Ir para conteúdo principal

Incompatibilidade de Email SSO/SCIM — Google Workspace

Resumo: Claude usa o email como identificador principal para corresponder logins SSO a assentos provisionados. No Google Workspace, o auto-provisionamento SCIM e SSO SAML podem enviar valores de email diferentes — especialmente quando os usuários têm aliases de email — causando uma incompatibilidade que bloqueia o acesso.

Sintomas

Os usuários podem experimentar um ou mais dos seguintes ao tentar acessar Claude for Enterprise via SSO:

  • "Criação de conta bloqueada" — O usuário se autentica via SSO, mas Claude não consegue encontrar uma conta provisionada correspondente. Se sua organização tiver a criação de organização restrita (recomendado), o usuário é bloqueado completamente e não pode prosseguir.

  • Chegando a uma conta pessoal gratuita — Se a criação de organização não for restrita, o usuário contorna a organização corporativa inteiramente e cria ou chega a uma conta pessoal gratuita em vez de seu assento corporativo.

  • "Por favor, confirme sua incompatibilidade de email" — O retorno de chamada SSO mostra um email diferente daquele que o usuário inseriu no login.

  • Falha de autenticação do Claude Code — O CLI do Claude Code mostra um erro de incompatibilidade de email durante o fluxo de autenticação, impedindo que o usuário se conecte à organização corporativa.

Como isso acontece

As contas de usuário do Google Workspace têm um email principal e podem ter vários aliases. O provisionamento SCIM e SSO SAML são configurados separadamente no console do Google Admin e podem extrair de diferentes campos de endereço:

Atributo do Google

Valor Típico

Comumente Usado Por

primaryEmail

[email protected]

Recomendado para SCIM e SAML

Aliases de email

[email protected], [email protected]

Às vezes mapeados por engano em SCIM

Campos de esquema personalizado

Atributos personalizados definidos por organização

Mapeamentos de atributos avançados

Email da unidade organizacional

Variantes de endereço derivadas da UO

Raramente, em estruturas organizacionais complexas

A incompatibilidade mais comum: SCIM é configurado para enviar um endereço de alias enquanto SAML envia o email principal (ou vice-versa). Como aliases e emails principais são strings diferentes, Claude não consegue correspondê-los. Claude requer uma correspondência exata de string.

Confusão comum: No Google Admin, as configurações de auto-provisionamento SCIM e o mapeamento de atributos SAML estão em abas separadas dentro do mesmo aplicativo. Os administradores às vezes atualizam um e perdem o outro. Verifique ambos os locais.

Etapas de diagnóstico

Etapa 1 — Confirme a incompatibilidade

  1. Verifique o email SCIM: No console do Google Admin, vá para Aplicativos → Aplicativos web e móveis → [Claude App] → Auto-provisionamento. Verifique qual atributo está mapeado para o campo de email sendo enviado para Claude.

  2. Verifique o email SAML: No mesmo aplicativo, vá para a seção Mapeamento de atributos SAML. Encontre o atributo mapeado para email e anote sua origem.

  3. Verifique um usuário específico: Em Diretório → Usuários → [Usuário], compare o Email principal do usuário com qualquer Email de alias listado.

Etapa 2 — Identifique o escopo do problema

Determine se isso afeta um usuário ou é um problema sistêmico:

  • Se a maioria ou todos os usuários provisionados compartilham a mesma incompatibilidade de formato de email, este é um problema de mapeamento de atributos sistêmico. A solução está no mapeamento de atributos SCIM do seu IdP.

  • Se apenas um ou dois usuários são afetados, o problema é provavelmente específico dessas contas de usuário. Verifique seu perfil de usuário diretamente.

Etapa 3 — Verifique o Name ID na configuração SAML

  1. Nas configurações do aplicativo, vá para SAML → Detalhes do provedor de serviços.

  2. Confirme que o Name ID está definido como Informações Básicas → Email principal.

  3. Se o Name ID estiver definido como um campo de esquema personalizado ou alias, ele pode enviar um valor diferente do SCIM.

Resolução

Alinhe ambos os mapeamentos para primaryEmail

O primaryEmail do Google Workspace é a fonte mais confiável para SCIM e SAML.

  1. Atualize o provisionamento SCIM: Em Aplicativos → Aplicativos web e móveis → [Claude App] → Auto-provisionamento → Mapeamento de atributos, certifique-se de que o atributo de email mapeia para primaryEmail.

  2. Atualize o Name ID SAML: Em SAML → Detalhes do provedor de serviços, defina Name ID como Informações Básicas → Email principal.

  3. Atualize o mapeamento de atributos SAML: Na etapa Mapeamento de atributos, certifique-se de que o atributo email está mapeado para Informações Básicas → Email principal.

