Este guia aborda como configurar o provisionamento de usuários e a atribuição de funções para sua organização Claude ou Claude Console.
O provisionamento JIT está disponível para planos Team, planos Enterprise e organizações Console. O provisionamento SCIM está disponível apenas para organizações Enterprise e Console.
Antes de começar: Este guia pressupõe que você já concluiu as etapas em Configurar logon único (SSO), incluindo verificação de domínio e configuração de SSO com seu Provedor de Identidade (IdP), e você tem uma função Admin (Console) ou Owner (Claude).
Etapa 1: Escolha seu modo de provisionamento
Depois que o SSO é configurado, você precisa decidir como os usuários serão provisionados para sua organização. Isso é controlado através da seção Provisionamento de usuários em Configurações da organização > Organização e acesso.
Opções de provisionamento
Apenas convite é o padrão. Os usuários são adicionados e removidos diretamente nas configurações do Claude ou Console.
Just-in-time (JIT): Os usuários atribuídos ao seu aplicativo IdP Anthropic são provisionados automaticamente quando fazem login pela primeira vez. Esta opção está disponível para todos os planos.
Sincronização de diretório SCIM: Os usuários são provisionados e desprovisionados automaticamente com base nas atribuições em seu IdP, sem exigir que façam login primeiro. SCIM está disponível para planos Enterprise e organizações Console com sua própria organização pai ou associadas a uma organização pai Enterprise. SCIM não está disponível para planos Team ou organizações Console associadas à organização pai de um plano Team.
Visão geral do comportamento de provisionamento
Use esta tabela para ajudar a decidir qual modo de provisionamento é adequado para sua organização:
Modo | Provisionamento | Alterações de função e tipo de assento | Remoção |
Apenas convite | Os usuários são adicionados manualmente | As funções e tipos de assento são alterados manualmente | Os usuários são removidos manualmente |
Just-in-time (JIT) | Os usuários atribuídos ao seu aplicativo IdP são provisionados no login com a função de Usuário | As funções e tipos de assento são alterados manualmente | Remoção manual necessária: os usuários removidos do seu aplicativo IdP não podem mais fazer login, mas permanecem na lista de usuários até tentarem fazer login ou serem removidos |
JIT + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados no login com a função de maior permissão de suas associações de grupo | As funções e tipos de assento são atualizados no próximo login com base na associação de grupo | Os usuários sem acesso a grupo não podem fazer login, mas permanecem na lista até tentativa de login ou remoção manual |
Sincronização de diretório SCIM | Os usuários atribuídos ao seu aplicativo IdP são provisionados automaticamente para todas as organizações associadas à sua organização pai. | As funções e tipos de assento são alterados manualmente | Os usuários removidos do seu aplicativo IdP são removidos automaticamente |
SCIM + mapeamentos de grupo | Os usuários em pelo menos um grupo mapeado são provisionados automaticamente, com a função apropriada, apenas para a(s) organização(ões) associada(s) à organização pai onde esse grupo foi adicionado. | As alterações de função e tipos de assento se propagam automaticamente com base na associação de grupo | Remoção automática quando o acesso ao grupo é revogado |
Tanto JIT quanto SCIM podem ser combinados com Ativar mapeamentos de grupo para controlar a atribuição de função ou nível de assento com base na associação de grupo do IdP. Se você selecionar uma dessas opções para seu modo de provisionamento, Ativar mapeamentos de grupo aparecerá na seção Provisionamento de usuários:
Funções e níveis de assento disponíveis
Produto | Funções | Tipos de assento |
Plano Team | Owner, Admin, User | Premium, Standard |
Plano Enterprise baseado em assento | Owner, Admin, User, Funções personalizadas | Premium, Standard |
Plano Enterprise baseado em uso (com dois tipos de assento) | Owner, Admin, User, Funções personalizadas | Chat, Chat + Claude Code |
Plano Enterprise baseado em uso (tipo de assento único) | Proprietário, Admin, Usuário, Funções personalizadas | Enterprise |
Console | Admin, Desenvolvedor, Desenvolvedor limitado, Faturamento, Usuário Claude Code, Usuário | — |
Para obter informações sobre como comprar assentos ou ajustar a alocação de assentos do seu plano, consulte nossos guias para planos de equipe e planos Enterprise.
