К основному содержимому

Несоответствие электронной почты SSO/SCIM — Google Workspace

Резюме: Claude использует электронную почту в качестве основного идентификатора для сопоставления входов SSO с подготовленными местами. В Google Workspace SCIM автоматическая подготовка и SAML SSO могут отправлять разные значения электронной почты — особенно когда у пользователей есть псевдонимы электронной почты — что вызывает несоответствие, блокирующее доступ.

Симптомы

При попытке доступа к Claude for Enterprise через SSO пользователи могут столкнуться с одним или несколькими из следующих:

  • «Создание учетной записи заблокировано» — пользователь проходит аутентификацию через SSO, но Claude не может найти соответствующую подготовленную учетную запись. Если в вашей организации ограничено создание организаций (рекомендуется), пользователь полностью заблокирован и не может продолжить.

  • Переход на бесплатный личный аккаунт — если создание организации не ограничено, пользователь обходит корпоративную организацию и создает или переходит на бесплатный личный аккаунт вместо своего корпоративного места.

  • Несоответствие «Пожалуйста, подтвердите вашу электронную почту» — обратный вызов SSO показывает другую электронную почту, чем та, которую пользователь ввел при входе.

  • Ошибка аутентификации Claude Code — Claude Code CLI показывает ошибку несоответствия электронной почты во время потока аутентификации, препятствуя подключению пользователя к корпоративной организации.

Как это происходит

Учетные записи пользователей Google Workspace имеют основную электронную почту и могут иметь несколько псевдонимов. SCIM подготовка и SAML SSO настраиваются отдельно в консоли администратора Google и могут извлекать данные из разных полей адреса:

Атрибут Google

Типичное значение

Обычно используется

primaryEmail

[email protected]

Рекомендуется для SCIM и SAML

Псевдонимы электронной почты

[email protected], [email protected]

Иногда ошибочно сопоставляются в SCIM

Поля пользовательской схемы

Пользовательские атрибуты, определенные для каждой организации

Расширенные сопоставления атрибутов

Электронная почта организационного подразделения

Варианты адресов, полученные из OU

Редко, в сложных структурах организации

Наиболее распространенное несоответствие: SCIM настроен на отправку адреса псевдонима, а SAML отправляет основную электронную почту (или наоборот). Поскольку псевдонимы и основные адреса электронной почты — это разные строки, Claude не может их сопоставить. Claude требует точного совпадения строк.

Частая путаница: в Google Admin параметры автоматической подготовки SCIM и сопоставление атрибутов SAML находятся на отдельных вкладках в одном приложении. Администраторы иногда обновляют одно и пропускают другое. Проверьте оба места.

Диагностические шаги

Шаг 1 — подтвердите несоответствие

  1. Проверьте электронную почту SCIM: в консоли администратора Google перейдите в Приложения → Веб-приложения и мобильные приложения → [Claude App] → Автоматическая подготовка. Проверьте, какой атрибут сопоставлен с полем электронной почты, отправляемым в Claude.

  2. Проверьте электронную почту SAML: в том же приложении перейдите в раздел сопоставление атрибутов SAML. Найдите атрибут, сопоставленный с email, и отметьте его источник.

  3. Проверьте конкретного пользователя: в Справочнике → Пользователи → [Пользователь] сравните основную электронную почту пользователя с любыми указанными псевдонимами электронной почты.

Шаг 2 — определите масштаб проблемы

Определите, затронут ли один пользователь или это системная проблема:

  • Если большинство или все подготовленные пользователи имеют одинаковое несоответствие формата электронной почты, это системная проблема сопоставления атрибутов. Решение находится в сопоставлении атрибутов SCIM вашего IdP.

  • Если затронуты только один или два пользователя, проблема, вероятно, специфична для этих учетных записей. Проверьте их профиль пользователя напрямую.

Шаг 3 — проверьте Name ID в конфигурации SAML

  1. В параметрах приложения перейдите в SAML → Детали поставщика услуг.

  2. Подтвердите, что Name ID установлен на Основная информация → Основная электронная почта.

  3. Если Name ID установлен на поле пользовательской схемы или псевдоним, он может отправить другое значение, чем SCIM.

Решение

Выровняйте оба сопоставления по primaryEmail

primaryEmail Google Workspace — это наиболее надежный источник для SCIM и SAML.

  1. Обновите подготовку SCIM: в Приложения → Веб-приложения и мобильные приложения → [Claude App] → Автоматическая подготовка → Сопоставление атрибутов убедитесь, что атрибут электронной почты сопоставлен с primaryEmail.

  2. Обновите Name ID SAML: в SAML → Детали поставщика услуг установите Name ID на Основная информация → Основная электронная почта.

  3. Обновите сопоставление атрибутов SAML: на этапе сопоставления атрибутов убедитесь, что атрибут email сопоставлен с Основная информация → Основная электронная почта.

