송되는 이메일 속성의 소스를 추적합니다.

  4. 두 추적이 서로 다른 디렉토리 속성으로 이어지면 불일치를 확인한 것입니다.

단계 2 — 문제의 범위 파악

이것이 영향을 받는 사용자 한 명인지 또는 시스템 전체 문제인지 확인합니다:

  • 대부분 또는 모든 프로비저닝된 사용자가 동일한 이메일 형식 불일치를 공유하면, 이는 시스템 속성 매핑 문제입니다. 해결책은 IdP의 SCIM 속성 매핑에 있습니다.

  • 한두 명의 사용자만 영향을 받으면, 문제는 해당 사용자 계정에만 해당될 가능성이 높습니다. 해당 사용자 프로필을 직접 확인하세요.

단계 3 — 특정 사용자의 속성 값 확인

  1. PingOne: Identities → Users → [User]로 이동하여 UsernameEmail 필드 값을 비교합니다.

  2. LDAP가 있는 PingFederate: 사용자의 LDAP 레코드를 확인하고 mail, userPrincipalName, sAMAccountName 및 어댑터 매핑에 사용되는 다른 속성들을 비교합니다.

해결 방법

PingOne — 두 매핑을 이메일 속성에 맞추기

  1. Connections → Applications → [Claude App]에서 Attribute Mappings를 엽니다.

  2. SCIM의 경우: emails[primary].value가 PingOne의 Email Address 속성으로 매핑되는지 확인합니다.

  3. SAML/OIDC의 경우: email 속성 또는 클레임도 PingOne의 Email Address 속성으로 매핑되는지 확인합니다.

  4. 변경 사항을 저장합니다.

PingFederate — 모든 계층에서 속성 계약 맞추기

  1. Claude의 SP Connection에서 Attribute Contract Fulfillment로 이동합니다.

  2. email 속성을 찾습니다. 그 소스가 SCIM 아웃바운드 프로비저닝 채널에서 사용되는 동일한 LDAP 또는 데이터 저장소 속성인지 확인합니다.

  3. 사용자 정의 IdP 어댑터를 사용하는 경우, 어댑터의 계약에 정규 이메일 속성이 포함되어 있고 SP 연결을 통해 올바르게 매핑되는지 확인합니다.

  4. SCIM 프로비저닝을 동일한 소스 속성을 사용하도록 업데이트합니다.

전체 재동기화 트리거

중요 — 전체 동기화 필요: 증분 동기화는 속성 매핑을 변경한 후 기존 사용자를 업데이트하지 않습니다. 프로비저닝 주기의 전체 재시작을 트리거해야 합니다.

  1. PingOne: 앱의 프로비저닝 설정에서 전체 프로비저닝 주기를 트리거합니다. 모든 사용자의 완전한 재푸시를 강제하기 위해 프로비저닝을 비활성화했다가 다시 활성화해야 할 수도 있습니다.

  2. PingFederate: 아웃바운드 프로비저닝 채널에서 전체 동기화를 트리거합니다. 프로비저닝 로그를 확인하여 업데이트된 이메일 값이 전송되고 있는지 확인합니다.

  3. 사용자에게 로그인을 다시 시도하도록 요청하기 전에 업데이트된 이메일 값이 프로비저닝 로그에 나타나는지 확인합니다.

수정 후 정리

속성 매핑을 수정하고 전체 동기화를 완료한 후 추가 정리가 필요할 수 있습니다:

  • 불법 무료 계정: Anthropic Support에 문의하여 이를 제거하도록 합니다.

  • 유령 계정(잘못된 이메일 시트): Anthropic Support에 문의하여 이러한 유령 계정을 프로비저닝 해제합니다.

  • 시트 가용성: 유령 계정이 계약된 모든 시트를 차지하고 있으면 새 로그인이 실패합니다. 지원팀에 문의하세요.

  • 영향을 받은 사용자 다시 추가: 유령 계정이 제거된 후 사용자를 다시 초대하거나 재프로비저닝해야 할 수 있습니다.

향후 발생 방지: 엔터프라이즈 설정에서 "조직 생성 제한"을 활성화합니다.

검증

  1. 프로비저닝된 사용자의 샘플을 확인합니다 — IdP의 프로비저닝 로그에서 해당 이메일이 SSO가 전송하는 이메일 형식과 일치하는지 확인합니다.

  2. 영향을 받은 사용자에게 claude.ai의 브라우저 쿠키를 삭제한 후 SSO를 통해 로그인하도록 요청합니다.

  3. 사용자가 실수로 무료 계정을 생성하지 않는지 확인합니다.

  4. Claude Code가 영향을 받은 경우, 사용자에게 claude auth login --enterprise를 다시 실행하도록 하고 이메일이 엔터프라이즈 시트와 일치하는지 확인합니다.

일반적인 함정

함정

해결책

PingOne username 필드가 email 대신 사용됨

SCIM 매핑을 PingOne의 Email Address 속성으로 전환합니다.

PingFederate 계약 계층 간 속성 불일치

이메일 속성을 끝에서 끝까지 추적합니다: LDAP 소스 → IdP 어댑터 → 어댑터 계약 → SP 커넥터 → 어설션.

LDAP sAMAccountName 또는 uid가 이메일 소스로 매핑됨

대신 LDAP mail 속성을 사용합니다.

증분 프로비저닝 동기화가 기존 사용자를 업데이트하지 않음

속성 매핑을 변경한 후 전체 재동기화가 필요합니다.

PingFederate에서 속성 계약이 업데이트되었지만 SCIM 커넥터는 업데이트되지 않음

SP 연결과 아웃바운드 SCIM 프로비저닝 채널을 독립적으로 업데이트해야 합니다.

SCIM에서 이메일이 업데이트되었지만 사용자가 여전히 로그인할 수 없음

불법 무료 조직이나 유령 계정이 있는지 확인합니다. 브라우저 쿠키를 삭제하고 다시 시도합니다.

Anthropic Support에 문의할 시기

  • SCIM 및 SSO 속성이 동일해 보이지만 사용자가 여전히 시트에 액세스할 수 없습니다.

  • 특정 사용자에 대해 Claude가 SCIM 프로비저닝 중에 기록한 이메일을 확인해야 합니다.

  • 유령 계정이나 불법 무료 조직 정리에 도움이 필요합니다.

  • 계약에 사용 가능한 시트가 있음에도 불구하고 사용자가 시트 부족 오류에 직면하고 있습니다.

[email protected]에 조직의 도메인, 영향을 받은 사용자의 이메일 주소, 속성 매핑의 스크린샷과 함께 문의하세요.

관련 자료
SSO/SCIM 이메일 불일치 — Google Workspace
SSO/SCIM 이메일 불일치 — Microsoft Entra ID
SSO/SCIM 이메일 불일치 — Okta
SSO/SCIM 이메일 불일치 — OneLogin
SSO 설정 — Ping Identity
답변이 도움되었나요?