Ir para conteúdo principal

Configurando provisionamento JIT ou SCIM

Atualizado ontem

O provisionamento JIT está disponível para planos Team, planos Enterprise e organizações Console. O provisionamento SCIM está disponível apenas para organizações Enterprise e Console.

Este guia aborda como configurar o provisionamento de usuários e a atribuição de funções para sua organização Claude ou Claude Console.

Antes de começar: Este guia pressupõe que você já concluiu as etapas em Configurando Single Sign-On (SSO), incluindo verificação de domínio e configuração de SSO com seu Provedor de Identidade (IdP), e você tem uma função Admin (Console) ou Owner (Claude).

Etapa 1: Escolha seu modo de provisionamento

Após o SSO ser configurado, você precisa decidir como os usuários serão provisionados para sua organização. Isso é controlado pela configuração Modo de provisionamento em suas configurações de Identidade e acesso.

Opções de provisionamento

Manual é o padrão. Os usuários são adicionados e removidos diretamente nas configurações de Claude ou Console.

JIT (Just-in-Time): Os usuários atribuídos ao seu aplicativo IdP Anthropic são provisionados automaticamente quando fazem login pela primeira vez. Esta opção está disponível para todos os planos.

SCIM: Os usuários são provisionados e desprovisionados automaticamente com base nas atribuições em seu IdP, sem exigir que façam login primeiro. SCIM está disponível para planos Enterprise e organizações Console com sua própria organização pai ou associadas a uma organização pai Enterprise. SCIM não está disponível para planos Team ou organizações Console associadas à organização pai de um plano Team.

Visão geral do comportamento de provisionamento

Use esta tabela para ajudar a decidir qual modo de provisionamento é adequado para sua organização:

Modo

Provisionamento

Alterações de função e nível de assento

Remoção

Manual

Os usuários são adicionados manualmente

As funções e níveis de assento são alterados manualmente

Os usuários são removidos manualmente

JIT

Os usuários atribuídos ao seu aplicativo IdP são provisionados no login com a função User

As funções e níveis de assento são alterados manualmente

Remoção manual necessária: usuários removidos do seu aplicativo IdP não podem mais fazer login, mas permanecem na lista de usuários até tentarem fazer login ou serem removidos

JIT + mapeamentos de grupo avançados

Os usuários em pelo menos um grupo mapeado são provisionados no login com a função de maior permissão de suas associações de grupo

As funções e níveis de assento são atualizados no próximo login com base na associação de grupo

Os usuários sem acesso a grupo não podem fazer login, mas permanecem na lista até tentativa de login ou remoção manual

SCIM

Os usuários atribuídos ao seu aplicativo IdP são provisionados automaticamente para todas as organizações associadas à sua organização pai.

As funções e níveis de assento são alterados manualmente

Os usuários removidos do seu aplicativo IdP são removidos automaticamente

SCIM + mapeamentos de grupo avançados

Os usuários em pelo menos um grupo mapeado são provisionados automaticamente com as funções apropriadas

As alterações de função e nível de assento se propagam automaticamente com base na associação de grupo

Remoção automática quando o acesso ao grupo é revogado

Tanto JIT quanto SCIM podem ser combinados com Mapeamentos de Grupo Avançados para controlar a atribuição de função ou nível de assento com base na associação de grupo do IdP.

Funções e níveis de assento disponíveis

Produto

Funções

Níveis de assento

Claude (Team/Enterprise)

Owner, Admin, User

Premium, Standard

Console

Admin, Developer, Billing, Claude Code User, User

Para instruções detalhadas sobre como adicionar e remover membros, consulte Compra e gerenciamento de assentos.

Etapa 2: Configurar sincronização de diretório SCIM (se usar SCIM)

Nota: Pule esta etapa se estiver usando provisionamento Manual ou JIT.

Se você escolheu SCIM como seu modo de provisionamento, você precisa estabelecer a conexão entre seu Provedor de Identidade e Anthropic antes de habilitá-lo.

  1. Navegue até suas configurações de Identidade e acesso em Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)

  2. Na seção "Configuração Global de SSO", clique em "Configurar SCIM" (ou "Gerenciar SCIM") ao lado de "Sincronização de diretório (SCIM)."

  3. Siga o guia de configuração do WorkOS para configurar SCIM em seu Provedor de Identidade. Você precisará copiar valores do WorkOS para o aplicativo Anthropic do seu IdP.

‼️ Quando você chegar à etapa IdP Group, pause para revisar as Etapas 3 e 4 deste guia, juntamente com os outros guias.

Para instruções de configuração específicas do IdP para JIT / SCIM, consulte:

Após seu IdP estar conectado, continue para a Etapa 3.

Etapa 3: Configurar modo de provisionamento e Mapeamentos de Grupo Avançados

  1. Na seção Configuração de SSO da Organização de suas configurações de Identidade e acesso, encontre Modo de provisionamento.

