Este guia aborda como configurar o provisionamento de usuários e a atribuição de funções para sua organização Claude ou Claude Console.
O provisionamento JIT está disponível para planos Team, planos Enterprise e organizações Console. O provisionamento SCIM está disponível apenas para organizações Enterprise e Console.
Antes de começar: Este guia pressupõe que você já concluiu as etapas em Configurar logon único (SSO), incluindo verificação de domínio e configuração de SSO com seu Provedor de Identidade (IdP), e que você tem uma função Admin (Console) ou Owner (Claude).
Etapa 1: Escolha seu modo de provisionamento
Após o SSO ser configurado, você precisa decidir como os usuários serão provisionados para sua organização. Isso é controlado pela seção Provisionamento de usuários em Configurações da organização > Organização e acesso.
Opções de provisionamento
Apenas convite é o padrão. Os usuários são adicionados e removidos diretamente nas configurações do Claude ou Console.
Just-in-time (JIT): Os usuários atribuídos ao seu aplicativo IdP da Anthropic são provisionados automaticamente quando fazem login pela primeira vez. Esta opção está disponível para todos os planos.
Sincronização de diretório SCIM: Os usuários são provisionados e desprovisionados automaticamente com base nas atribuições em seu IdP, sem exigir que façam login primeiro. O SCIM está disponível para planos Enterprise e organizações Console com sua própria organização pai ou associadas a uma organização pai Enterprise. O SCIM não está disponível para planos Team ou organizações Console associadas à organização pai de um plano Team.
Visão geral do comportamento de provisionamento
Use esta tabela para ajudar a decidir qual modo de provisionamento é adequado para sua organização:
Modo | Provisionamento | Alterações de função e tipo de assento | Remoção |
Apenas convite | Os usuários são adicionados manualmente | As funções e tipos de assento são alterados manualmente | Os usuários são removidos manualmente |
Just-in-time (JIT) | Os usuários atribuídos ao seu aplicativo IdP são provisionados no login com a função de Usuário | As funções e tipos de assento são alterados manualmente | Remoção manual necessária: os usuários removidos do seu aplicativo IdP não podem mais fazer login, mas permanecem na lista de usuários até tentarem fazer login ou serem removidos |
JIT + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados no login com a função de maior permissão de suas associações de grupo | As funções e tipos de assento são atualizados no próximo login com base na associação de grupo | Os usuários sem acesso a grupo não podem fazer login, mas permanecem na lista até uma tentativa de login ou remoção manual |
Sincronização de diretório SCIM | Os usuários atribuídos ao seu aplicativo IdP são provisionados automaticamente para todas as organizações associadas à sua organização pai. | As funções e tipos de assento são alterados manualmente | Os usuários removidos do seu aplicativo IdP são removidos automaticamente |
SCIM + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados automaticamente, com a função apropriada, apenas para a(s) organização(ões) associada(s) à organização pai onde esse grupo foi adicionado. | As alterações de função e tipos de assento se propagam automaticamente com base na associação de grupo | Remoção automática quando o acesso ao grupo é revogado |
Tanto JIT quanto SCIM podem ser combinados com Ativar mapeamentos de grupo para controlar a atribuição de função ou nível de assento com base na associação de grupo do IdP. Se você selecionar uma dessas opções para seu modo de provisionamento, Ativar mapeamentos de grupo aparecerá na seção Provisionamento de usuários:
Funções e níveis de assento disponíveis
Produto | Funções | Tipos de assento |
Plano Team | Owner, Admin, User | Premium, Standard |
Plano Enterprise baseado em assento | Owner, Admin, User, Custom | Premium, Standard |
Plano Enterprise baseado em uso (com dois tipos de assento) | Owner, Admin, User, Custom | Chat, Chat + Claude Code |
Plano Enterprise baseado em uso (tipo de assento único) | Proprietário, Admin, Usuário, Personalizado | Enterprise |
Console | Admin, Desenvolvedor, Desenvolvedor Limitado, Faturamento, Usuário Claude Code, Usuário | — |
Para informações sobre compra de assentos ou ajuste da alocação de assentos do seu plano, consulte nossos guias para planos de equipe e planos Enterprise.
Etapa 2: Configurar sincronização de diretório SCIM (se usar SCIM)
Observação: Pule esta etapa se estiver usando Apenas convite ou provisionamento JIT.
