Ir para conteúdo principal

Aplicar controle de acesso em nível de rede com Restrições de Locatário

Restrições de Locatário estão disponíveis para membros de planos Enterprise e organizações Console.

Restrições de Locatário permitem que administradores de TI em planos Enterprise apliquem controle de acesso em nível de rede para Claude. Este recurso garante que usuários em redes corporativas possam acessar apenas contas organizacionais aprovadas, prevenindo o uso não autorizado de contas pessoais.

Como funciona

Quando ativado, seu proxy de rede injeta um cabeçalho HTTP nas solicitações para Claude. Anthropic valida este cabeçalho e bloqueia o acesso de qualquer organização que não esteja na lista de permissões.

Métodos de autenticação suportados:

  • Acesso web (claude.ai)

  • Acesso Desktop / App

  • Autenticação por chave de API

  • Autenticação por token OAuth

Formato do cabeçalho

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • Lista delimitada por vírgulas de UUIDs de organização

  • Sem espaços entre valores

Exemplo:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Dividir listas de permissões grandes em vários cabeçalhos

Se sua lista de permissões for muito longa para uma única linha de cabeçalho em sua plataforma de proxy, divida-a em cabeçalhos de continuação numerados. Acrescente ;n=K ao cabeçalho base para declarar o número total de linhas de cabeçalho, depois adicione os UUIDs restantes nos cabeçalhos anthropic-allowed-org-ids1 até anthropic-allowed-org-ids{K-1}.

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • Máximo de 10 linhas de cabeçalho (K ≤ 10)

  • Máximo de 500 UUIDs de organização no total em todas as linhas

  • Seu proxy deve enviar todos os slots declarados. Se você definir ;n=3, todos os três cabeçalhos devem estar presentes na solicitação.

  • Configure seu proxy para sobrescrever esses cabeçalhos em cada solicitação em vez de adicioná-los apenas se ausentes.


Etapas de configuração

1. Encontre o UUID da sua organização

Membros de planos Enterprise podem encontrar isso em dois locais diferentes:

  1. Navegue até Configurações > Conta e encontre ID da Organização.

  2. Navegue até Configurações da Organização > Organização e role para baixo até o final da página para localizar ID da Organização.

Membros de organizações Console podem encontrar isso em Configurações > Organização.

2. Configure seu proxy de rede

Configure seu proxy para injetar o cabeçalho para tráfego Claude:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. Teste sua configuração

De uma rede restrita, teste com a chave de API da sua organização:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


Respostas de erro

Acesso bloqueado

Quando a organização de um usuário não está na lista de permissões, ele recebe um erro 403:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

Erros de configuração de cabeçalho

Se seu proxy enviar os cabeçalhos incorretamente, as solicitações falham com um status 400 e uma destas mensagens:

  • Múltiplos cabeçalhos anthropic-allowed-org-ids: Um nome de cabeçalho apareceu mais de uma vez na mesma solicitação. Configure seu proxy para sobrescrever cada cabeçalho em vez de acrescentar um duplicado.

  • Cabeçalhos anthropic-allowed-org-ids malformados: O valor ;n=K é inválido, um slot de continuação declarado está faltando ou extra, ou a lista de permissões total excede 500 UUIDs.

Plataformas de proxy suportadas

  • Zscaler ZIA (políticas de Cloud App Control)

  • Palo Alto Prisma Access (SaaS App Management)

  • Cato Networks (política de Restrição de Locatário)

  • Netskope (regras de Inserção de Cabeçalho)

  • Proxies HTTPS genéricos com capacidade de injeção de cabeçalho

Casos de uso

Cenário

Valor do Cabeçalho

Organização Única

<your-org-uuid>

Múltiplas Organizações (Parceiros)

<org-uuid-1>,<org-uuid-2>

Benefícios de segurança

  • Prevenção de Perda de Dados: Bloqueie o uso de contas pessoais em redes corporativas.

  • Conformidade: Aplique políticas de residência de dados e acesso.

  • Controle de Shadow IT: Impeça o uso não autorizado de Claude.

  • Trilha de Auditoria: Visibilidade completa em tentativas de acesso.

Compatibilidade com versões anteriores

  • Sem impacto em redes sem restrições de locatário configuradas.

  • A autenticação padrão continua para redes não gerenciadas.

  • A autenticação de chave de API existente permanece inalterada.

Isto respondeu à sua pergunta?