Ir para conteúdo principal

Incompatibilidade de Email SSO/SCIM — OneLogin

Resumo: Claude usa email como identificador principal para corresponder logins SSO a assentos provisionados. No OneLogin, o provisionamento SCIM e SSO SAML são configurados em abas separadas do aplicativo e podem referenciar diferentes campos de perfil de usuário, causando uma incompatibilidade que bloqueia o acesso.

Sintomas

Os usuários podem experimentar um ou mais dos seguintes ao tentar acessar Claude for Enterprise via SSO:

  • "Criação de conta bloqueada" — O usuário se autentica via SSO, mas Claude não consegue encontrar uma conta provisionada correspondente. Se sua organização tem a criação de organização restrita (recomendado), o usuário é bloqueado completamente e não pode prosseguir.

  • Chegando em uma conta pessoal gratuita — Se a criação de organização não for restrita, o usuário contorna a organização empresarial inteiramente e cria ou chega a uma conta pessoal gratuita em vez de seu assento empresarial.

  • Incompatibilidade em "Por favor, confirme seu email" — O retorno de chamada SSO mostra um email diferente daquele que o usuário inseriu no login.

  • Falha de autenticação do Claude Code — O CLI Claude Code mostra um erro de incompatibilidade de email durante o fluxo de autenticação.

Como isso acontece

Os perfis de usuário do OneLogin contêm campos distintos para nome de usuário e email, que podem conter valores diferentes. Os parâmetros de provisionamento SCIM e as declarações de atributo SAML são configurados independentemente e podem cada um extrair de um campo diferente:

Campo OneLogin

Valor Típico

Comumente Usado Por

Username

testuser1 ou [email protected]

Às vezes usado no mapeamento SCIM userName

Email

[email protected]

Recomendado para SCIM e SAML

Login Name

Pode diferir do email se SSO for usado para logins não-email

Configurações legadas ou personalizadas

Campos de usuário personalizados

Atributos personalizados definidos por organização

Mapeamentos de atributos avançados

Uma incompatibilidade comum: a aba de parâmetros SCIM mapeia o atributo de email para Username (que pode ser um ID de funcionário ou nome curto) enquanto a declaração de atributo SAML envia o campo Email. Claude requer uma correspondência exata de string.

Confusão comum: Os parâmetros SCIM e as declarações de atributo SAML do OneLogin estão em abas diferentes do mesmo aplicativo — Parameters para SCIM e SSO (ou Parameters com campos específicos de SAML) para SSO. Ambos devem ser verificados e alinhados.

Etapas de diagnóstico

Etapa 1 — Confirme a incompatibilidade

  1. Verifique o email SCIM: No portal de administração do OneLogin, vá para Applications → [Claude App] → Parameters. Encontre o campo mapeado para o email que Claude recebe. Anote a coluna OneLogin value — isso mostra qual campo de usuário é enviado.

  2. Verifique o email SAML: No mesmo aplicativo, vá para a aba SSO. Clique em More Actions → Edit SAML Response ou verifique a seção SAML Attribute Statements. Encontre o atributo para email e anote seu campo de origem.

  3. Verifique um usuário específico: Em Users → [User], compare os campos Username e Email do usuário. Se forem diferentes, qualquer mapeamento usando um ou outro causará uma incompatibilidade.

Etapa 2 — Identifique o escopo do problema

Determine se isso afeta um usuário ou é um problema sistêmico:

  • Se a maioria ou todos os usuários provisionados compartilham a mesma incompatibilidade de formato de email, este é um problema de mapeamento de atributo sistêmico afetando todo seu diretório. A correção está no mapeamento de atributo SCIM do seu IdP.

  • Se apenas um ou dois usuários são afetados enquanto outros funcionam bem, o problema é provavelmente específico para essas contas de usuário. Verifique seu perfil de usuário diretamente.

Etapa 3 — Revise os valores dos campos de usuário

  1. Vá para Users → [Affected User] → User Info.

  2. Verifique ambos os campos Username e Email.

  3. Se Username estiver em um formato que não corresponda a um email válido, SCIM pode estar enviando um valor inválido ou não correspondente.

Resolução

Alinhe ambos os mapeamentos ao campo Email

O campo Email do OneLogin é a fonte mais confiável para SCIM e SAML, pois é projetado para conter um endereço de email válido.

  1. Atualize o parâmetro SCIM: Em Applications → [Claude App] → Parameters, encontre a linha para o atributo de email que Claude recebe. Altere o Value para Email (o campo Email do usuário OneLogin).

