Это руководство охватывает настройку подготовки пользователей и назначения ролей для вашей организации Claude или Claude Console.
JIT подготовка доступна для планов Team, Enterprise и организаций Console. SCIM подготовка доступна только для организаций Enterprise и Console.
Перед началом: Это руководство предполагает, что вы уже выполнили шаги из Настройка единого входа (SSO), включая проверку домена и конфигурацию SSO с вашим поставщиком идентификации (IdP), и у вас есть роль Admin (Console) или Owner (Claude).
Шаг 1: Выберите режим подготовки
После настройки SSO необходимо решить, как пользователи будут подготовлены в вашей организации. Это контролируется через раздел User provisioning в Organization settings > Organization and access.
Варианты подготовки
Только приглашение — это значение по умолчанию. Пользователи добавляются и удаляются непосредственно в параметрах Claude или Console.
Just-in-time (JIT): Пользователи, назначенные вашему приложению Anthropic IdP, автоматически подготавливаются при первом входе. Этот вариант доступен для всех планов.
SCIM синхронизация каталога: Пользователи автоматически подготавливаются и удаляются на основе назначений в вашем IdP без необходимости предварительного входа. SCIM доступен для планов Enterprise и организаций Console с собственной родительской организацией или присоединённых к родительской организации Enterprise. SCIM недоступен для планов Team или организаций Console, присоединённых к родительской организации плана Team.
Обзор поведения подготовки
Используйте эту таблицу, чтобы решить, какой режим подготовки подходит для вашей организации:
Режим | Подготовка | Изменения ролей и типов мест | Удаление |
Только приглашение | Пользователи добавляются вручную | Роли и типы мест изменяются вручную | Пользователи удаляются вручную |
Just-in-time (JIT) | Пользователи, назначенные вашему приложению IdP, подготавливаются при входе с ролью User | Роли и типы мест изменяются вручную | Требуется ручное удаление: пользователи, удалённые из вашего приложения IdP, больше не могут входить, но остаются в списке пользователей до попытки входа или удаления |
JIT + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, подготавливаются при входе с наивысшей ролью из их членства в группах | Роли и типы мест обновляются при следующем входе на основе членства в группе | Пользователи без доступа к группе не могут входить, но остаются в списке до попытки входа или ручного удаления |
SCIM синхронизация каталога | Пользователи, назначенные вашему приложению IdP, автоматически подготавливаются для всех организаций, присоединённых к вашей родительской организации. | Роли и типы мест изменяются вручную | Пользователи, удалённые из вашего приложения IdP, автоматически удаляются |
SCIM + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, автоматически подготавливаются с соответствующей ролью только для организаций, присоединённых к родительской организации, где добавлена эта группа. | Изменения ролей и типов мест автоматически распространяются на основе членства в группе | Автоматическое удаление при отзыве доступа к группе |
Как JIT, так и SCIM можно комбинировать с Enable group mappings для управления назначением ролей или уровня мест на основе членства в группах IdP. Если вы выберете один из этих вариантов для режима подготовки, Enable group mappings появится в разделе User provisioning:
Доступные роли и уровни мест
Продукт | Роли | Типы мест |
План Team | Owner, Admin, User | Premium, Standard |
План Enterprise на основе мест | Owner, Admin, User, Custom | Premium, Standard |
План Enterprise на основе использования (с двумя типами мест) | Owner, Admin, User, Custom | Чат, Чат + Claude Code |
План Enterprise на основе использования (один тип места) | Владелец, Администратор, Пользователь, Пользовательский | Enterprise |
Консоль | Администратор, Разработчик, Ограниченный разработчик, Биллинг, Пользователь Claude Code, Пользователь | — |
Информацию о покупке мест или изменении распределения мест в вашем плане см. в наших руководствах для командных планов и планов Enterprise.
Шаг 2: Настройка синхронизации каталога SCIM (если используется SCIM)
Примечание: Пропустите этот шаг, если вы используете режим приглашения или JIT-подготовку.