  4. Salve todas as alterações.

Acione uma ressincronização completa

Crítico — Sincronização completa necessária: Uma sincronização incremental não atualizará usuários existentes após você alterar um mapeamento de atributos. Você deve acionar um reinício completo do ciclo de provisionamento.

  1. No console do Google Admin, vá para as configurações de Auto-provisionamento do aplicativo.

  2. Suspenda temporariamente o provisionamento e depois reative-o. Isso aciona uma sincronização completa de todos os usuários atribuídos.

  3. Alternativamente, remova e re-adicione usuários afetados da atribuição do aplicativo para forçar que seus registros individuais sejam reprovistos.

  4. Monitore os logs de provisionamento para erros e confirme que os emails dos usuários foram atualizados para corresponder ao formato SAML antes de pedir aos usuários para tentar novamente.

Limpeza pós-correção

Após corrigir o mapeamento de atributos e concluir a sincronização completa, você pode precisar de limpeza adicional:

  • Contas gratuitas rogue: Se a criação de organização não foi restrita antes da correção, alguns usuários podem ter criado inadvertidamente contas Claude pessoais gratuitas. Entre em contato com Anthropic Support para removê-las.

  • Contas fantasma (assentos com email incorreto): As contas originalmente provisionadas (com o email incorreto) podem ainda existir em sua organização corporativa, ocupando assentos. Entre em contato com Anthropic Support para desprovisionar essas contas fantasma.

  • Disponibilidade de assentos: Se contas fantasma estão ocupando todos os assentos contratados, novos logins falharão com um erro de falta de assentos. Desprovisionar as contas fantasma libera esses assentos.

  • Re-adicionando usuários afetados: Após as contas fantasma serem removidas, usuários com o email corrigido podem precisar ser re-convidados ou reprovistos.

Previna ocorrências futuras: Ative "Restringir criação de organização" nas configurações de sua empresa. Isso impede que usuários que ainda não foram provisionados criem acidentalmente contas pessoais gratuitas.

Verificação

  1. Verifique uma amostra de usuários provisionados — confirme que seu email no log de provisionamento do seu IdP corresponde ao formato de email que SSO envia.

  2. Peça a um usuário afetado para limpar cookies do navegador para claude.ai e depois fazer login via SSO. Ele deve chegar diretamente ao espaço de trabalho corporativo sem nenhum erro.

  3. Confirme que os usuários não estão criando acidentalmente contas gratuitas — se a criação de organização for restrita, usuários bloqueados verão um erro claro em vez de chegar a uma conta pessoal.

  4. Se Claude Code foi afetado, peça ao usuário para executar novamente claude auth login --enterprise e confirme que o email corresponde ao seu assento corporativo.

Armadilhas comuns

Armadilha

Solução

SCIM envia um alias enquanto SAML envia o email principal

Sempre use primaryEmail para ambos.

Name ID nas configurações SAML não foi verificado

O campo Name ID determina o email enviado no login. Isso é separado da seção de mapeamento de atributos. Verifique ambos.

Campo de esquema personalizado está em branco para alguns usuários

Mantenha-se com atributos padrão do Google como primaryEmail.

Reprovisioning não é acionado automaticamente após mudança de mapeamento

Você pode precisar suspender e reativar manualmente o provisionamento para forçar uma sincronização completa.

Email principal do usuário mudou, mas o email antigo ainda aparece em Claude

Uma ressincronização completa é necessária após mudanças de email principal.

Emails atualizados em SCIM, mas o usuário ainda não consegue fazer login

Verifique se há organizações gratuitas rogue ou contas fantasma. Limpe cookies do navegador e tente novamente.

Quando entrar em contato com Anthropic Support

  • Atributos SCIM e SSO parecem idênticos, mas os usuários ainda não conseguem acessar seus assentos.

  • Você precisa confirmar qual email Claude registrou durante o provisionamento SCIM para usuários específicos.

  • Você precisa de ajuda para limpar contas fantasma ou organizações gratuitas rogue.

  • Os usuários estão recebendo um erro de falta de assentos apesar de seu contrato ter assentos disponíveis.

Entre em contato com [email protected] com o domínio de sua organização, o endereço de email do usuário afetado e capturas de tela de seus mapeamentos de atributos.

Artigos relacionados
Incompatibilidade de Email SSO/SCIM — Microsoft Entra ID
Incompatibilidade de Email SSO/SCIM — Okta
Incompatibilidade de Email SSO/SCIM — OneLogin
Incompatibilidade de Email SSO/SCIM — Ping Identity
Configuração de SSO — Google Workspace
Isto respondeu à sua pergunta?