  4. Сохраните все изменения.

Запустите полную повторную синхронизацию

Критично — требуется полная синхронизация: дополнительная синхронизация не обновит существующих пользователей после изменения сопоставления атрибутов. Вы должны запустить полный перезапуск цикла подготовки.

  1. В консоли администратора Google перейдите в параметры Автоматическая подготовка приложения.

  2. Временно приостановите подготовку, а затем повторно включите ее. Это запускает полную синхронизацию всех назначенных пользователей.

  3. Кроме того, удалите и повторно добавьте затронутых пользователей из назначения приложения, чтобы принудительно переподготовить их отдельные записи.

  4. Отслеживайте журналы подготовки на предмет ошибок и подтвердите, что электронные адреса пользователей обновлены в соответствии с форматом SAML, прежде чем просить пользователей повторить попытку.

Очистка после исправления

После исправления сопоставления атрибутов и завершения полной синхронизации может потребоваться дополнительная очистка:

  • Бесплатные аккаунты-нарушители: если создание организации не было ограничено до исправления, некоторые пользователи могли случайно создать бесплатные личные аккаунты Claude. Свяжитесь с Anthropic Support, чтобы их удалили.

  • Фантомные аккаунты (места с неправильной электронной почтой): первоначально подготовленные аккаунты (с неправильной электронной почтой) могут все еще существовать в вашей корпоративной организации, занимая места. Свяжитесь с Anthropic Support, чтобы отменить подготовку этих фантомных аккаунтов.

  • Доступность мест: если фантомные аккаунты занимают все контрактные места, новые входы будут неудачны с ошибкой отсутствия мест. Отмена подготовки фантомных аккаунтов освобождает эти места.

  • Повторное добавление затронутых пользователей: после удаления фантомных аккаунтов пользователи с исправленной электронной почтой могут нуждаться в повторном приглашении или переподготовке.

Предотвращение будущих проблем: включите «Ограничить создание организации» в параметрах вашего предприятия. Это предотвращает случайное создание бесплатных личных аккаунтов пользователями, которые еще не подготовлены.

Проверка

  1. Проверьте образец подготовленных пользователей — подтвердите, что их электронная почта в журнале подготовки вашего IdP совпадает с форматом электронной почты, отправляемым SSO.

  2. Попросите затронутого пользователя очистить кэш браузера для claude.ai, а затем войти через SSO. Он должен перейти прямо в корпоративное рабочее пространство без каких-либо ошибок.

  3. Подтвердите, что пользователи не случайно создают бесплатные аккаунты — если создание организации ограничено, заблокированные пользователи увидят четкую ошибку вместо перехода на личный аккаунт.

  4. Если Claude Code был затронут, попросите пользователя повторно запустить claude auth login --enterprise и подтвердить, что электронная почта совпадает с его корпоративным местом.

Частые ошибки

Ошибка

Решение

SCIM отправляет псевдоним, а SAML отправляет основную электронную почту

Всегда используйте primaryEmail для обоих.

Name ID в параметрах SAML не был проверен

Поле Name ID определяет электронную почту, отправляемую при входе. Это отдельно от раздела сопоставления атрибутов. Проверьте оба.

Поле пользовательской схемы пусто для некоторых пользователей

Придерживайтесь стандартных атрибутов Google, таких как primaryEmail.

Переподготовка не запускается автоматически после изменения сопоставления

Вам может потребоваться вручную приостановить и повторно включить подготовку, чтобы принудительно выполнить полную синхронизацию.

Основная электронная почта пользователя изменилась, но старая электронная почта все еще отображается в Claude

После изменения основной электронной почты требуется полная повторная синхронизация.

Электронные адреса обновлены в SCIM, но пользователь все еще не может войти

Проверьте наличие бесплатных организаций-нарушителей или фантомных аккаунтов. Очистите кэш браузера и повторите попытку.

Когда обращаться в Anthropic Support

  • Атрибуты SCIM и SSO выглядят идентичными, но пользователи все еще не могут получить доступ к своим местам.

  • Вам нужно подтвердить, какую электронную почту Claude записал во время подготовки SCIM для конкретных пользователей.

  • Вам нужна помощь в очистке фантомных аккаунтов или бесплатных организаций-нарушителей.

  • Пользователи получают ошибку отсутствия мест, несмотря на то, что в вашем контракте есть доступные места.

Свяжитесь с [email protected] с доменом вашей организации, адресом электронной почты затронутого пользователя и снимками экрана ваших сопоставлений атрибутов.

Другие статьи по теме
Несоответствие электронной почты SSO/SCIM — Microsoft Entra ID
Несоответствие электронной почты SSO/SCIM — Okta
Несоответствие электронной почты SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Настройка SSO — Google Workspace
Нашли ответ на свой вопрос?