К основному содержимому

Обеспечение контроля доступа на уровне сети с помощью ограничений клиентов

Ограничения клиентов доступны для членов планов Enterprise и организаций Console.

Ограничения клиентов позволяют ИТ-администраторам планов Enterprise обеспечивать контроль доступа на уровне сети для Claude. Эта функция гарантирует, что пользователи корпоративных сетей могут получать доступ только к утвержденным организационным учетным записям, предотвращая несанкционированное использование личных учетных записей.

Как это работает

При включении ваш сетевой прокси-сервер внедряет HTTP-заголовок в запросы к Claude. Anthropic проверяет этот заголовок и блокирует доступ от любой организации, не входящей в список разрешенных.

Поддерживаемые методы аутентификации:

  • Веб-доступ (claude.ai)

  • Доступ через приложение / рабочий стол

  • Аутентификация по ключу API

  • Аутентификация по токену OAuth

Формат заголовка

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • Список UUID организаций, разделенный запятыми

  • Без пробелов между значениями

Пример:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

Разделите большие списки разрешений на несколько заголовков

Если ваш список разрешений слишком длинный для одной строки заголовка на вашей платформе прокси-сервера, разделите его на пронумерованные заголовки продолжения. Добавьте ;n=K к базовому заголовку, чтобы объявить общее количество строк заголовка, затем добавьте оставшиеся UUID в заголовки anthropic-allowed-org-ids1 через anthropic-allowed-org-ids{K-1}.

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • Максимум 10 строк заголовка (K ≤ 10)

  • Максимум 500 UUID организаций всего по всем строкам

  • Ваш прокси-сервер должен отправлять каждый объявленный слот. Если вы установили ;n=3, все три заголовка должны присутствовать в запросе.

  • Настройте прокси-сервер на перезапись этих заголовков при каждом запросе, а не добавление их только при отсутствии.


Этапы конфигурации

1. Найдите UUID вашей организации

Члены планов Enterprise могут найти это в двух разных местах:

  1. Перейдите в Параметры > Учетная запись и найдите ID организации.

  2. Перейдите в Параметры организации > Организация и прокрутите вниз до конца страницы, чтобы найти ID организации.

Члены организаций Console могут найти это в Параметры > Организация.

2. Настройте сетевой прокси-сервер

Настройте прокси-сервер на внедрение заголовка для трафика Claude:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. Протестируйте вашу конфигурацию

Из ограниченной сети протестируйте с ключом API вашей организации:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


Ответы об ошибках

Доступ заблокирован

Когда организация пользователя не находится в списке разрешений, они получают ошибку 403:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

Ошибки конфигурации заголовка

Если ваш прокси-сервер отправляет заголовки неправильно, запросы завершаются ошибкой со статусом 400 и одним из этих сообщений:

  • Несколько заголовков anthropic-allowed-org-ids: имя заголовка появилось более одного раза в одном запросе. Настройте прокси-сервер на перезапись каждого заголовка, а не добавление дубликата.

  • Неправильно сформированные заголовки anthropic-allowed-org-ids: значение ;n=K недействительно, объявленный слот продолжения отсутствует или лишний, или общий список разрешений превышает 500 UUID.

Поддерживаемые платформы прокси-сервера

  • Zscaler ZIA (политики управления облачными приложениями)

  • Palo Alto Prisma Access (управление приложениями SaaS)

  • Cato Networks (политика ограничения клиентов)

  • Netskope (правила вставки заголовков)

  • Универсальные прокси-серверы HTTPS с возможностью внедрения заголовков

Варианты использования

Сценарий

Значение заголовка

Одна организация

<your-org-uuid>

Несколько организаций (партнеры)

<org-uuid-1>,<org-uuid-2>

Преимущества безопасности

  • Предотвращение потери данных: блокировка использования личных учетных записей из корпоративных сетей.

  • Соответствие требованиям: обеспечение политик размещения данных и доступа.

  • Контроль теневых ИТ: предотвращение несанкционированного использования Claude.

  • Журнал аудита: полная видимость попыток доступа.

Обратная совместимость

  • Отсутствие влияния на сети без настроенных ограничений клиентов.

  • Стандартная аутентификация продолжается для неуправляемых сетей.

  • Существующая аутентификация по ключу API остается неизменной.

Нашли ответ на свой вопрос?