Если вы выбрали SCIM в качестве режима подготовки, вам необходимо установить соединение между вашим поставщиком удостоверений и Anthropic перед его включением.
Перейдите к параметрам Организация и доступ в Claude (claude.ai/admin-settings/organization) или параметрам Удостоверение и доступ в Консоли (platform.claude.com/settings/identity)
В разделе Подготовка пользователей нажмите «Настроить SCIM» (или «Управлять SCIM») рядом с Синхронизация каталога SCIM.
Следуйте руководству по настройке WorkOS, чтобы настроить SCIM в вашем поставщике удостоверений. Вам потребуется скопировать значения из WorkOS в приложение Anthropic вашего IdP.
‼️ Когда вы дойдете до этапа IdP Group, остановитесь, чтобы просмотреть шаги 3 и 4 этого руководства вместе с другими руководствами.
Инструкции по настройке JIT / SCIM для конкретного IdP см. в:
Дополнительные IdP см. здесь
После подключения вашего IdP перейдите к шагу 3.
Шаг 3: Настройка режима подготовки и включение сопоставления групп
Найдите раздел Подготовка пользователей в ваших параметрах.
Выберите нужный вариант:
Только приглашение: новые члены могут присоединиться только по приглашению существующего члена. Доступ только через SSO не добавит их в вашу организацию.
Just-in-time (JIT): разрешить людям с доступом SSO присоединиться при первом входе. Каждый новый член использует одно из ваших доступных мест.
Синхронизация каталога SCIM: автоматически добавляйте или удаляйте членов при изменении вашего каталога. Ваша организация всегда остается актуальной.
Если вы выбрали «Just-in-time (JIT)» или «Синхронизация каталога SCIM», НЕ нажимайте «Сохранить изменения» немедленно. Сначала необходимо убедиться, что все пользователи назначены вашему приложению Anthropic в вашем IdP.
После того как вы подтвердили, что все пользователи назначены в вашем IdP, вы можете либо:
Нажмите «Сохранить изменения», чтобы завершить настройку и запустить начальную подготовку, или
Включите Включить сопоставление групп и перейдите к шагу 4.
Важно: сохранение до надлежащего назначения пользователей приведет к их отключению от организации.
Шаг 4: Настройка групп в вашем поставщике удостоверений и сопоставление групп с ролями и типами мест
Создайте группы в вашем IdP для каждой роли, которую вы хотите назначить. Если вы не используете план Enterprise с одним местом, создайте также группы для каждого типа места.
Хотя требования к именованию этих групп больше не существуют, мы рекомендуем включить что-то в имя группы (например,
anthropic-claude-илиanthropic-console-), чтобы их было легче идентифицировать.
Добавьте пользователей в созданные группы, убедившись, что по крайней мере один пользователь (включая вас) находится в группе, которая будет сопоставлена с ролью администратора (Console) или владельца (Claude).
Вернитесь к параметрам Организация и доступ или Удостоверение и доступ в Claude или Console и найдите Подготовка пользователей.
Включите Включить сопоставление групп (если это еще не сделано):
В разделе Включить сопоставление групп нажмите «Добавить» рядом с каждой ролью и выберите соответствующую группу из вашего IdP в раскрывающемся списке.
При использовании сопоставления групп вы должны назначить всех пользователей группе на основе ролей, чтобы обеспечить их подготовку учетной записи. Назначение пользователей группам на основе уровня места является необязательным.
Вы можете сопоставить группу IdP с ролью «Пользовательский». Члены, назначенные этой роли, не имеют разрешений по умолчанию — их доступ полностью определяется пользовательскими ролями, назначенными их группам в Claude.
Для всех планов, кроме Enterprise с одним местом: в разделе Назначить уровни мест группам IdP (необязательно) нажмите «Добавить» рядом с каждым типом места и выберите соответствующую группу из вашего IdP. Если пользователь не назначен группе типа места, ему будет автоматически назначен наивысший доступный тип.
