Ir para conteúdo principal

Incompatibilidade de Email SSO/SCIM — Microsoft Entra ID

O que isto cobre: Claude usa email como o identificador principal para corresponder logins SSO a assentos provisionados. No Microsoft Entra ID, o provisionamento SCIM e a autenticação SSO são configurados em locais separados e podem extrair email de diferentes atributos de usuário — causando uma incompatibilidade que bloqueia o acesso. Este guia mostra como identificar o problema, corrigir o mapeamento de atributos e limpar quaisquer efeitos colaterais.

Sintomas

Os usuários podem experimentar um ou mais dos seguintes ao tentar acessar Claude for Enterprise via SSO:

  • "A criação de conta está bloqueada" — O usuário se autentica via SSO, mas Claude não consegue encontrar uma conta provisionada correspondente. Se a criação de organização for restrita (recomendado), o usuário é bloqueado completamente.

  • Chegando a uma conta pessoal gratuita — Se a criação de organização não for restrita, o usuário contorna a organização empresarial e cria ou chega a uma conta pessoal gratuita.

  • Incompatibilidade em "Por favor, confirme seu email" — O retorno de chamada SSO mostra um email diferente do que o usuário inseriu no login.

  • Falha de autenticação do Claude Code — O CLI do Claude Code mostra um erro de incompatibilidade de email durante o fluxo de autenticação.

Como isso acontece

As contas de usuário do Microsoft Entra ID têm múltiplos atributos semelhantes a email que podem conter valores diferentes. O provisionamento SCIM e a autenticação SSO são configurados em áreas de administração separadas e cada um pode extrair de um atributo diferente:

Atributo Entra

Valor Típico

Comumente Usado Por

userPrincipalName

[email protected] (pode estar em formato de ID de funcionário)

Mapeamento padrão de userName SCIM

mail

[email protected] (email padrão)

Reivindicação de email OIDC / SAML

proxyAddresses

SMTP:[email protected]

Endereço principal do Exchange / M365

otherMails

Pode conter aliases ou endereços secundários

Emails de contato alternativos

A incompatibilidade ocorre quando SCIM extrai email de um atributo enquanto SSO envia o email de outro. Até mesmo uma diferença sutil bloqueia o acesso — Claude requer uma correspondência exata de string.

Confusão comum: Entra tem duas áreas de administração separadas. O aplicativo de provisionamento SCIM fica em Aplicativos Empresariais. O aplicativo SSO/OIDC fica em Registros de Aplicativos. Administradores de TI frequentemente navegam para o local errado.

Etapas de diagnóstico

Etapa 1 — Confirme a incompatibilidade

  1. Verifique o email SCIM: Em Centro de Administração Entra → Aplicativos Empresariais → [Aplicativo Claude SCIM] → Provisionamento → Logs de provisionamento, encontre um usuário provisionado recentemente e inspecione Atributos Modificados. O valor mapeado para emails[type eq "work"].value é o que SCIM enviou para Claude.

  2. Verifique o email SSO: Em Aplicativos Empresariais → [Aplicativo Claude] → Logon único → Atributos e Reivindicações, encontre a reivindicação de email. Para aplicativos OIDC, verifique Registros de Aplicativos → [Aplicativo Claude] → Configuração de token.

  3. Se os dois atributos de origem apontarem para campos diferentes, você confirmou a incompatibilidade.

Etapa 2 — Identifique o escopo

  • Se a maioria ou todos os usuários provisionados compartilharem a mesma incompatibilidade de formato, este é um problema de mapeamento de atributo sistêmico. A correção está na configuração de mapeamento de atributo SCIM.

  • Se apenas um ou dois usuários forem afetados, verifique seu perfil de usuário diretamente no Entra.

Etapa 3 — Verifique as reivindicações de token OIDC (apenas aplicativos OIDC)

  1. No Centro de Administração Entra, vá para Registros de Aplicativos (não Aplicativos Empresariais).

  2. Encontre o aplicativo Claude OIDC e clique em Configuração de token.

  3. Verifique a reivindicação opcional email.

  4. Faça referência cruzada com seu mapeamento de atributo SCIM para confirmar se eles correspondem.

Resolução

Corrija o mapeamento de atributo SCIM

Navegue até o aplicativo de provisionamento SCIM — não o aplicativo SSO/OIDC:

  1. Vá para Centro de Administração Entra → Aplicativos Empresariais.

  2. Procure pelo aplicativo Claude SCIM. Procure pelo aplicativo com uma seção Provisionamento.

  3. Clique em Provisionamento → Editar provisionamento → Mapeamentos de atributo.

  4. Encontre a linha onde o atributo SCIM é emails[type eq "work"].value. Clique nela para editar.

  5. Altere o Atributo de Origem para corresponder ao que SSO envia — normalmente mail.

  6. Também verifique o mapeamento userName e atualize se necessário.

  7. Clique em Salvar.

Acione uma sincronização de provisionamento completa

Sincronização completa necessária — incremental não funcionará. Você deve acionar um reinício completo do ciclo de provisionamento.

  1. Vá para a página de visão geral Provisionamento.

  2. Clique em Reiniciar provisionamento.

  3. Aguarde a conclusão da sincronização.

  4. Verifique nos logs de provisionamento que os emails dos usuários foram atualizados para o formato correto.

Artigos relacionados
Incompatibilidade de Email SSO/SCIM — Google Workspace
Incompatibilidade de Email SSO/SCIM — Okta
Incompatibilidade de Email SSO/SCIM — OneLogin
Incompatibilidade de Email SSO/SCIM — Ping Identity
Configuração de SSO — Microsoft Entra ID
Isto respondeu à sua pergunta?