  2. Atualize a declaração de atributo SAML: Na aba SSO (ou Parameters para atributos SAML), atualize o valor do atributo email para usar o mesmo campo Email.

  3. Clique em Save.

Dispare uma ressincronização completa

Crítico — Sincronização completa necessária: Uma sincronização incremental não atualizará usuários existentes após você alterar um mapeamento de atributo. Você deve disparar um reinício completo do ciclo de provisionamento.

  1. Na aba Provisioning do aplicativo, procure por uma opção Re-sync ou Sync All e execute-a.

  2. Para reprovisionar usuários individuais: Vá para Users → [User] → Applications, encontre o aplicativo Claude e use Re-provision.

  3. Verifique o log de atividade de provisionamento do OneLogin para erros.

  4. Verifique se os valores de email atualizados aparecem no log antes de pedir aos usuários para tentar fazer login novamente.

Limpeza pós-correção

Após corrigir o mapeamento de atributo e completar a sincronização completa, você pode precisar de limpeza adicional dependendo de sua situação:

  • Contas gratuitas rogue: Se a criação de organização não foi restrita antes da correção, alguns usuários podem ter inadvertidamente criado contas Claude pessoais gratuitas. Entre em contato com Anthropic Support para removê-las.

  • Contas fantasma (assentos com email incorreto): As contas originalmente provisionadas (com o email incorreto) podem ainda existir em sua organização empresarial, ocupando assentos que nunca podem ser usados. Entre em contato com Anthropic Support para desprovisionar essas contas fantasma.

  • Disponibilidade de assento: Se contas fantasma estão ocupando todos os assentos contratados, novos logins falharão com um erro de falta de assentos mesmo após o mapeamento ser corrigido. Entre em contato com o suporte se você estiver enfrentando isso.

  • Re-adicionando usuários afetados: Após contas fantasma serem removidas, usuários com o email corrigido podem precisar ser re-convidados ou reprovisioned.

Previna ocorrências futuras: Ative "Restrict organization creation" em suas configurações empresariais.

Verificação

Após completar a correção e qualquer limpeza, verifique o seguinte:

  1. Verifique uma amostra de usuários provisionados — confirme que seu email no log de provisionamento do seu IdP corresponde ao formato de email que SSO envia.

  2. Peça a um usuário afetado para limpar cookies do navegador para claude.ai, depois faça login via SSO.

  3. Confirme que os usuários não estão acidentalmente criando contas gratuitas.

  4. Se Claude Code foi afetado, peça ao usuário para re-executar claude auth login --enterprise e confirme que o email corresponde ao seu assento empresarial.

Armadilhas comuns

Armadilha

Solução

Campo Username contém um nome curto ou ID de funcionário, não um email

Mude SCIM para usar o campo Email.

Atributos SAML atualizados mas parâmetros SCIM não foram alterados

Tanto a aba Parameters (para SCIM) quanto os atributos SSO/SAML devem ser atualizados independentemente.

Re-sync não parece disparar

Tente remover e re-atribuir usuários individuais afetados do aplicativo.

Campos de usuário personalizados são mapeados mas em branco para alguns usuários

Mude para o campo Email padrão.

Emails atualizados em SCIM mas usuário ainda não consegue fazer login

Verifique contas gratuitas rogue ou contas fantasma. Limpe cookies do navegador e tente novamente.

"Invite domain not allowed" ao tentar re-adicionar usuários

O domínio da sua organização pode não estar verificado em Claude. Entre em contato com Anthropic Support.

Quando entrar em contato com Anthropic Support

  • Atributos SCIM e SSO parecem idênticos mas usuários ainda não conseguem acessar seus assentos.

  • Você precisa confirmar qual email Claude registrou durante o provisionamento SCIM para usuários específicos.

  • Você precisa de ajuda limpando contas fantasma ou organizações gratuitas rogue.

  • Usuários estão recebendo um erro de falta de assentos apesar de seu contrato ter assentos disponíveis.

Entre em contato com [email protected] com o domínio da sua organização, o endereço de email do usuário afetado e capturas de tela de seus mapeamentos de atributo.

Artigos relacionados
Incompatibilidade de Email SSO/SCIM — Google Workspace
Incompatibilidade de Email SSO/SCIM — Microsoft Entra ID
Incompatibilidade de Email SSO/SCIM — Okta
Incompatibilidade de Email SSO/SCIM — Ping Identity
Configuração de SSO — OneLogin
Isto respondeu à sua pergunta?