Ir para conteúdo principal

Incompatibilidade de Email SSO/SCIM — Ping Identity

Resumo: Claude usa email como identificador principal para corresponder logins SSO a assentos provisionados. Os produtos Ping Identity (PingOne e PingFederate) possuem configuração de atributos flexível e em camadas. Quando o provisionamento SCIM e SSO SAML/OIDC extraem de atributos de usuário diferentes, uma incompatibilidade bloqueia o acesso.

Sintomas

Os usuários podem experimentar um ou mais dos seguintes ao tentar acessar Claude for Enterprise via SSO:

  • "A criação de conta está bloqueada" — O usuário se autentica via SSO, mas Claude não consegue encontrar uma conta provisionada correspondente.

  • Chegando a uma conta pessoal gratuita — Se a criação de organização não for restrita, o usuário ignora completamente a organização empresarial.

  • Incompatibilidade em "Por favor, confirme seu email" — O retorno de chamada SSO mostra um email diferente daquele que o usuário inseriu no login.

  • Falha de autenticação do Claude Code — O CLI Claude Code mostra um erro de incompatibilidade de email durante o fluxo de autenticação.

Como isso acontece

Os produtos Ping Identity permitem mapeamento granular de atributos em múltiplos níveis (diretório, adaptador IdP, conector SP, aplicação). SCIM e SSO podem cada um percorrer caminhos diferentes através dessas camadas, resultando em valores de email diferentes chegando ao Claude:

Atributo Ping

Valor Típico

Comumente Usado Por

email (PingOne)

[email protected]

Recomendado para SCIM e SAML/OIDC

username (PingOne)

testuser1 ou [email protected]

Identificador de login padrão; pode diferir do email

Atributo do adaptador IdP (PingFederate)

Varia por tipo de adaptador (LDAP, Formulário HTML, etc.)

Fontes de identidade PingFederate

Atributo LDAP mail

[email protected]

Email originário do diretório em PingFederate

LDAP sAMAccountName ou uid

Pode ser ID de funcionário ou nome de usuário curto

Às vezes mapeado para email por engano

Atributos de população personalizados

Campos personalizados definidos por ambiente

Configurações avançadas de PingOne

Claude requer uma correspondência exata de string entre o email provisionado por SCIM e o email afirmado por SSO.

Nota sobre PingFederate: O sistema de contrato de atributo do PingFederate é especialmente complexo — o email pode passar por múltiplas camadas (LDAP → adaptador IdP → contrato do adaptador → conector SP → asserção). Uma incompatibilidade em qualquer camada causará o valor errado chegando ao Claude. Rastreie o valor de ponta a ponta.

Etapas de diagnóstico

Etapa 1 — Confirme a incompatibilidade (PingOne)

  1. Verifique o mapeamento de atributos SCIM: No PingOne Admin, vá para Connections → Applications → [Claude App] → Attribute Mappings. Encontre o atributo mapeado para emails[primary].value ou email. Anote o atributo de usuário PingOne usado como fonte.

  2. Verifique o mapeamento de atributos SSO: No mesmo aplicativo, vá para a aba SAML ou OIDC e encontre o atributo ou claim mapeado para email. Anote seu atributo de origem.

  3. Se SCIM e SSO fazem referência a atributos PingOne diferentes, você confirmou a incompatibilidade.

Etapa 1 (alternativa) — Confirme a incompatibilidade (PingFederate)

  1. No console de administração do PingFederate, localize a Conexão SP para Claude.

  2. Em Attribute Contract Fulfillment, encontre o atributo email e rastreie sua origem de volta ao adaptador IdP ou armazenamento de dados LDAP.

  3. Separadamente, verifique o conector de provisionamento SCIM ou canal de provisionamento de saída para Claude e rastreie a origem do atributo de email sendo enviado.

  4. Se os dois rastreamentos levarem a atributos de diretório diferentes, você confirmou a incompatibilidade.

Etapa 2 — Identifique o escopo do problema

Determine se isso afeta um usuário ou é um problema sistêmico:

  • Se a maioria ou todos os usuários provisionados compartilham a mesma incompatibilidade de formato de email, este é um problema de mapeamento de atributos sistêmico. A correção está no mapeamento de atributos SCIM do seu IdP.

  • Se apenas um ou dois usuários são afetados, o problema é provavelmente específico dessas contas de usuário. Verifique seu perfil de usuário diretamente.

Etapa 3 — Verifique valores de atributos para um usuário específico

  1. PingOne: Vá para Identities → Users → [User] e compare os valores dos campos Username e Email.

  2. PingFederate com LDAP: Verifique o registro LDAP do usuário e compare mail, userPrincipalName, sAMAccountName e quaisquer outros atributos sendo usados no mapeamento do seu adaptador.