Etapa 2: Configurar sincronização de diretório SCIM (se usar SCIM)
Observação: Pule esta etapa se estiver usando Apenas convite ou provisionamento JIT.
Se você escolheu SCIM como seu modo de provisionamento, você precisa estabelecer a conexão entre seu Provedor de Identidade e a Anthropic antes de ativá-lo.
Navegue até suas configurações de Organização e acesso no Claude (claude.ai/admin-settings/organization) ou suas configurações de Identidade e acesso no Console (platform.claude.com/settings/identity)
Na seção Provisionamento de usuário, clique em "Configurar SCIM" (ou "Gerenciar SCIM") ao lado de Sincronização de diretório SCIM.
Siga o guia de configuração do WorkOS para configurar SCIM no seu Provedor de Identidade. Você precisará copiar valores do WorkOS para o aplicativo Anthropic do seu IdP.
‼️ Quando você chegar à etapa Grupo do IdP, pause para revisar as Etapas 3 e 4 deste guia, juntamente com os outros guias.
Para instruções de configuração JIT / SCIM específicas do IdP, consulte:
Veja IdPs adicionais aqui
Depois que seu IdP estiver conectado, continue para a Etapa 3.
Etapa 3: Configurar modo de provisionamento e ativar mapeamentos de grupo
Encontre a seção Provisionamento de usuário das suas configurações.
Selecione sua opção escolhida:
Apenas convite: Novos membros só podem ingressar se forem convidados manualmente por um membro existente. O acesso SSO sozinho não os adicionará à sua organização.
Just-in-time (JIT): Permita que pessoas com acesso SSO ingressem quando fizerem login pela primeira vez. Cada novo membro usa um de seus assentos disponíveis.
Sincronização de diretório SCIM: Adicione ou remova membros automaticamente conforme seu diretório muda. Sua organização sempre permanece atualizada.
Se você selecionou "Just-in-time (JIT)" ou "Sincronização de diretório SCIM", NÃO clique em "Salvar alterações" imediatamente. Você deve primeiro garantir que todos os usuários sejam atribuídos ao seu aplicativo Anthropic no seu IdP.
Depois de confirmar que todos os usuários foram atribuídos no seu IdP, você pode:
Clique em "Salvar alterações" para concluir a configuração e disparar o provisionamento inicial, ou
Ative Ativar mapeamentos de grupo e vá para a Etapa 4.
Importante: Salvar antes que os usuários sejam atribuídos corretamente resultará no desprovisionamento desses usuários da organização.
Etapa 4: Configurar grupos no seu Provedor de Identidade e mapear grupos para funções e tipos de assento
Crie grupos no seu IdP para cada função que deseja atribuir. A menos que você esteja no plano Enterprise de assento único, crie grupos para cada tipo de assento também.
Embora não haja mais requisitos de nomenclatura para esses grupos, recomendamos incluir algo no nome do grupo (por exemplo,
anthropic-claude-ouanthropic-console-) para facilitar a identificação.
Adicione usuários aos grupos que você criou, garantindo que pelo menos um usuário (incluindo você) esteja em um grupo que será mapeado para uma função Admin (Console) ou Proprietário (Claude).
Retorne às suas configurações de Organização e acesso ou Identidade e acesso no Claude ou Console e encontre Provisionamento de usuário.
Ative Ativar mapeamentos de grupo (se ainda não estiver):
Na seção Ativar mapeamentos de grupo, clique em "Adicionar" ao lado de cada função e selecione o grupo correspondente do seu IdP no menu suspenso.
