Ir para conteúdo principal

Configurar provisionamento JIT ou SCIM

Atualizado há mais de uma semana

O provisionamento JIT está disponível para planos Team, planos Enterprise e organizações Console. O provisionamento SCIM está disponível apenas para organizações Enterprise e Console.

Este guia aborda como configurar o provisionamento de usuários e a atribuição de funções para sua organização Claude ou Claude Console.

Antes de começar: Este guia pressupõe que você já concluiu as etapas em Configurar logon único (SSO), incluindo verificação de domínio e configuração de SSO com seu Provedor de Identidade (IdP), e que você tem uma função Admin (Console) ou Owner (Claude).

Etapa 1: Escolha seu modo de provisionamento

Após o SSO ser configurado, você precisa decidir como os usuários serão provisionados para sua organização. Isso é controlado pela configuração Modo de provisionamento em Organização configurações > Identidade e acesso.

Opções de provisionamento

Apenas convite é o padrão. Os usuários são adicionados e removidos diretamente nas configurações do Claude ou Console.

Aprovar automaticamente (JIT): Os usuários atribuídos ao seu aplicativo IdP Anthropic são provisionados automaticamente quando fazem login pela primeira vez. Esta opção está disponível para todos os planos.

Sincronizar com SCIM: Os usuários são provisionados e desprovisionados automaticamente com base nas atribuições em seu IdP, sem exigir que façam login primeiro. O SCIM está disponível para planos Enterprise e organizações Console com sua própria organização pai ou associadas a uma organização pai Enterprise. O SCIM não está disponível para planos Team ou organizações Console associadas à organização pai de um plano Team.

Visão geral do comportamento de provisionamento

Use esta tabela para ajudar a decidir qual modo de provisionamento é adequado para sua organização:

Modo

Provisionamento

Alterações de função e tipo de assento

Remoção

Apenas convite

Os usuários são adicionados manualmente

As funções e tipos de assento são alterados manualmente

Os usuários são removidos manualmente

Aprovar automaticamente (JIT)

Os usuários atribuídos ao seu aplicativo IdP são provisionados no login com a função Usuário

As funções e tipos de assento são alterados manualmente

Remoção manual necessária: os usuários removidos do seu aplicativo IdP não podem mais fazer login, mas permanecem na lista de usuários até tentarem fazer login ou serem removidos

JIT + mapeamentos de grupo

Os usuários em pelo menos um grupo mapeado são provisionados no login com a função de maior permissão de suas associações de grupo

As funções e tipos de assento são atualizados no próximo login com base na associação de grupo

Os usuários sem acesso a grupo não podem fazer login, mas permanecem na lista até uma tentativa de login ou remoção manual

Sincronizar com SCIM

Os usuários atribuídos ao seu aplicativo IdP são provisionados automaticamente para todas as organizações associadas à sua organização pai.

As funções e tipos de assento são alterados manualmente

Os usuários removidos do seu aplicativo IdP são removidos automaticamente

SCIM + mapeamentos de grupo

Os usuários em pelo menos um grupo mapeado são provisionados automaticamente, com a função apropriada, apenas para a(s) organização(ões) associada(s) à organização pai onde esse grupo foi adicionado.

As alterações de função e tipo de assento se propagam automaticamente com base na associação de grupo

Remoção automática quando o acesso ao grupo é revogado

Tanto JIT quanto SCIM podem ser combinados com Ativar mapeamentos de grupo para controlar a atribuição de função ou nível de assento com base na associação de grupo do IdP. Se você selecionar uma dessas opções para seu modo de provisionamento, Ativar mapeamentos de grupo aparecerá nessa seção:

Funções e níveis de assento disponíveis

Produto

Funções

Tipos de assento

Plano Team / Plano Enterprise baseado em assento

Owner, Admin, User

Premium, Standard

Plano Enterprise baseado em uso (com dois tipos de assento)

Owner, Admin, User

Chat, Chat + Claude Code

Plano Enterprise baseado em uso (tipo de assento único)

Owner, Admin, User

Empresa

Console

Admin, Desenvolvedor, Faturamento, Usuário do Claude Code, Usuário

Para obter informações sobre a compra de assentos ou ajuste da alocação de assentos do seu plano, consulte nossos guias para planos de equipe e planos Enterprise.