Resolução

PingOne — Alinhe ambos os mapeamentos ao atributo de email

  1. Em Connections → Applications → [Claude App], abra Attribute Mappings.

  2. Para SCIM: Certifique-se de que emails[primary].value mapeia para o atributo Email Address do PingOne.

  3. Para SAML/OIDC: Certifique-se de que o atributo email ou claim também mapeia para o atributo Email Address do PingOne.

  4. Salve as alterações.

PingFederate — Alinhe o contrato de atributo em todas as camadas

  1. Na Conexão SP para Claude, vá para Attribute Contract Fulfillment.

  2. Encontre o atributo email. Certifique-se de que sua origem é o mesmo atributo LDAP ou armazenamento de dados usado no seu canal de provisionamento de saída SCIM.

  3. Se usar um adaptador IdP personalizado, certifique-se de que o contrato do adaptador inclui o atributo de email canônico e que está corretamente mapeado através da conexão SP.

  4. Atualize o provisionamento SCIM para usar o mesmo atributo de origem.

Dispare uma ressincronização completa

Crítico — Ressincronização completa necessária: Uma sincronização incremental não atualizará usuários existentes após você alterar um mapeamento de atributo. Você deve disparar um reinício completo do ciclo de provisionamento.

  1. PingOne: Nas configurações de provisionamento do aplicativo, dispare um ciclo de provisionamento completo. Você pode precisar desabilitar e reabilitar o provisionamento para forçar um repush completo de todos os usuários.

  2. PingFederate: Dispare uma sincronização completa no seu canal de provisionamento de saída. Verifique seus logs de provisionamento para confirmar que os valores de email atualizados estão sendo enviados.

  3. Verifique se os valores de email atualizados aparecem nos logs de provisionamento antes de pedir aos usuários para tentar fazer login novamente.

Limpeza pós-correção

Após corrigir o mapeamento de atributo e completar a sincronização completa, você pode precisar de limpeza adicional:

  • Contas gratuitas indevidas: Contate o Suporte Anthropic para removê-las.

  • Contas fantasma (assentos com email errado): Contate o Suporte Anthropic para desprovisionar essas contas fantasma.

  • Disponibilidade de assentos: Se contas fantasma estão ocupando todos os assentos contratados, novos logins falharão. Contate o suporte.

  • Re-adição de usuários afetados: Após as contas fantasma serem removidas, os usuários podem precisar ser re-convidados ou reprovistos.

Previna ocorrências futuras: Ative "Restrict organization creation" nas suas configurações empresariais.

Verificação

  1. Verifique uma amostra de usuários provisionados — confirme seu email no log de provisionamento do seu IdP corresponde ao formato de email que SSO envia.

  2. Peça a um usuário afetado para limpar cookies do navegador para claude.ai, depois faça login via SSO.

  3. Confirme que os usuários não estão acidentalmente criando contas gratuitas.

  4. Se Claude Code foi afetado, peça ao usuário para executar novamente claude auth login --enterprise e confirme que o email corresponde ao seu assento empresarial.

Armadilhas comuns

Armadilha

Solução

Campo PingOne username usado em vez de email

Mude o mapeamento SCIM para o atributo Email Address do PingOne.

Incompatibilidade de atributo PingFederate entre camadas de contrato

Rastreie o atributo de email de ponta a ponta: fonte LDAP → adaptador IdP → contrato do adaptador → conector SP → asserção.

LDAP sAMAccountName ou uid mapeado como fonte de email

Use o atributo LDAP mail em vez disso.

Sincronização de provisionamento incremental não atualiza usuários existentes

Uma ressincronização completa é necessária após alterar mapeamentos de atributos.

Contrato de atributo atualizado em PingFederate mas conector SCIM não atualizado

Tanto a conexão SP quanto o canal de provisionamento SCIM de saída devem ser atualizados independentemente.

Emails atualizados em SCIM mas usuário ainda não consegue fazer login

Verifique contas gratuitas indevidas ou contas fantasma. Limpe cookies do navegador e tente novamente.

Quando contatar o Suporte Anthropic

  • Atributos SCIM e SSO parecem idênticos mas usuários ainda não conseguem acessar seus assentos.

  • Você precisa confirmar qual email Claude registrou durante o provisionamento SCIM para usuários específicos.

  • Você precisa de ajuda limpando contas fantasma ou organizações gratuitas indevidas.

  • Os usuários estão recebendo um erro de falta de assentos apesar do seu contrato ter assentos disponíveis.

Contate [email protected] com o domínio da sua organização, o endereço de email do usuário afetado e capturas de tela dos seus mapeamentos de atributos.

Artigos relacionados
Incompatibilidade de Email SSO/SCIM — Google Workspace
Incompatibilidade de Email SSO/SCIM — Microsoft Entra ID
Incompatibilidade de Email SSO/SCIM — Okta
Incompatibilidade de Email SSO/SCIM — OneLogin
Configurar SCIM no Claude para Governo
Isto respondeu à sua pergunta?