JIT-подготовка доступна для планов Team, планов Enterprise и организаций Console. SCIM-подготовка доступна только для организаций Enterprise и Console.
Это руководство охватывает настройку подготовки пользователей и назначения ролей для вашей организации Claude или Claude Console.
Перед началом: Это руководство предполагает, что вы уже выполнили шаги из Настройка единого входа (SSO), включая проверку домена и настройку SSO с вашим поставщиком идентификации (IdP), и у вас есть роль Admin (Console) или Owner (Claude).
Шаг 1: Выберите режим подготовки
После настройки SSO необходимо решить, как пользователи будут подготовлены в вашей организации. Это контролируется параметром Режим подготовки в Организация параметры > Идентификация и доступ.
Варианты подготовки
Только по приглашениям — это значение по умолчанию. Пользователи добавляются и удаляются непосредственно в параметрах Claude или Console.
Автоматическое одобрение (JIT): Пользователи, назначенные вашему приложению Anthropic IdP, автоматически подготавливаются при первом входе. Этот вариант доступен для всех планов.
Синхронизация с SCIM: Пользователи автоматически подготавливаются и удаляются на основе назначений в вашем IdP без необходимости предварительного входа. SCIM доступен для планов Enterprise и организаций Console с собственной родительской организацией или присоединённых к родительской организации Enterprise. SCIM недоступен для планов Team или организаций Console, присоединённых к родительской организации плана Team.
Обзор поведения подготовки
Используйте эту таблицу, чтобы решить, какой режим подготовки подходит для вашей организации:
Режим | Подготовка | Изменения роли и типа места | Удаление |
Только по приглашениям | Пользователи добавляются вручную | Роли и типы мест изменяются вручную | Пользователи удаляются вручную |
Автоматическое одобрение (JIT) | Пользователи, назначенные вашему приложению IdP, подготавливаются при входе с ролью User | Роли и типы мест изменяются вручную | Требуется ручное удаление: пользователи, удалённые из вашего приложения IdP, больше не могут входить, но остаются в списке пользователей до попытки входа или удаления |
JIT + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, подготавливаются при входе с наиболее привилегированной ролью из их членства в группах | Роли и типы мест обновляются при следующем входе на основе членства в группе | Пользователи без доступа к группе не могут входить, но остаются в списке до попытки входа или ручного удаления |
Синхронизация с SCIM | Пользователи, назначенные вашему приложению IdP, автоматически подготавливаются для всех организаций, присоединённых к вашей родительской организации. | Роли и типы мест изменяются вручную | Пользователи, удалённые из вашего приложения IdP, автоматически удаляются |
SCIM + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, автоматически подготавливаются с соответствующими ролями | Изменения ролей и типов мест автоматически распространяются на основе членства в группе | Автоматическое удаление при отзыве доступа к группе |
Как JIT, так и SCIM можно комбинировать с Включить сопоставление групп для управления назначением роли или уровня места на основе членства в группе IdP.
Доступные роли и уровни мест
Продукт | Роли | Типы мест |
План Team / План Enterprise на основе мест | Owner, Admin, User | Premium, Standard |
План Enterprise на основе использования (с двумя типами мест) | Owner, Admin, User | Chat, Chat + Claude Code |
План Enterprise на основе использования (один тип места) | Owner, Admin, User | Enterprise |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Информацию о покупке мест или корректировке распределения мест вашего плана см. в наших руководствах для планов Team и планов Enterprise.
Шаг 2: Настройка синхронизации каталога SCIM (если используется SCIM)
Примечание: Пропустите этот шаг, если вы используете подготовку только по приглашениям или JIT.
Если вы выбрали SCIM в качестве режима подготовки, вам необходимо установить соединение между вашим поставщиком идентификации и Anthropic перед его включением.
Перейдите к параметрам идентификации и доступа в Claude (claude.ai/admin-settings/identity) или Console (platform.claude.com/settings/identity)
В разделе Глобальные параметры доступа нажмите «Настроить SCIM» (или «Управлять SCIM») рядом с Синхронизация каталога (SCIM).
Следуйте руководству по настройке WorkOS, чтобы настроить SCIM в вашем поставщике идентификации. Вам потребуется скопировать значения из WorkOS в приложение Anthropic вашего IdP.
‼️ Когда вы дойдёте до шага IdP Group, остановитесь, чтобы просмотреть шаги 3 и 4 этого руководства вместе с другими руководствами.
Инструкции по настройке JIT / SCIM для конкретного IdP см. в:
Дополнительные IdP см. здесь
После подключения вашего IdP перейдите к шагу 3.
Шаг 3: Настройка режима подготовки и включение сопоставления групп
В разделе Глобальные параметры доступа параметров идентификации и доступа найдите Режим подготовки.
Выберите нужный вариант из раскрывающегося списка:
Только по приглашениям: Новые члены могут присоединиться только если их пригласит существующий член. Доступ SSO не добавит их в вашу организацию.
