Restrições de Locatário estão disponíveis para membros de planos Enterprise e organizações Console.
Restrições de Locatário permitem que administradores de TI em planos Enterprise apliquem controle de acesso em nível de rede para Claude. Este recurso garante que usuários em redes corporativas possam acessar apenas contas organizacionais aprovadas, prevenindo o uso não autorizado de contas pessoais.
Como funciona
Quando ativado, seu proxy de rede injeta um cabeçalho HTTP nas solicitações para Claude. Anthropic valida este cabeçalho e bloqueia o acesso de qualquer organização que não esteja na lista de permissões.
Métodos de autenticação suportados:
Acesso web (claude.ai)
Acesso Desktop / App
Autenticação por chave de API
Autenticação por token OAuth
Formato do cabeçalho
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Lista delimitada por vírgulas de UUIDs de organização
Sem espaços entre valores
Exemplo:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Dividir listas de permissões grandes em vários cabeçalhos
Se sua lista de permissões for muito longa para uma única linha de cabeçalho em sua plataforma de proxy, divida-a em cabeçalhos de continuação numerados. Acrescente ;n=K ao cabeçalho base para declarar o número total de linhas de cabeçalho, depois adicione os UUIDs restantes nos cabeçalhos anthropic-allowed-org-ids1 até anthropic-allowed-org-ids{K-1}.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Máximo de 10 linhas de cabeçalho (
K≤ 10)Máximo de 500 UUIDs de organização no total em todas as linhas
Seu proxy deve enviar todos os slots declarados. Se você definir
;n=3, todos os três cabeçalhos devem estar presentes na solicitação.Configure seu proxy para sobrescrever esses cabeçalhos em cada solicitação em vez de adicioná-los apenas se ausentes.
Etapas de configuração
1. Encontre o UUID da sua organização
Membros de planos Enterprise podem encontrar isso em dois locais diferentes:
Navegue até Configurações > Conta e encontre ID da Organização.
Navegue até Configurações da Organização > Organização e role para baixo até o final da página para localizar ID da Organização.
Membros de organizações Console podem encontrar isso em Configurações > Organização.
2. Configure seu proxy de rede
Configure seu proxy para injetar o cabeçalho para tráfego Claude:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Teste sua configuração
De uma rede restrita, teste com a chave de API da sua organização:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Respostas de erro
Acesso bloqueado
Quando a organização de um usuário não está na lista de permissões, ele recebe um erro 403:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Erros de configuração de cabeçalho
Se seu proxy enviar os cabeçalhos incorretamente, as solicitações falham com um status 400 e uma destas mensagens:
Múltiplos cabeçalhos
anthropic-allowed-org-ids: Um nome de cabeçalho apareceu mais de uma vez na mesma solicitação. Configure seu proxy para sobrescrever cada cabeçalho em vez de acrescentar um duplicado.Cabeçalhos
anthropic-allowed-org-idsmalformados: O valor;n=Ké inválido, um slot de continuação declarado está faltando ou extra, ou a lista de permissões total excede 500 UUIDs.
Plataformas de proxy suportadas
Zscaler ZIA (políticas de Cloud App Control)
Palo Alto Prisma Access (SaaS App Management)
Cato Networks (política de Restrição de Locatário)
Netskope (regras de Inserção de Cabeçalho)
Proxies HTTPS genéricos com capacidade de injeção de cabeçalho
Casos de uso
Cenário | Valor do Cabeçalho |
Organização Única |
|
Múltiplas Organizações (Parceiros) |
|
Benefícios de segurança
Prevenção de Perda de Dados: Bloqueie o uso de contas pessoais em redes corporativas.
Conformidade: Aplique políticas de residência de dados e acesso.
Controle de Shadow IT: Impeça o uso não autorizado de Claude.
Trilha de Auditoria: Visibilidade completa em tentativas de acesso.
Compatibilidade com versões anteriores
Sem impacto em redes sem restrições de locatário configuradas.
A autenticação padrão continua para redes não gerenciadas.
A autenticação de chave de API existente permanece inalterada.
