JIT-подготовка доступна для планов Team, планов Enterprise и организаций Console. SCIM-подготовка доступна только для организаций Enterprise и Console.
Это руководство охватывает настройку подготовки пользователей и назначения ролей для вашей организации Claude или Claude Console.
Перед началом: Это руководство предполагает, что вы уже выполнили шаги из раздела Настройка единого входа (SSO), включая проверку домена и настройку SSO с вашим поставщиком идентификации (IdP), и у вас есть роль Admin (Console) или Owner (Claude).
Шаг 1: Выберите режим подготовки
После настройки SSO необходимо решить, как пользователи будут подготавливаться в вашей организации. Это контролируется параметром Режим подготовки в ваших параметрах идентификации и доступа.
Варианты подготовки
Ручная — это вариант по умолчанию. Пользователи добавляются и удаляются непосредственно в параметрах Claude или Console.
JIT (Just-in-Time): Пользователи, назначенные вашему приложению Anthropic IdP, автоматически подготавливаются при первом входе. Этот вариант доступен для всех планов.
SCIM: Пользователи автоматически подготавливаются и удаляются на основе назначений в вашем IdP без необходимости входа. SCIM доступен для планов Enterprise и организаций Console с собственной родительской организацией или присоединённых к родительской организации Enterprise. SCIM недоступен для планов Team или организаций Console, присоединённых к родительской организации плана Team.
Обзор поведения подготовки
Используйте эту таблицу, чтобы решить, какой режим подготовки подходит для вашей организации:
Режим | Подготовка | Изменения роли и уровня места | Удаление |
Ручная | Пользователи добавляются вручную | Роли и уровни мест изменяются вручную | Пользователи удаляются вручную |
JIT | Пользователи, назначенные вашему приложению IdP, подготавливаются при входе с ролью User | Роли и уровни мест изменяются вручную | Требуется ручное удаление: пользователи, удалённые из вашего приложения IdP, больше не могут входить, но остаются в списке пользователей до попытки входа или удаления |
JIT + расширенное сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, подготавливаются при входе с наиболее привилегированной ролью из их членства в группах | Роли и уровни мест обновляются при следующем входе на основе членства в группе | Пользователи без доступа к группе не могут входить, но остаются в списке до попытки входа или ручного удаления |
SCIM | Пользователи, назначенные вашему приложению IdP, автоматически подготавливаются для всех организаций, присоединённых к вашей родительской организации. | Роли и уровни мест изменяются вручную | Пользователи, удалённые из вашего приложения IdP, автоматически удаляются |
SCIM + расширенное сопоставление групп | Пользователи, входящие в хотя бы одну сопоставленную группу, автоматически подготавливаются с соответствующими ролями | Изменения роли и уровня места автоматически распространяются на основе членства в группе | Автоматическое удаление при отзыве доступа к группе |
Как JIT, так и SCIM можно комбинировать с расширённым сопоставлением групп для управления назначением роли или уровня места на основе членства в группе IdP.
Доступные роли и уровни мест
Продукт | Роли | Уровни мест |
План Team / План Enterprise на основе мест | Owner, Admin, User | Premium, Standard |
План Enterprise на основе использования | Owner, Admin, User | Chat, Chat + Claude Code |
Console | Admin, Developer, Billing, Claude Code User, User | — |
Информацию о покупке мест или корректировке распределения мест вашего плана см. в наших руководствах для планов Team и планов Enterprise.
Шаг 2: Настройте синхронизацию каталога SCIM (если используется SCIM)
Примечание: Пропустите этот шаг, если вы используете ручную подготовку или JIT.
Если вы выбрали SCIM в качестве режима подготовки, вам необходимо установить соединение между вашим поставщиком идентификации и Anthropic перед его включением.
Перейдите к параметрам идентификации и доступа в Claude (claude.ai/admin-settings/identity) или Console (platform.claude.com/settings/identity)
В разделе «Глобальная конфигурация SSO» нажмите «Настроить SCIM» (или «Управлять SCIM») рядом с «Синхронизация каталога (SCIM)».
Следуйте руководству по настройке WorkOS, чтобы настроить SCIM в вашем поставщике идентификации. Вам потребуется скопировать значения из WorkOS в приложение Anthropic вашего IdP.
‼️ Когда вы дойдёте до шага группы IdP, остановитесь, чтобы просмотреть шаги 3 и 4 этого руководства вместе с другими руководствами.
Инструкции по настройке JIT / SCIM для конкретного IdP см. в разделе:
Дополнительные IdP см. здесь
После подключения вашего IdP перейдите к шагу 3.
Шаг 3: Настройте режим подготовки и расширенное сопоставление групп
В разделе Конфигурация SSO организации параметров идентификации и доступа найдите Режим подготовки.