Автоматическое одобрение (JIT): Разрешить людям с доступом SSO присоединиться при первом входе. Каждый новый член использует одно из доступных мест.
Синхронизация с SCIM: Автоматически добавляйте или удаляйте членов по мере изменения вашего каталога. Ваша организация всегда остаётся актуальной.
Включите Включить сопоставление групп, если используется.
Важно: НЕ нажимайте «Сохранить изменения» сейчас. Вы должны сначала убедиться, что все пользователи назначены вашему приложению Anthropic в вашем IdP. Когда вы включаете сопоставление групп, пользователи также должны быть назначены соответствующим группам (шаги 4 и 5). Сохранение до надлежащего назначения пользователей приведёт к их удалению из организации.
Если вы не используете сопоставление групп: Убедитесь, что все пользователи назначены вашему приложению Anthropic в вашем IdP для подготовки SCIM, затем нажмите «Сохранить изменения» для завершения настройки.
Шаг 4: Настройка групп и назначение пользователей в вашем поставщике идентификации для сопоставления групп
Создайте группы в вашем IdP для каждой роли, которую вы хотите назначить. Если вы не используете план Enterprise с одним местом, создайте группы для каждого типа места.
Хотя требования к именованию больше не существуют, мы рекомендуем включить что-то в имя группы (например,
anthropic-claude-илиanthropic-console-), чтобы их было легче идентифицировать.
Добавьте пользователей в созданные группы, убедившись, что по крайней мере один пользователь (включая вас) находится в группе, которая будет сопоставлена с ролью Admin (Console) или Owner (Claude).
Важно: Все пользователи, которым требуется доступ, должны быть назначены соответствующим группам перед сохранением конфигурации сопоставления групп на следующем шаге. Эти пользователи должны уже быть назначены вашему приложению Anthropic в вашем IdP с момента включения SSO.
Шаг 5: Сопоставление групп с ролями и типами мест
Вернитесь к параметрам идентификации и доступа в Claude или Console и включите Включить сопоставление групп (если это ещё не сделано).
В разделе Включить сопоставление групп нажмите «Добавить» рядом с каждой ролью и выберите соответствующую группу из вашего IdP в раскрывающемся списке.
Для всех планов, кроме Enterprise с одним местом: В разделе Назначить уровни мест группам IdP нажмите «Добавить» рядом с каждым типом места и выберите соответствующую группу из вашего IdP. Если пользователь не назначен группе типа места, ему будет автоматически назначен наивысший доступный тип.
Для Enterprise с одним местом: Сопоставление типа места не применяется. Все подготовленные пользователи автоматически получают место Enterprise, при условии, что оно доступно в вашей организации.
Убедитесь, что все необходимые группы сопоставлены с соответствующими ролями и типами мест.
Нажмите «Сохранить изменения».
Примечание: Microsoft Entra отправляет изменения SCIM только каждые 40 минут, поэтому может быть задержка перед появлением изменений.
Устранение неполадок
Пользователи правильно назначены и отображаются в каталоге, но не добавляются в Claude в качестве членов?
Убедитесь, что у вас достаточно приобретённых и доступных мест для добавления членов в вашу организацию.
Проверьте количество доступных мест, показанное в Параметры организации > Биллинг и приобретите дополнительные места при необходимости (см. наши руководства для планов Team и планов Enterprise).
Когда у вас появятся доступные места, вернитесь на страницу идентификации и доступа и нажмите «Синхронизировать сейчас» рядом с Синхронизация каталога (SCIM). Это вызовет синхронизацию для подготовки учётных записей для тех пользователей, которые ещё не добавлены в качестве членов.
Пользователи не подготавливаются с правильной ролью
Убедитесь, что пользователь назначен правильной группе в вашем IdP.
Убедитесь, что группа сопоставлена с правильной ролью в параметрах идентификации и доступа.
Для JIT: Пользователю необходимо выйти и снова войти, чтобы изменения роли вступили в силу.
Для SCIM: Нажмите «Синхронизировать сейчас», чтобы запустить немедленную синхронизацию, или дождитесь автоматического цикла синхронизации.
Я потерял доступ Admin/Owner после включения сопоставления групп
Это происходит, когда человек, настраивающий сопоставление групп, не назначен группе, сопоставленной с ролью Admin или Owner, что приводит к понижению его разрешений до User.
Чтобы исправить это:
Вариант 1: Попросите другого Admin/Owner восстановить вашу роль
Свяжитесь с другим администратором или владельцем вашей организации.
Попросите их перейти к Параметры организации > Организация (для Claude) или Параметры > Члены (для Console).
Попросите их изменить вашу роль обратно на Admin или Owner.
Вариант 2: Исправление через вашего поставщика идентификации
В вашем IdP назначьте себя группе с правильным префиксом, которая сопоставляется с ролью Admin или Owner.
Для JIT: Выйдите и снова войдите, чтобы восстановить доступ.
Для SCIM: Попросите другого администратора или владельца нажать «Синхронизировать сейчас» в параметрах идентификации и доступа или дождитесь автоматического цикла синхронизации.