Для Enterprise с одним местом: сопоставление типов мест не применяется. Все подготовленные пользователи автоматически получают место Enterprise, при условии, что оно доступно в вашей организации.
Убедитесь, что все необходимые группы сопоставлены с соответствующими ролями и типами мест.
Нажмите «Сохранить изменения».
Примечание: Microsoft Entra отправляет изменения SCIM только каждые 40 минут, поэтому может быть задержка перед появлением изменений. Вы можете проверить, какие пользователи синхронизированы из вашего IdP, нажав «Управлять SCIM» и просмотрев каталог. Пользователи в каталоге будут подготовлены для Claude / Console.
Важно: все пользователи, которым требуется доступ, должны быть назначены соответствующим группам перед сохранением конфигурации сопоставления групп. Эти пользователи должны уже быть назначены вашему приложению Anthropic в вашем IdP с момента включения SSO.
Как роль Primary Owner работает с SCIM
Основной владелец вашей организации освобожден от синхронизации SCIM. Если учетная запись основного владельца отсутствует в каталоге IdP или не является членом какой-либо группы, сопоставленной с ролью, она будет пропущена при синхронизации SCIM. Членство и роль основного владельца сохраняются.
Это освобождение применяется только к одной роли основного владельца. Роли владельца и администратора не освобождены и должны находиться в группе, сопоставленной с ролью, иначе они будут удалены при включении сопоставлений групп SCIM.
Роль основного владельца не может быть назначена через сопоставления групп SCIM. Она может быть передана только вручную из Параметры организации > Участники. Установите предполагаемого основного владельца перед включением SCIM.
Основной владелец не освобожден от принудительного входа SSO. Принудительное применение SSO осуществляется по домену электронной почты; если электронная почта основного владельца находится в принудительном домене, он должен пройти аутентификацию через SSO.
Устранение неполадок
Пользователи назначены правильно и отображаются в каталоге, но не добавляются в Claude в качестве участников?
Убедитесь, что у вас достаточно приобретенных и доступных мест для добавления участников в вашу организацию.
Проверьте количество доступных мест, показанное в Параметры организации > Организация и доступ, и приобретите дополнительные места при необходимости (см. наши руководства для Командных планов и Корпоративных планов).
Когда у вас появятся доступные места, вернитесь на страницу «Организация и доступ» и нажмите «Синхронизировать сейчас» рядом с Синхронизация каталога (SCIM). Это запустит синхронизацию для подготовки учетных записей для пользователей, которые еще не добавлены в качестве участников.
Пользователи не подготавливаются с правильной ролью
Убедитесь, что пользователь назначен правильной группе в вашем IdP.
Убедитесь, что группа сопоставлена с правильной ролью в параметрах Организация и доступ.
Для JIT: Пользователю необходимо выйти и снова войти, чтобы изменения роли вступили в силу.
Для SCIM: Нажмите «Синхронизировать», чтобы запустить немедленную синхронизацию, или дождитесь автоматического цикла синхронизации:
Я потерял доступ администратора/владельца после включения сопоставлений групп
Это происходит, когда лицо, настраивающее сопоставления групп, не назначено группе, сопоставленной с ролью администратора или владельца, что приводит к понижению его разрешений до уровня пользователя.
Чтобы исправить это:
Вариант 1: Попросите другого администратора/владельца восстановить вашу роль
Свяжитесь с другим администратором или владельцем вашей организации.
Попросите их перейти в Параметры организации > Организация (для Claude) или Параметры > Участники (для Console).
Попросите их изменить вашу роль обратно на администратора или владельца.
Вариант 2: Исправить через поставщика удостоверений
В вашем IdP назначьте себя группе с правильным префиксом, которая сопоставляется с ролью администратора или владельца.
Для JIT: Выйдите и снова войдите, чтобы восстановить доступ.
Для SCIM: Попросите другого администратора или владельца нажать «Синхронизировать» в параметрах Организация и доступ или дождитесь автоматического цикла синхронизации.