Это руководство охватывает настройку подготовки пользователей и назначения ролей для вашей организации Claude или Claude Console.
JIT подготовка доступна для планов Team, Enterprise и организаций Console. SCIM подготовка доступна только для организаций Enterprise и Console.
Перед началом: Это руководство предполагает, что вы уже выполнили шаги из Настройка единого входа (SSO), включая проверку домена и настройку SSO с вашим поставщиком идентификации (IdP), и у вас есть роль Admin (Console) или Owner (Claude).
Шаг 1: Выберите режим подготовки
После настройки SSO необходимо решить, как пользователи будут подготовлены в вашей организации. Это контролируется через раздел User provisioning в Organization settings > Organization and access.
Варианты подготовки
Только приглашение — это значение по умолчанию. Пользователи добавляются и удаляются непосредственно в параметрах Claude или Console.
Just-in-time (JIT): Пользователи, назначенные вашему приложению Anthropic IdP, автоматически подготавливаются при первом входе. Этот вариант доступен для всех планов.
SCIM синхронизация каталога: Пользователи автоматически подготавливаются и удаляются на основе назначений в вашем IdP без необходимости предварительного входа. SCIM доступен для планов Enterprise и организаций Console с собственной родительской организацией или присоединённых к родительской организации Enterprise. SCIM недоступен для планов Team или организаций Console, присоединённых к родительской организации плана Team.
Обзор поведения подготовки
Используйте эту таблицу, чтобы решить, какой режим подготовки подходит для вашей организации:
Режим | Подготовка | Изменения ролей и типов мест | Удаление |
Только приглашение | Пользователи добавляются вручную | Роли и типы мест изменяются вручную | Пользователи удаляются вручную |
Just-in-time (JIT) | Пользователи, назначенные вашему приложению IdP, подготавливаются при входе с ролью User | Роли и типы мест изменяются вручную | Требуется ручное удаление: пользователи, удалённые из вашего приложения IdP, больше не могут входить, но остаются в списке пользователей до попытки входа или удаления |
JIT + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, подготавливаются при входе с наивысшей ролью из их членства в группах | Роли и типы мест обновляются при следующем входе на основе членства в группе | Пользователи без доступа к группе не могут входить, но остаются в списке до попытки входа или ручного удаления |
SCIM синхронизация каталога | Пользователи, назначенные вашему приложению IdP, автоматически подготавливаются для всех организаций, присоединённых к вашей родительской организации. | Роли и типы мест изменяются вручную | Пользователи, удалённые из вашего приложения IdP, автоматически удаляются |
SCIM + сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, автоматически подготавливаются с соответствующей ролью только для организаций, присоединённых к родительской организации, где добавлена эта группа. | Изменения ролей и типов мест автоматически распространяются на основе членства в группе | Автоматическое удаление при отзыве доступа к группе |
Как JIT, так и SCIM можно комбинировать с Enable group mappings для управления назначением ролей или уровня мест на основе членства в группах IdP. Если вы выберете один из этих вариантов для режима подготовки, Enable group mappings появится в разделе User provisioning:
Доступные роли и уровни мест
Продукт | Роли | Типы мест |
План Team | Owner, Admin, User | Premium, Standard |
План Enterprise на основе мест | Owner, Admin, User, Custom roles | Premium, Standard |
План Enterprise на основе использования (с двумя типами мест) | Owner, Admin, User, Custom roles | Чат, Чат + Claude Code |
План Enterprise на основе использования (один тип места) | Владелец, Администратор, Пользователь, Пользовательские роли | Enterprise |
Консоль | Администратор, Разработчик, Ограниченный разработчик, Биллинг, Пользователь Claude Code, Пользователь | — |
Информацию о покупке мест или изменении распределения мест в вашем плане см. в наших руководствах для командных планов и планов Enterprise.
Шаг 2: Настройка синхронизации каталога SCIM (если используется SCIM)
Примечание: Пропустите этот шаг, если вы используете режим приглашения или JIT-подготовку.
Если вы выбрали SCIM в качестве режима подготовки, вам необходимо установить соединение между вашим поставщиком удостоверений и Anthropic перед его включением.
Перейдите к параметрам Организация и доступ в Claude (claude.ai/admin-settings/organization) или к параметрам Удостоверение и доступ в Консоли (platform.claude.com/settings/identity)
В разделе Подготовка пользователей нажмите «Настроить SCIM» (или «Управлять SCIM») рядом с Синхронизация каталога SCIM.
Следуйте руководству по настройке WorkOS, чтобы настроить SCIM в вашем поставщике удостоверений. Вам потребуется скопировать значения из WorkOS в приложение Anthropic вашего IdP.
‼️ Когда вы дойдете до этапа IdP Group, остановитесь, чтобы просмотреть шаги 3 и 4 этого руководства вместе с другими руководствами.
Инструкции по настройке JIT / SCIM для конкретного IdP см. в:
Дополнительные IdP см. здесь
После подключения вашего IdP перейдите к шагу 3.
Шаг 3: Настройка режима подготовки и включение сопоставления групп
Найдите раздел Подготовка пользователей в ваших параметрах.
Выберите нужный вариант:
Только приглашение: новые члены могут присоединиться только по приглашению существующего члена. Доступ через SSO не добавит их в вашу организацию.
Just-in-time (JIT): разрешить людям с доступом SSO присоединиться при первом входе. Каждый новый член использует одно из ваших доступных мест.
