Ограничения клиентов доступны для членов планов Enterprise и организаций Console.
Ограничения клиентов позволяют ИТ-администраторам планов Enterprise обеспечивать контроль доступа на уровне сети для Claude. Эта функция гарантирует, что пользователи корпоративных сетей могут получать доступ только к утвержденным организационным учетным записям, предотвращая несанкционированное использование личных учетных записей.
Как это работает
При включении ваш сетевой прокси-сервер внедряет HTTP-заголовок в запросы к Claude. Anthropic проверяет этот заголовок и блокирует доступ от любой организации, не входящей в список разрешенных.
Поддерживаемые методы аутентификации:
Веб-доступ (claude.ai)
Доступ через приложение / рабочий стол
Аутентификация по ключу API
Аутентификация по токену OAuth
Формат заголовка
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Список UUID организаций, разделенный запятыми
Без пробелов между значениями
Пример:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Разделите большие списки разрешений на несколько заголовков
Если ваш список разрешений слишком длинный для одной строки заголовка на вашей платформе прокси-сервера, разделите его на пронумерованные заголовки продолжения. Добавьте ;n=K к базовому заголовку, чтобы объявить общее количество строк заголовка, затем добавьте оставшиеся UUID в заголовки anthropic-allowed-org-ids1 через anthropic-allowed-org-ids{K-1}.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Максимум 10 строк заголовка (
K≤ 10)Максимум 500 UUID организаций всего по всем строкам
Ваш прокси-сервер должен отправлять каждый объявленный слот. Если вы установили
;n=3, все три заголовка должны присутствовать в запросе.Настройте прокси-сервер на перезапись этих заголовков при каждом запросе, а не добавление их только при отсутствии.
Этапы конфигурации
1. Найдите UUID вашей организации
Члены планов Enterprise могут найти это в двух разных местах:
Перейдите в Параметры > Учетная запись и найдите ID организации.
Перейдите в Параметры организации > Организация и прокрутите вниз до конца страницы, чтобы найти ID организации.
Члены организаций Console могут найти это в Параметры > Организация.
2. Настройте сетевой прокси-сервер
Настройте прокси-сервер на внедрение заголовка для трафика Claude:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Протестируйте вашу конфигурацию
Из ограниченной сети протестируйте с ключом API вашей организации:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Ответы об ошибках
Доступ заблокирован
Когда организация пользователя не находится в списке разрешений, они получают ошибку 403:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Ошибки конфигурации заголовка
Если ваш прокси-сервер отправляет заголовки неправильно, запросы завершаются ошибкой со статусом 400 и одним из этих сообщений:
Несколько заголовков
anthropic-allowed-org-ids: имя заголовка появилось более одного раза в одном запросе. Настройте прокси-сервер на перезапись каждого заголовка, а не добавление дубликата.Неправильно сформированные заголовки
anthropic-allowed-org-ids: значение;n=Kнедействительно, объявленный слот продолжения отсутствует или лишний, или общий список разрешений превышает 500 UUID.
Поддерживаемые платформы прокси-сервера
Zscaler ZIA (политики управления облачными приложениями)
Palo Alto Prisma Access (управление приложениями SaaS)
Cato Networks (политика ограничения клиентов)
Netskope (правила вставки заголовков)
Универсальные прокси-серверы HTTPS с возможностью внедрения заголовков
Варианты использования
Сценарий | Значение заголовка |
Одна организация |
|
Несколько организаций (партнеры) |
|
Преимущества безопасности
Предотвращение потери данных: блокировка использования личных учетных записей из корпоративных сетей.
Соответствие требованиям: обеспечение политик размещения данных и доступа.
Контроль теневых ИТ: предотвращение несанкционированного использования Claude.
Журнал аудита: полная видимость попыток доступа.
Обратная совместимость
Отсутствие влияния на сети без настроенных ограничений клиентов.
Стандартная аутентификация продолжается для неуправляемых сетей.
Существующая аутентификация по ключу API остается неизменной.