  2. Selecione sua opção escolhida no menu suspenso ("Just in time (JIT)" ou "Directory sync (SCIM)").

  3. Ative Mapeamentos de grupo avançados se estiver usando.

    1. Importante: NÃO clique em "Salvar alterações" ainda. Você deve primeiro garantir que todos os usuários sejam atribuídos ao seu aplicativo Anthropic em seu IdP. Para Mapeamentos de Grupo Avançados, os usuários também devem ser atribuídos aos grupos apropriados (Etapas 4 e 5). Salvar antes que os usuários sejam atribuídos corretamente resultará no desprovisionamento desses usuários da organização.

  4. Se você não estiver usando Mapeamentos de Grupo Avançados: Certifique-se de que todos os usuários sejam atribuídos ao seu aplicativo Anthropic em seu IdP para provisionamento SCIM, depois clique em "Salvar alterações" para concluir sua configuração.

Etapa 4: Configurar grupos e atribuir usuários em seu Provedor de Identidade para Mapeamentos de Grupo Avançados

  1. Crie grupos em seu IdP para cada função e nível de assento que você deseja atribuir.

    1. Embora não haja mais requisitos de nomenclatura para esses grupos, recomendamos incluir algo no nome do grupo (por exemplo, anthropic-claude- ou anthropic-console-) para facilitar a identificação.

  2. Adicione usuários aos grupos que você criou, garantindo que pelo menos um usuário (incluindo você) esteja em um grupo que será mapeado para uma função Admin (Console) ou Owner (Claude).

Importante: Todos os usuários que precisam de acesso devem ser atribuídos aos grupos apropriados antes de salvar sua configuração de Mapeamentos de Grupo Avançados na próxima etapa. Esses usuários já devem estar atribuídos ao seu aplicativo Anthropic em seu IdP de quando você habilitou o SSO.

Etapa 5: Mapear grupos para funções e níveis de assento

  1. Retorne às suas configurações de Identidade e acesso em Claude ou Console, e ative Mapeamentos de grupo avançados (se ainda não estiver).

  2. Na seção Mapeamentos de função, clique em "Adicionar" ao lado de cada função e selecione o grupo correspondente do seu IdP no menu suspenso.

  3. Para organizações Claude: Na seção Mapeamentos de nível de assento, clique em "Adicionar" ao lado de cada nível (Premium, Standard) e selecione o grupo correspondente. Se um usuário não for atribuído a um grupo de nível de assento, ele será atribuído ao nível disponível mais alto por padrão.

  4. Verifique se todos os grupos necessários estão mapeados para as funções e níveis de assento apropriados.

  5. Clique em "Salvar alterações."

Nota: Microsoft Entra envia alterações SCIM apenas a cada 40 minutos, portanto, pode haver um atraso antes que as alterações apareçam.

Solução de problemas

Os usuários estão atribuídos corretamente e aparecendo no diretório, mas não estão sendo adicionados ao Claude como membros?

Verifique se você tem assentos suficientes comprados e disponíveis para adicionar membros à sua organização.

  1. Verifique "Total de assentos" mostrado na página Organização, se necessário, compre assentos adicionais.

  2. Após ter assentos disponíveis, volte à página Identidade e acesso e clique em "Sincronizar agora," ao lado de Sincronização de diretório (SCIM). Isso acionará uma sincronização para provisionar contas para os usuários ainda não adicionados como membros.

Os usuários não estão sendo provisionados com a função correta

  1. Verifique se o usuário está atribuído ao grupo correto em seu IdP.

  2. Verifique se o grupo está mapeado para a função correta em suas configurações de Identidade e acesso.

  3. Para JIT: O usuário precisa fazer logout e login novamente para que as alterações de função entrem em vigor.

  4. Para SCIM: Clique em "Sincronizar Agora" para solicitar uma sincronização imediata, ou aguarde o ciclo de sincronização automática.

Perdi acesso de Admin/Owner após habilitar Mapeamentos de Grupo Avançados

Isso acontece quando a pessoa que configura Mapeamentos de Grupo Avançados não está atribuída a um grupo mapeado para uma função Admin ou Owner, causando o rebaixamento de suas permissões para User. Para corrigir isso:

Opção 1: Ter outro Admin/Owner restaurar sua função

  1. Entre em contato com outro Admin ou Owner de sua organização.

  2. Peça-lhes para navegar até Configurações de Admin > Organização (para Claude) ou Configurações > Membros (para Console).

  3. Peça-lhes para alterar sua função de volta para Admin ou Owner.

Opção 2: Corrigir via seu Provedor de Identidade

  1. Em seu IdP, atribua-se a um grupo com o prefixo correto que mapeia para uma função Admin ou Owner.

  2. Para JIT: Faça logout e login novamente para recuperar o acesso.

  3. Para SCIM: Peça a outro Admin ou Owner para clicar em "Sincronizar Agora" nas configurações de Identidade e acesso, ou aguarde o ciclo de sincronização automática.

Artigos relacionados
O que é o plano Team?
Funções e Permissões
O que é o plano Enterprise?
Considerações Importantes Antes de Ativar Single Sign-On (SSO) e Provisionamento JIT/SCIM
Gerenciando membros em planos Team e Enterprise
Isto respondeu à sua pergunta?