Выберите нужный вариант из раскрывающегося списка («Just in time (JIT)» или «Directory sync (SCIM)»).
Включите Расширенное сопоставление групп, если используется.
Важно: НЕ нажимайте «Сохранить изменения» сейчас. Сначала необходимо убедиться, что все пользователи назначены вашему приложению Anthropic в вашем IdP. Для расширенного сопоставления групп пользователи также должны быть назначены соответствующим группам (шаги 4 и 5). Сохранение до надлежащего назначения пользователей приведёт к их удалению из организации.
Если вы не используете расширенное сопоставление групп: Убедитесь, что все пользователи назначены вашему приложению Anthropic в вашем IdP для подготовки SCIM, затем нажмите «Сохранить изменения» для завершения настройки.
Шаг 4: Настройте группы и назначьте пользователей в вашем поставщике идентификации для расширенного сопоставления групп
Создайте группы в вашем IdP для каждой роли и уровня места, которые вы хотите назначить.
Хотя требования к именованию больше не существуют, мы рекомендуем включить что-то в имя группы (например,
anthropic-claude-илиanthropic-console-), чтобы их было легче идентифицировать.
Добавьте пользователей в созданные группы, убедившись, что по крайней мере один пользователь (включая вас) находится в группе, которая будет сопоставлена с ролью Admin (Console) или Owner (Claude).
Важно: Все пользователи, которым требуется доступ, должны быть назначены соответствующим группам перед сохранением конфигурации расширенного сопоставления групп на следующем шаге. Эти пользователи должны уже быть назначены вашему приложению Anthropic в вашем IdP с момента включения SSO.
Шаг 5: Сопоставьте группы с ролями и уровнями мест
Вернитесь к параметрам идентификации и доступа в Claude или Console и включите Расширенное сопоставление групп (если оно ещё не включено).
В разделе Сопоставление ролей нажмите «Добавить» рядом с каждой ролью и выберите соответствующую группу из вашего IdP в раскрывающемся списке.
Для организаций Claude: В разделе Сопоставление уровней мест нажмите «Добавить» рядом с каждым уровнем (Premium, Standard) и выберите соответствующую группу. Если пользователь не назначен группе уровня места, ему будет назначен наивысший доступный уровень по умолчанию.
Проверьте, что все необходимые группы сопоставлены с соответствующими ролями и уровнями мест.
Нажмите «Сохранить изменения».
Примечание: Microsoft Entra отправляет изменения SCIM только каждые 40 минут, поэтому может быть задержка перед появлением изменений.
Устранение неполадок
Пользователи правильно назначены и отображаются в каталоге, но не добавляются в Claude в качестве членов?
Убедитесь, что у вас достаточно приобретённых и доступных мест для добавления членов в вашу организацию.
Проверьте «Всего мест», показанное на странице организации, и приобретите дополнительные места при необходимости (см. наши руководства для планов Team и планов Enterprise).
Когда у вас будут доступные места, вернитесь на страницу идентификации и доступа и нажмите «Синхронизировать сейчас» рядом с Синхронизация каталога (SCIM). Это вызовет синхронизацию для подготовки учётных записей для тех пользователей, которые ещё не добавлены в качестве членов.
Пользователи не подготавливаются с правильной ролью
Убедитесь, что пользователь назначен правильной группе в вашем IdP.
Убедитесь, что группа сопоставлена с правильной ролью в параметрах идентификации и доступа.
Для JIT: Пользователю необходимо выйти и снова войти, чтобы изменения роли вступили в силу.
Для SCIM: Нажмите «Синхронизировать сейчас», чтобы запустить немедленную синхронизацию, или дождитесь автоматического цикла синхронизации.
Я потерял доступ Admin/Owner после включения расширенного сопоставления групп
Это происходит, когда лицо, настраивающее расширенное сопоставление групп, не назначено группе, сопоставленной с ролью Admin или Owner, что приводит к понижению его разрешений до User. Чтобы исправить это:
Вариант 1: Попросите другого Admin/Owner восстановить вашу роль
Свяжитесь с другим Admin или Owner вашей организации.
Попросите их перейти в Параметры администратора > Организация (для Claude) или Параметры > Члены (для Console).
Попросите их изменить вашу роль обратно на Admin или Owner.
Вариант 2: Исправьте через вашего поставщика идентификации
В вашем IdP назначьте себя группе с правильным префиксом, которая сопоставляется с ролью Admin или Owner.
Для JIT: Выйдите и снова войдите, чтобы восстановить доступ.
Для SCIM: Попросите другого Admin или Owner нажать «Синхронизировать сейчас» в параметрах идентификации и доступа или дождитесь автоматического цикла синхронизации.