O provisionamento JIT está disponível para planos Team, planos Enterprise e organizações Console. O provisionamento SCIM está disponível apenas para organizações Enterprise e Console.
Este guia aborda como configurar o provisionamento de usuários e a atribuição de funções para sua organização Claude ou Claude Console.
Antes de começar: Este guia pressupõe que você já concluiu as etapas em Configurar logon único (SSO), incluindo verificação de domínio e configuração de SSO com seu Provedor de Identidade (IdP), e você tem uma função Admin (Console) ou Owner (Claude).
Etapa 1: Escolha seu modo de provisionamento
Após o SSO ser configurado, você precisa decidir como os usuários serão provisionados para sua organização. Isso é controlado pela configuração Modo de provisionamento em Organização configurações > Identidade e acesso.
Opções de provisionamento
Manual é o padrão. Os usuários são adicionados e removidos diretamente nas configurações Claude ou Console.
JIT (Just-in-Time): Os usuários atribuídos ao seu aplicativo IdP Anthropic são provisionados automaticamente quando fazem login pela primeira vez. Esta opção está disponível para todos os planos.
SCIM: Os usuários são provisionados e desprovisionados automaticamente com base nas atribuições em seu IdP, sem exigir que façam login primeiro. SCIM está disponível para planos Enterprise e organizações Console com sua própria organização pai ou associadas a uma organização pai Enterprise. SCIM não está disponível para planos Team ou organizações Console associadas à organização pai de um plano Team.
Visão geral do comportamento de provisionamento
Use esta tabela para ajudar a decidir qual modo de provisionamento é adequado para sua organização:
Modo | Provisionamento | Alterações de função e tipo de assento | Remoção |
Manual | Os usuários são adicionados manualmente | Funções e tipos de assento são alterados manualmente | Os usuários são removidos manualmente |
JIT | Os usuários atribuídos ao seu aplicativo IdP são provisionados no login com a função User | Funções e tipos de assento são alterados manualmente | Remoção manual necessária: usuários removidos do seu aplicativo IdP não podem mais fazer login, mas permanecem na lista de usuários até tentarem fazer login ou serem removidos |
JIT + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados no login com a função de maior permissão de suas associações de grupo | Funções e tipos de assento são atualizados no próximo login com base na associação de grupo | Os usuários sem acesso a grupo não podem fazer login, mas permanecem na lista até tentativa de login ou remoção manual |
SCIM | Os usuários atribuídos ao seu aplicativo IdP são provisionados automaticamente para todas as organizações associadas à sua organização pai. | Funções e tipos de assento são alterados manualmente | Os usuários removidos do seu aplicativo IdP são removidos automaticamente |
SCIM + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados automaticamente com funções apropriadas | Alterações de função e tipos de assento se propagam automaticamente com base na associação de grupo | Remoção automática quando o acesso ao grupo é revogado |
Tanto JIT quanto SCIM podem ser combinados com Ativar mapeamentos de grupo para controlar a atribuição de função ou nível de assento com base na associação de grupo do IdP.
Funções e níveis de assento disponíveis
Produto | Funções | Tipos de assento |
Plano Team / Plano Enterprise baseado em assento | Owner, Admin, User | Premium, Standard |
Plano Enterprise baseado em uso (com dois tipos de assento) | Owner, Admin, User | Chat, Chat + Claude Code |
Plano Enterprise baseado em uso (tipo de assento único) | Owner, Admin, User | Enterprise |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Para informações sobre compra de assentos ou ajuste da alocação de assentos do seu plano, consulte nossos guias para planos Team e planos Enterprise.
Etapa 2: Configurar sincronização de diretório SCIM (se usar SCIM)
Nota: Pule esta etapa se estiver usando provisionamento Manual ou JIT.
Se você escolheu SCIM como seu modo de provisionamento, você precisa estabelecer a conexão entre seu Provedor de Identidade e Anthropic antes de ativá-lo.
Navegue até suas configurações de Identidade e acesso em Claude (claude.ai/admin-settings/identity) ou Console (platform.claude.com/settings/identity)
Na seção Configurações de acesso global / Acesso da organização, clique em "Configurar SCIM" (ou "Gerenciar SCIM") ao lado de Sincronização de diretório (SCIM).
Siga o guia de configuração WorkOS para configurar SCIM em seu Provedor de Identidade. Você precisará copiar valores do WorkOS para o aplicativo Anthropic do seu IdP.
‼️ Quando você chegar à etapa Grupo do IdP, pause para revisar as Etapas 3 e 4 deste guia, juntamente com os outros guias.
Para instruções de configuração JIT / SCIM específicas do IdP, consulte:
Veja IdPs adicionais aqui
Após seu IdP estar conectado, continue para a Etapa 3.
Etapa 3: Configurar modo de provisionamento e ativar mapeamentos de grupo
Na seção Configurações de acesso global / Acesso da organização de suas configurações de Identidade e acesso, encontre Modo de provisionamento.
Selecione sua opção escolhida no menu suspenso ("Just in time (JIT)" ou "Directory sync (SCIM)").