Синхронизация каталога SCIM: автоматически добавляйте или удаляйте членов при изменении вашего каталога. Ваша организация всегда остается актуальной.
Если вы выбрали «Just-in-time (JIT)» или «Синхронизация каталога SCIM», НЕ нажимайте «Сохранить изменения» немедленно. Сначала вы должны убедиться, что все пользователи назначены вашему приложению Anthropic в вашем IdP.
После того как вы подтвердили, что все пользователи назначены в вашем IdP, вы можете либо:
Нажмите «Сохранить изменения», чтобы завершить настройку и запустить начальную подготовку, или
Включите Включить сопоставление групп и перейдите к шагу 4.
Важно: сохранение до надлежащего назначения пользователей приведет к их отзыву из организации.
Шаг 4: Настройка групп в вашем поставщике удостоверений и сопоставление групп с ролями и типами мест
Создайте группы в вашем IdP для каждой роли, которую вы хотите назначить. Если вы не используете план Enterprise с одним местом, создайте также группы для каждого типа места.
Хотя требования к именованию больше не существуют для этих групп, мы рекомендуем включить что-то в имя группы (например,
anthropic-claude-илиanthropic-console-), чтобы их было легче идентифицировать.
Добавьте пользователей в созданные группы, убедившись, что по крайней мере один пользователь (включая вас) находится в группе, которая будет сопоставлена с ролью Admin (Console) или Owner (Claude).
Вернитесь к параметрам Организация и доступ или Удостоверение и доступ в Claude или Console и найдите Подготовка пользователей.
Включите Включить сопоставление групп (если это еще не сделано):
В разделе Включить сопоставление групп нажмите «Добавить» рядом с каждой ролью и выберите соответствующую группу из вашего IdP в раскрывающемся списке.
При использовании сопоставления групп вы должны назначить всех пользователей группе на основе ролей, чтобы обеспечить подготовку учетной записи. Назначение пользователей группам на основе уровня места является необязательным.
Вы можете сопоставить группу IdP с ролью «Пользовательские роли». Члены, назначенные этой роли, не имеют разрешений по умолчанию — их доступ полностью определяется пользовательскими ролями, назначенными их группам в Claude.
Для всех планов, кроме Enterprise с одним местом: в разделе Назначить уровни мест группам IdP (необязательно) нажмите «Добавить» рядом с каждым типом места и выберите соответствующую группу из вашего IdP. Если пользователь не назначен группе типа места, ему будет автоматически назначен наивысший доступный тип.
Для Enterprise с одним местом: сопоставление типов мест не применяется. Все подготовленные пользователи автоматически получают место Enterprise, при условии, что оно доступно в вашей организации.
Убедитесь, что все необходимые группы сопоставлены с соответствующими ролями и типами мест.
Нажмите «Сохранить изменения».
Примечание: Microsoft Entra отправляет изменения SCIM только каждые 40 минут, поэтому может быть задержка перед появлением изменений. Вы можете проверить, какие пользователи синхронизированы из вашего IdP, нажав «Управлять SCIM» и просмотрев каталог. Эти пользователи в каталоге будут подготовлены для Claude / Console.
Важно: все пользователи, которым требуется доступ, должны быть назначены соответствующим группам перед сохранением конфигурации сопоставления групп. Эти пользователи должны уже быть назначены вашему приложению Anthropic в вашем IdP с момента включения SSO.
Устранение неполадок
Пользователи назначены правильно и отображаются в каталоге, но не добавляются в Claude в качестве участников?
Убедитесь, что у вас куплено и доступно достаточно мест для добавления участников в вашу организацию.
Проверьте количество доступных мест, отображаемое в Параметры организации > Организация и доступ, и приобретите дополнительные места при необходимости (см. наши руководства для командных планов и корпоративных планов).
Когда у вас появятся доступные места, вернитесь на страницу «Организация и доступ» и нажмите «Синхронизировать сейчас» рядом с Синхронизация каталога (SCIM). Это запустит синхронизацию для подготовки учетных записей пользователей, которые еще не добавлены в качестве участников.
Пользователи не получают правильную роль
Убедитесь, что пользователь назначен правильной группе в вашем поставщике удостоверений.
Убедитесь, что группа сопоставлена с правильной ролью в параметрах Организация и доступ.
Для JIT: Пользователю необходимо выйти и снова войти, чтобы изменения роли вступили в силу.
Для SCIM: Нажмите "Синхронизировать", чтобы запустить немедленную синхронизацию, или дождитесь автоматического цикла синхронизации:
Я потерял доступ администратора/владельца после включения сопоставления групп
Это происходит, когда лицо, настраивающее сопоставление групп, не назначено группе, сопоставленной с ролью администратора или владельца, что приводит к понижению его разрешений до уровня пользователя.
Чтобы исправить это:
Вариант 1: Попросите другого администратора/владельца восстановить вашу роль
Свяжитесь с другим администратором или владельцем вашей организации.
Попросите их перейти в Параметры организации > Организация (для Claude) или Параметры > Участники (для Console).
Попросите их изменить вашу роль обратно на администратора или владельца.
Вариант 2: Исправить через поставщика удостоверений
В вашем поставщике удостоверений назначьте себя группе с правильным префиксом, которая сопоставляется с ролью администратора или владельца.
Для JIT: Выйдите и снова войдите, чтобы восстановить доступ.
Для SCIM: Попросите другого администратора или владельца нажать "Синхронизировать" в параметрах Организация и доступ, или дождитесь автоматического цикла синхронизации.