К основному содержимому

Несоответствие электронной почты SSO/SCIM — Microsoft Entra ID

Что это охватывает: Claude использует электронную почту в качестве основного идентификатора для сопоставления входов SSO с подготовленными местами. В Microsoft Entra ID подготовка SCIM и аутентификация SSO настраиваются в отдельных местах и могут извлекать электронную почту из разных атрибутов пользователя — что вызывает несоответствие, блокирующее доступ. Это руководство описывает, как определить проблему, исправить сопоставление атрибутов и очистить любые побочные эффекты.

Симптомы

При попытке доступа к Claude for Enterprise через SSO пользователи могут столкнуться с одним или несколькими из следующих:

  • «Создание учетной записи заблокировано» — пользователь проходит аутентификацию через SSO, но Claude не может найти соответствующую подготовленную учетную запись. Если создание организации ограничено (рекомендуется), пользователь полностью заблокирован.

  • Переход на бесплатную личную учетную запись — если создание организации не ограничено, пользователь обходит корпоративную организацию и создает или переходит на бесплатную личную учетную запись.

  • Несоответствие «Пожалуйста, подтвердите вашу электронную почту» — обратный вызов SSO показывает другую электронную почту, чем та, которую пользователь ввел при входе.

  • Ошибка аутентификации Claude Code — Claude Code CLI показывает ошибку несоответствия электронной почты во время потока аутентификации.

Как это происходит

Учетные записи пользователей Microsoft Entra ID имеют несколько похожих на электронную почту атрибутов, которые могут содержать разные значения. Подготовка SCIM и аутентификация SSO настраиваются в отдельных областях администратора, и каждая может извлекать данные из разного атрибута:

Атрибут Entra

Типичное значение

Обычно используется

userPrincipalName

[email protected] (может быть в формате ID сотрудника)

Сопоставление userName SCIM по умолчанию

mail

[email protected] (стандартная электронная почта)

Утверждение электронной почты OIDC / SAML

proxyAddresses

SMTP:[email protected]

Основной адрес Exchange / M365

otherMails

Может содержать псевдонимы или вторичные адреса

Альтернативные контактные электронные адреса

Несоответствие возникает, когда SCIM извлекает электронную почту из одного атрибута, а SSO отправляет электронную почту из другого. Даже незначительное различие блокирует доступ — Claude требует точного совпадения строк.

Частая путаница: Entra имеет две отдельные области администратора. Приложение подготовки SCIM находится в разделе Enterprise Applications. Приложение SSO/OIDC находится в разделе App Registrations. IT-администраторы часто переходят в неправильное место.

Диагностические шаги

Шаг 1 — подтвердите несоответствие

  1. Проверьте электронную почту SCIM: в Entra Admin Center → Enterprise Applications → [Claude SCIM App] → Provisioning → Provisioning logs найдите недавно подготовленного пользователя и проверьте Modified attributes. Значение, сопоставленное с emails[type eq "work"].value, — это то, что SCIM отправил в Claude.

  2. Проверьте электронную почту SSO: в Enterprise Applications → [Claude App] → Single sign-on → Attributes & Claims найдите утверждение электронной почты. Для приложений OIDC проверьте App Registrations → [Claude App] → Token configuration.

  3. Если два исходных атрибута указывают на разные поля, вы подтвердили несоответствие.

Шаг 2 — определите масштаб

  • Если большинство или все подготовленные пользователи имеют одинаковое несоответствие формата, это системная проблема сопоставления атрибутов. Исправление находится в конфигурации сопоставления атрибутов SCIM.

  • Если затронуты только один или два пользователя, проверьте их профиль пользователя непосредственно в Entra.

Шаг 3 — проверьте утверждения токена OIDC (только приложения OIDC)

  1. В Entra Admin Center перейдите в App Registrations (не Enterprise Applications).

  2. Найдите приложение Claude OIDC и нажмите Token configuration.

  3. Проверьте дополнительное утверждение email.

  4. Сопоставьте с сопоставлением атрибутов SCIM, чтобы подтвердить, совпадают ли они.

Решение

Исправьте сопоставление атрибутов SCIM

Перейдите к приложению подготовки SCIM — не к приложению SSO/OIDC:

  1. Перейдите в Entra Admin Center → Enterprise Applications.

  2. Найдите приложение Claude SCIM. Ищите приложение с разделом Provisioning.

  3. Нажмите Provisioning → Edit provisioning → Attribute mappings.

  4. Найдите строку, где атрибут SCIM — это emails[type eq "work"].value. Нажмите на нее для редактирования.

  5. Измените Source attribute на то, что отправляет SSO — обычно mail.

  6. Также проверьте сопоставление userName и обновите при необходимости.

  7. Нажмите Save.

Запустите полную синхронизацию подготовки

Требуется полная синхронизация — дополнительная не будет работать. Вы должны запустить полный перезапуск цикла подготовки.

  1. Перейдите на страницу обзора Provisioning.

  2. Нажмите Restart provisioning.

  3. Дождитесь завершения синхронизации.

  4. Проверьте в журналах подготовки, что электронные адреса пользователей обновлены в правильном формате.

Другие статьи по теме
Несоответствие электронной почты SSO/SCIM — Google Workspace
Несоответствие электронной почты SSO/SCIM — Okta
Несоответствие электронной почты SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Настройка SSO — Microsoft Entra ID
Нашли ответ на свой вопрос?