Se você escolheu SCIM como seu modo de provisionamento, você precisa estabelecer a conexão entre seu Provedor de Identidade e a Anthropic antes de ativá-lo.
Navegue até suas configurações de Organização e acesso no Claude (claude.ai/admin-settings/organization) ou suas configurações de Identidade e acesso no Console (platform.claude.com/settings/identity)
Na seção Provisionamento de usuário, clique em "Configurar SCIM" (ou "Gerenciar SCIM") ao lado de Sincronização de diretório SCIM.
Siga o guia de configuração do WorkOS para configurar SCIM no seu Provedor de Identidade. Você precisará copiar valores do WorkOS para o aplicativo Anthropic do seu IdP.
‼️ Quando você chegar à etapa IdP Group, pause para revisar as Etapas 3 e 4 deste guia, juntamente com os outros guias.
Para instruções de configuração JIT / SCIM específicas do IdP, consulte:
Veja IdPs adicionais aqui
Depois que seu IdP estiver conectado, continue para a Etapa 3.
Etapa 3: Configurar modo de provisionamento e ativar mapeamentos de grupo
Encontre a seção Provisionamento de usuário das suas configurações.
Selecione sua opção escolhida:
Apenas convite: Novos membros só podem ingressar se forem convidados manualmente por um membro existente. O acesso SSO sozinho não os adicionará à sua organização.
Just-in-time (JIT): Permita que pessoas com acesso SSO ingressem quando fizerem login pela primeira vez. Cada novo membro usa um de seus assentos disponíveis.
Sincronização de diretório SCIM: Adicione ou remova membros automaticamente conforme seu diretório muda. Sua organização sempre fica atualizada.
Se você selecionou "Just-in-time (JIT)" ou "Sincronização de diretório SCIM", NÃO clique em "Salvar alterações" imediatamente. Você deve primeiro garantir que todos os usuários sejam atribuídos ao seu aplicativo Anthropic no seu IdP.
Depois de confirmar que todos os usuários foram atribuídos no seu IdP, você pode:
Clique em "Salvar alterações" para concluir a configuração e disparar o provisionamento inicial, ou
Ative Ativar mapeamentos de grupo e vá para a Etapa 4.
Importante: Salvar antes que os usuários sejam atribuídos corretamente resultará no desprovisionamento desses usuários da organização. Quando disponível, o console de administração mostra uma visualização do que a sincronização alterará, incluindo quantos membros serão removidos, antes de aplicar. Revise antes de confirmar e cancele se a contagem de remoção for maior do que o esperado. Saiba mais sobre como a sincronização SCIM funciona.
Etapa 4: Configurar grupos no seu Provedor de Identidade e mapear grupos para funções e tipos de assento
Crie grupos no seu IdP para cada função que deseja atribuir. A menos que você esteja no plano Enterprise de assento único, crie grupos para cada tipo de assento também.
Embora não haja mais requisitos de nomenclatura para esses grupos, recomendamos incluir algo no nome do grupo (por exemplo,
anthropic-claude-ouanthropic-console-) para facilitar a identificação.
Adicione usuários aos grupos que você criou, garantindo que pelo menos um usuário (incluindo você) esteja em um grupo que será mapeado para uma função Admin (Console) ou Proprietário (Claude).
Retorne às suas configurações de Organização e acesso ou Identidade e acesso no Claude ou Console e encontre Provisionamento de usuário.
Ative Ativar mapeamentos de grupo (se ainda não estiver):
Na seção Ativar mapeamentos de grupo, clique em "Adicionar" ao lado de cada função e selecione o grupo correspondente do seu IdP no menu suspenso.
Ao usar mapeamentos de grupo, você deve atribuir todos os usuários a um grupo baseado em função para garantir que eles sejam provisionados com uma conta. Atribuir usuários a grupos baseados em nível de assento é opcional.
Você pode mapear um grupo IdP para a função "Personalizado". Os membros atribuídos a essa função não têm permissões padrão—seu acesso é determinado inteiramente pelas funções personalizadas atribuídas aos seus grupos no Claude.
Para todos os planos, exceto Enterprise de assento único: Na seção Atribuir níveis de assento a grupos IdP (opcional), clique em "Adicionar" ao lado de cada tipo de assento e selecione o grupo correspondente do seu IdP. Se um usuário não for atribuído a um grupo de tipo de assento, ele será atribuído ao tipo disponível mais alto por padrão.