Ative Ativar mapeamentos de grupo se estiver usando.
Importante: NÃO clique em "Salvar alterações" ainda. Você deve primeiro garantir que todos os usuários sejam atribuídos ao seu aplicativo Anthropic em seu IdP. Quando você ativa mapeamentos de grupo, os usuários também devem ser atribuídos aos grupos apropriados (Etapas 4 e 5). Salvar antes que os usuários sejam atribuídos corretamente resultará no desprovisionamento desses usuários da organização.
Se você não estiver usando mapeamentos de grupo: Certifique-se de que todos os usuários sejam atribuídos ao seu aplicativo Anthropic em seu IdP para provisionamento SCIM, depois clique em "Salvar alterações" para concluir sua configuração.
Etapa 4: Configurar grupos e atribuir usuários em seu Provedor de Identidade para mapeamentos de grupo
Crie grupos em seu IdP para cada função que você deseja atribuir. A menos que você esteja no plano Enterprise de assento único, crie grupos para cada tipo de assento também.
Embora não haja mais requisitos de nomenclatura para esses grupos, recomendamos incluir algo no nome do grupo (por exemplo,
anthropic-claude-ouanthropic-console-) para facilitar a identificação.
Adicione usuários aos grupos que você criou, garantindo que pelo menos um usuário (incluindo você) esteja em um grupo que será mapeado para uma função Admin (Console) ou Owner (Claude).
Importante: Todos os usuários que precisam de acesso devem ser atribuídos aos grupos apropriados antes de salvar sua configuração de mapeamentos de grupo na próxima etapa. Esses usuários já devem estar atribuídos ao seu aplicativo Anthropic em seu IdP de quando você ativou o SSO.
Etapa 5: Mapear grupos para funções e tipos de assento
Retorne às suas configurações de Identidade e acesso em Claude ou Console e ative Ativar mapeamentos de grupo (se ainda não estiver).
Na seção Ativar mapeamentos de grupo, clique em "Adicionar" ao lado de cada função e selecione o grupo correspondente do seu IdP no menu suspenso.
Para todos os planos exceto Enterprise de assento único: Na seção Atribuir níveis de assento a grupos do IdP, clique em "Adicionar" ao lado de cada tipo de assento e selecione o grupo correspondente do seu IdP. Se um usuário não for atribuído a um grupo de tipo de assento, ele será atribuído ao tipo mais alto disponível por padrão.
Para Enterprise de assento único: O mapeamento de tipo de assento não se aplica. Todos os usuários provisionados recebem automaticamente um assento Enterprise, desde que um esteja disponível em sua organização.
Verifique se todos os grupos necessários estão mapeados para as funções e tipos de assento apropriados.
Clique em "Salvar alterações."
Nota: Microsoft Entra envia alterações SCIM apenas a cada 40 minutos, portanto, pode haver um atraso antes que as alterações apareçam.
Solução de problemas
Os usuários estão atribuídos corretamente e aparecendo no diretório, mas não estão sendo adicionados ao Claude como membros?
Verifique se você tem assentos suficientes comprados e disponíveis para adicionar membros à sua organização.
Verifique o número de assentos disponíveis mostrado em Configurações da organização > Faturamento e compre assentos adicionais se necessário (consulte nossos guias para planos Team e planos Enterprise).
Após ter assentos disponíveis, volte à página Identidade e acesso e clique em "Sincronizar agora," ao lado de Sincronização de diretório (SCIM). Isso acionará uma sincronização para provisionar contas para esses usuários ainda não adicionados como membros.
Os usuários não estão sendo provisionados com a função correta
Verifique se o usuário está atribuído ao grupo correto em seu IdP.
Verifique se o grupo está mapeado para a função correta em suas configurações de Identidade e acesso.
Para JIT: O usuário precisa fazer logout e login novamente para que as alterações de função entrem em vigor.
Para SCIM: Clique em "Sincronizar agora" para solicitar uma sincronização imediata ou aguarde o ciclo de sincronização automática.
Perdi acesso de Admin/Owner após ativar mapeamentos de grupo
Isso acontece quando a pessoa que configura mapeamentos de grupo não está atribuída a um grupo mapeado para uma função Admin ou Owner, causando o rebaixamento de suas permissões para User.
Para corrigir isso:
Opção 1: Ter outro Admin/Owner restaurar sua função
Entre em contato com outro Admin ou Owner de sua organização.
Peça-lhes para navegar até Configurações da organização > Organização (para Claude) ou Configurações > Membros (para Console).
Peça-lhes para alterar sua função de volta para Admin ou Owner.
Opção 2: Corrigir via seu Provedor de Identidade
Em seu IdP, atribua-se a um grupo com o prefixo correto que mapeia para uma função Admin ou Owner.
Para JIT: Faça logout e login novamente para recuperar o acesso.
Para SCIM: Peça a outro Admin ou Owner para clicar em "Sincronizar agora" nas configurações de Identidade e acesso ou aguarde o ciclo de sincronização automática.