Etapa 2: Configurar sincronização de diretório SCIM (se usar SCIM)

Observação: Pule esta etapa se estiver usando Apenas convite ou provisionamento JIT.

Se você escolheu SCIM como seu modo de provisionamento, você precisa estabelecer a conexão entre seu Provedor de Identidade e a Anthropic antes de ativá-lo.

  1. Navegue até suas configurações de Identidade e acesso no Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)

  2. Na seção Configurações de acesso global, clique em "Configurar SCIM" (ou "Gerenciar SCIM") ao lado de Sincronização de diretório (SCIM).

  3. Siga o guia de configuração do WorkOS para configurar SCIM no seu Provedor de Identidade. Você precisará copiar valores do WorkOS para o aplicativo Anthropic do seu IdP.

‼️ Quando você chegar à etapa IdP Group, pause para revisar as Etapas 3 e 4 deste guia, juntamente com os outros guias.

Para instruções de configuração JIT / SCIM específicas do IdP, consulte:

Depois que seu IdP estiver conectado, continue para a Etapa 3.

Etapa 3: Configurar modo de provisionamento e ativar mapeamentos de grupo

  1. Na seção Configurações de acesso global de suas configurações de Identidade e acesso, encontre Modo de provisionamento.

  2. Selecione sua opção escolhida no menu suspenso:

    1. Apenas convite: Novos membros só podem ingressar se forem convidados manualmente por um membro existente. O acesso SSO sozinho não os adicionará à sua organização.

    2. Aprovar automaticamente (JIT): Permita que pessoas com acesso SSO ingressem quando fizerem login pela primeira vez. Cada novo membro usa um de seus assentos disponíveis.

    3. Sincronizar com SCIM: Adicione ou remova membros automaticamente conforme seu diretório muda. Sua organização sempre permanece atualizada.

  3. Se você selecionou "Aprovar automaticamente (JIT)" ou "Sincronizar com SCIM", NÃO clique em "Salvar alterações" imediatamente. Você deve primeiro garantir que todos os usuários sejam atribuídos ao seu aplicativo Anthropic no seu IdP.

  4. Depois de confirmar que todos os usuários foram atribuídos no seu IdP, você pode:

    1. Clique em "Salvar alterações" para concluir a configuração e disparar o provisionamento inicial, ou

    2. Ative Ativar mapeamentos de grupo e vá para a Etapa 4.

Importante: Salvar antes que os usuários sejam atribuídos corretamente resultará no desprovisionamento desses usuários da organização.

Etapa 4: Configurar grupos no seu Provedor de Identidade e mapear grupos para funções e tipos de assento

  1. Crie grupos no seu IdP para cada função que deseja atribuir. A menos que você esteja no plano Enterprise de assento único, crie grupos para cada tipo de assento também.

    1. Embora não haja mais requisitos de nomenclatura para esses grupos, recomendamos incluir algo no nome do grupo (por exemplo, anthropic-claude- ou anthropic-console-) para facilitar a identificação.

  2. Adicione usuários aos grupos que você criou, garantindo que pelo menos um usuário (incluindo você) esteja em um grupo que será mapeado para uma função Admin (Console) ou Owner (Claude).

  3. Retorne às suas configurações de Identidade e acesso no Claude ou Console e encontre Modo de provisionamento.

  4. Ative Ativar mapeamentos de grupo (se ainda não estiver):

  5. Na seção Ativar mapeamentos de grupo, clique em "Adicionar" ao lado de cada função e selecione o grupo correspondente do seu IdP no menu suspenso.

    1. Observação: Ao usar mapeamentos de grupo, você deve atribuir todos os usuários a um grupo baseado em função para garantir que eles sejam provisionados com uma conta. Atribuir usuários a grupos baseados em nível de assento é opcional.