Para Enterprise de assento único: O mapeamento de tipo de assento não se aplica. Todos os usuários provisionados são automaticamente atribuídos a um assento Enterprise, desde que um esteja disponível em sua organização.
Verifique se todos os grupos necessários estão mapeados para as funções e tipos de assento apropriados.
Clique em "Salvar alterações".
Observação: O Microsoft Entra envia alterações SCIM apenas a cada 40 minutos, portanto, pode haver um atraso antes que as alterações apareçam. Você pode verificar quais usuários foram sincronizados do seu IdP clicando em "Gerenciar SCIM" e visualizando o Diretório. Os usuários no Diretório serão provisionados para Claude / Console.
Importante: Todos os usuários que precisam de acesso devem ser atribuídos aos grupos apropriados antes de salvar sua configuração de mapeamentos de grupo. Esses usuários já devem estar atribuídos ao seu aplicativo Anthropic no seu IdP de quando você ativou o SSO.
Como a função Proprietário Primário funciona com SCIM
O Proprietário Primário da sua organização está isento da reconciliação SCIM. Se a conta do Proprietário Primário não estiver presente no diretório do IdP ou não for membro de nenhum grupo mapeado para uma função, será ignorada quando o SCIM sincronizar. A associação e a função do Proprietário Primário são preservadas.
Esta isenção se aplica apenas à função de Proprietário Primário. As funções de Proprietário e Administrador não estão isentas e devem estar em um grupo mapeado para uma função, ou serão removidas quando os mapeamentos de grupo SCIM forem ativados.
A função de Proprietário Primário não pode ser atribuída por meio de mapeamentos de grupo SCIM. Ela só pode ser transferida manualmente de Configurações da organização > Membros. Defina seu Proprietário Primário pretendido antes de ativar o SCIM.
O Proprietário Primário não está isento da aplicação de entrada SSO. A aplicação de SSO é feita por domínio de email; se o email do Proprietário Primário estiver em um domínio aplicado, ele deve se autenticar por SSO.
Solução de problemas
Usuários atribuídos corretamente e aparecendo no diretório, mas não estão sendo adicionados ao Claude como membros?
Verifique se você tem assentos suficientes comprados e disponíveis para adicionar membros à sua organização.
Verifique o número de assentos disponíveis mostrado em Configurações da organização > Organização e acesso e compre assentos adicionais se necessário (consulte nossos guias para Planos de equipe e Planos empresariais).
Depois de ter assentos disponíveis, volte à página Organização e acesso e clique em "Sincronizar agora", ao lado de Sincronização de diretório (SCIM). Isso acionará uma sincronização para provisionar contas para os usuários ainda não adicionados como membros.
Os usuários não estão sendo provisionados com a função correta
Verifique se o usuário está atribuído ao grupo correto no seu IdP.
Verifique se o grupo está mapeado para a função correta nas suas configurações de Organização e acesso.
Para JIT: O usuário precisa fazer logout e login novamente para que as alterações de função entrem em vigor.
Para SCIM: Clique em "Sincronizar" para solicitar uma sincronização imediata ou aguarde o ciclo de sincronização automática:
Perdi acesso de Administrador/Proprietário após ativar mapeamentos de grupo
Isso acontece quando a pessoa que configura os mapeamentos de grupo não está atribuída a um grupo mapeado para uma função de Administrador ou Proprietário, causando o rebaixamento de suas permissões para Usuário.
Para corrigir:
Opção 1: Peça a outro Administrador/Proprietário para restaurar sua função
Entre em contato com outro Administrador ou Proprietário da sua organização.
Peça-lhe para navegar até Configurações da organização > Organização (para Claude) ou Configurações > Membros (para Console).
Peça-lhe para alterar sua função de volta para Administrador ou Proprietário.
Opção 2: Corrigir por meio do seu Provedor de Identidade
No seu IdP, atribua-se a um grupo com o prefixo correto que mapeia para uma função de Administrador ou Proprietário.
Para JIT: Faça logout e login novamente para recuperar o acesso.
Para SCIM: Peça a outro Administrador ou Proprietário para clicar em "Sincronizar" nas configurações de Organização e acesso ou aguarde o ciclo de sincronização automática.