Ao usar mapeamentos de grupo, você deve atribuir todos os usuários a um grupo baseado em função para garantir que eles sejam provisionados com uma conta. Atribuir usuários a grupos baseados em nível de assento é opcional.
Você pode mapear um grupo do IdP para a função "Funções personalizadas". Os membros atribuídos a essa função não têm permissões padrão — seu acesso é determinado inteiramente pelas funções personalizadas atribuídas aos seus grupos no Claude.
Para todos os planos, exceto Enterprise de assento único: Na seção Atribuir níveis de assento a grupos do IdP (opcional), clique em "Adicionar" ao lado de cada tipo de assento e selecione o grupo correspondente do seu IdP. Se um usuário não for atribuído a um grupo de tipo de assento, ele será atribuído ao tipo disponível mais alto por padrão.
Para Enterprise de assento único: O mapeamento de tipo de assento não se aplica. Todos os usuários provisionados recebem automaticamente um assento Enterprise, desde que um esteja disponível em sua organização.
Verifique se todos os grupos necessários estão mapeados para as funções e tipos de assento apropriados.
Clique em "Salvar alterações".
Observação: O Microsoft Entra envia alterações SCIM apenas a cada 40 minutos, portanto, pode haver um atraso antes que as alterações apareçam. Você pode verificar quais usuários foram sincronizados do seu IdP clicando em "Gerenciar SCIM" e visualizando o Diretório. Esses usuários no Diretório serão provisionados para Claude / Console.
Importante: Todos os usuários que precisam de acesso devem ser atribuídos aos grupos apropriados antes de salvar sua configuração de mapeamentos de grupo. Esses usuários já devem estar atribuídos ao seu aplicativo Anthropic no seu IdP de quando você ativou o SSO.
Solução de problemas
Usuários atribuídos corretamente e aparecendo no diretório, mas não estão sendo adicionados ao Claude como membros?
Verifique se você tem assentos suficientes comprados e disponíveis para adicionar membros à sua organização.
Verifique o número de assentos disponíveis mostrado em Configurações da organização > Organização e acesso e compre assentos adicionais se necessário (consulte nossos guias para Planos de equipe e Planos Enterprise).
Quando tiver assentos disponíveis, volte para a página Organização e acesso e clique em "Sincronizar agora", ao lado de Sincronização de diretório (SCIM). Isso acionará uma sincronização para provisionar contas para os usuários ainda não adicionados como membros.
Usuários não estão sendo provisionados com a função correta
Verifique se o usuário está atribuído ao grupo correto no seu IdP.
Verifique se o grupo está mapeado para a função correta nas suas configurações de Organização e acesso.
Para JIT: O usuário precisa fazer logout e login novamente para que as alterações de função entrem em vigor.
Para SCIM: Clique em "Sincronizar" para solicitar uma sincronização imediata ou aguarde o ciclo de sincronização automática:
Perdi acesso de Admin/Proprietário após ativar mapeamentos de grupo
Isso acontece quando a pessoa que configura os mapeamentos de grupo não está atribuída a um grupo mapeado para uma função de Admin ou Proprietário, causando o rebaixamento de suas permissões para Usuário.
Para corrigir:
Opção 1: Peça a outro Admin/Proprietário para restaurar sua função
Entre em contato com outro Admin ou Proprietário da sua organização.
Peça a eles para navegar até Configurações da organização > Organização (para Claude) ou Configurações > Membros (para Console).
Peça a eles para alterar sua função de volta para Admin ou Proprietário.
Opção 2: Corrigir através do seu Provedor de Identidade
No seu IdP, atribua-se a um grupo com o prefixo correto que mapeie para uma função de Admin ou Proprietário.
Para JIT: Faça logout e login novamente para recuperar o acesso.
Para SCIM: Peça a outro Admin ou Proprietário para clicar em "Sincronizar" nas configurações de Organização e acesso, ou aguarde o ciclo de sincronização automática.