  6. Para todos os planos, exceto Enterprise de assento único: Na seção Atribuir níveis de assento a grupos IdP (opcional), clique em "Adicionar" ao lado de cada tipo de assento e selecione o grupo correspondente do seu IdP. Se um usuário não for atribuído a um grupo de tipo de assento, ele será atribuído ao tipo disponível mais alto por padrão.

    1. Para Enterprise de assento único: O mapeamento de tipo de assento não se aplica. Todos os usuários provisionados recebem automaticamente um assento Enterprise, desde que um esteja disponível em sua organização.

  7. Verifique se todos os grupos necessários estão mapeados para as funções e tipos de assento apropriados.

  8. Clique em "Salvar alterações".

    1. Observação: O Microsoft Entra envia alterações SCIM apenas a cada 40 minutos, portanto, pode haver um atraso antes que as alterações apareçam. Você pode verificar quais usuários foram sincronizados do seu IdP clicando em "Gerenciar SCIM" e visualizando o Diretório. Os usuários no Diretório serão provisionados para Claude / Console.

Importante: Todos os usuários que precisam de acesso devem ser atribuídos aos grupos apropriados antes de salvar sua configuração de mapeamentos de grupo. Esses usuários já devem estar atribuídos ao seu aplicativo Anthropic no seu IdP de quando você ativou o SSO.

Solução de problemas

Usuários atribuídos corretamente e aparecendo no diretório, mas não estão sendo adicionados ao Claude como membros?

Verifique se você tem assentos suficientes comprados e disponíveis para adicionar membros à sua organização.

  1. Verifique o número de assentos disponíveis mostrados em Organização configurações > Faturamento e compre assentos adicionais se necessário (consulte nossos guias para planos de equipe e planos Enterprise).

  2. Depois de ter assentos disponíveis, volte à página Identidade e acesso e clique em "Sincronizar agora", ao lado de Sincronização de diretório (SCIM). Isso acionará uma sincronização para provisionar contas para os usuários ainda não adicionados como membros.

Os usuários não estão sendo provisionados com a função correta

  1. Verifique se o usuário está atribuído ao grupo correto no seu IdP.

  2. Verifique se o grupo está mapeado para a função correta nas suas configurações de Identidade e acesso.

  3. Para JIT: O usuário precisa fazer logout e login novamente para que as alterações de função entrem em vigor.

  4. Para SCIM: Clique em "Sincronizar agora" para solicitar uma sincronização imediata ou aguarde o ciclo de sincronização automática.

Perdi acesso de Admin/Proprietário após ativar mapeamentos de grupo

Isso acontece quando a pessoa que configura os mapeamentos de grupo não está atribuída a um grupo mapeado para uma função de Admin ou Proprietário, fazendo com que suas permissões sejam rebaixadas para Usuário.

Para corrigir:

Opção 1: Peça a outro Admin/Proprietário para restaurar sua função

  1. Entre em contato com outro Admin ou Proprietário da sua organização.

  2. Peça a ele que navegue até Configurações da organização > Organização (para Claude) ou Configurações > Membros (para Console).

  3. Peça a ele que altere sua função de volta para Admin ou Proprietário.

Opção 2: Corrigir através do seu Provedor de Identidade

  1. No seu IdP, atribua-se a um grupo com o prefixo correto que mapeie para uma função de Admin ou Proprietário.

  2. Para JIT: Faça logout e login novamente para recuperar o acesso.

  3. Para SCIM: Peça a outro Admin ou Proprietário que clique em "Sincronizar agora" nas configurações de Identidade e acesso ou aguarde o ciclo de sincronização automática.

Artigos relacionados
Considerações importantes antes de ativar logon único (SSO) e provisionamento JIT/SCIM
Configurar logon único (SSO)
Gerenciar membros em planos Team e Enterprise
Mudança para um Provedor de Identidade (IdP) Diferente
Migre sua organização de Team para Enterprise
Isto respondeu à sua pergunta?