К основному содержимому

Несоответствие электронной почты SSO/SCIM — Okta

Резюме: Claude использует электронную почту в качестве основного идентификатора для сопоставления входов SSO с подготовленными местами. В Okta подготовка SCIM и SSO настраиваются в отдельных разделах приложения и могут извлекать электронную почту из разных полей профиля пользователя Okta. Это руководство объясняет, как выявить и исправить несоответствие.

Симптомы

При попытке доступа к Claude for Enterprise через SSO пользователи могут столкнуться с одним или несколькими из следующих:

  • «Создание учетной записи заблокировано» — пользователь проходит аутентификацию через SSO, но Claude не может найти соответствующую подготовленную учетную запись.

  • Переход на бесплатный личный аккаунт — если создание организации не ограничено, пользователь обходит корпоративную организацию.

  • «Пожалуйста, подтвердите вашу электронную почту» несоответствие — обратный вызов SSO показывает другой адрес электронной почты, чем тот, который пользователь ввел при входе.

  • Ошибка аутентификации Claude Code — Claude Code CLI показывает ошибку несоответствия электронной почты.

Как это происходит

Профили пользователей Okta содержат несколько полей, которые представляют идентичность. Подготовка SCIM (в разделе Provisioning → To App) и SSO SAML/OIDC (в разделе Sign On) настраиваются независимо:

Атрибут Okta

Типичное значение

Обычно используется

user.login

testuser1 или [email protected]

Сопоставление userName SCIM по умолчанию; иногда NameID

user.email

[email protected]

Утверждение электронной почты SAML/OIDC (рекомендуется)

appuser.email

Переопределение электронной почты пользователя на уровне приложения

Пользовательское сопоставление атрибутов на уровне приложения

Распространенное несоответствие: SCIM использует user.login, а SAML отправляет user.email. Claude требует точного совпадения строк.

Распространенная путаница: сопоставления атрибутов SCIM в Okta и утверждения атрибутов SAML находятся на двух разных вкладках — Provisioning → To App для SCIM и Sign On для SSO. Вы должны проверить оба.

Диагностические шаги

Шаг 1 — подтвердите несоответствие

  1. Проверьте электронную почту SCIM: в консоли администратора Okta перейдите в Applications → [Claude App] → Provisioning → To App → Attribute Mappings. Найдите строку для email (или userName, если это сопоставляется с электронной почтой на стороне Claude). Столбец Value показывает выражение Okta или отправляемое поле.

  2. Проверьте электронную почту SSO (SAML): перейдите в Applications → [Claude App] → Sign On → SAML Settings → Edit → Attribute Statements. Найдите атрибут с именем email. Столбец Value показывает, какое поле Okta утверждается при входе.

  3. Проверьте электронную почту SSO (OIDC): перейдите в Applications → [Claude App] → Sign On → OpenID Connect ID Token и проверьте раздел Claims на предмет утверждения электронной почты.

  4. Если значения SCIM и SSO ссылаются на разные поля Okta, вы подтвердили несоответствие.

Шаг 2 — определите масштаб проблемы

Определите, затронут ли один пользователь или это системная проблема:

  • Если большинство или все подготовленные пользователи имеют одинаковое несоответствие формата электронной почты, это системная проблема сопоставления атрибутов, влияющая на весь ваш каталог. Исправление находится в сопоставлении атрибутов SCIM вашего IdP.

  • Если затронуты только один или два пользователя, а остальные работают нормально, проблема, вероятно, специфична для этих учетных записей пользователей. Проверьте их профиль пользователя напрямую.

Шаг 3 — проверьте профили пользователей Okta напрямую

Для отдельных затронутых пользователей проверьте фактические значения их полей:

  1. Перейдите в Directory → People → [User] → Profile.

  2. Сравните значения полей Login и Email. Если они отличаются, любое сопоставление, использующее Login или Email, создаст несоответствие.

Решение

Выровняйте оба сопоставления по одному полю Okta

Самое безопасное исправление — использовать user.email для SCIM и SSO, так как это поле содержит канонический адрес электронной почты в Okta.

  1. Обновите сопоставление SCIM: в Provisioning → To App → Attribute Mappings измените источник email (или userName) на user.email.

  2. Обновите утверждение SSO (SAML): в Sign On → SAML Settings → Attribute Statements измените значение атрибута email на user.email.

  3. Обновите утверждение SSO (OIDC): в Sign On → OpenID Connect ID Token → Claims обновите утверждение электронной почты для сопоставления с user.email.

  4. Нажмите Save.

Принудительная полная повторная синхронизация

Критично — требуется полная синхронизация: дополнительная синхронизация не обновит существующих пользователей после изменения сопоставления атрибутов. Вы должны запустить полный перезапуск цикла подготовки.

  1. В Provisioning → To App нажмите Force Sync, чтобы запустить полную переоценку всех назначенных пользователей.

  2. Или для целевых пользователей: Provisioning → Push Users → выберите затронутых пользователей → Push Now.

  3. Проверьте системный журнал Okta (Reports → System Log) на предмет ошибок подготовки.

  4. Убедитесь, что обновленные значения электронной почты появляются в журналах подготовки перед тем, как попросить пользователей повторить попытку входа.

Очистка после исправления

После исправления сопоставления атрибутов и завершения полной синхронизации вам может потребоваться дополнительная очистка в зависимости от вашей ситуации:

  • Неправильные бесплатные аккаунты: если создание организации не было ограничено до исправления, некоторые пользователи могли случайно создать бесплатные личные аккаунты Claude. Свяжитесь с Anthropic Support, чтобы удалить их.

  • Фантомные аккаунты (места с неправильной электронной почтой): первоначально подготовленные аккаунты (с неправильной электронной почтой) могут все еще существовать в вашей корпоративной организации, занимая места, которые никогда не смогут быть использованы. Свяжитесь с Anthropic Support, чтобы отозвать эти фантомные аккаунты.

  • Доступность мест: если фантомные аккаунты занимают все контрактные места, новые входы будут неудачными с ошибкой нехватки мест даже после исправления сопоставления. Свяжитесь с поддержкой, если вы столкнулись с этим.

  • Повторное добавление затронутых пользователей: после удаления фантомных аккаунтов пользователи с исправленной электронной почтой могут нуждаться в повторном приглашении или переподготовке.

Предотвращение будущих проблем: включите «Restrict organization creation» в параметрах вашей корпоративной организации. Это предотвращает случайное создание бесплатных личных аккаунтов пользователями, которые еще не подготовлены.

Проверка

После завершения исправления и любой очистки проверьте следующее:

  1. Проверьте образец подготовленных пользователей — убедитесь, что их электронная почта в журнале подготовки вашего IdP соответствует формату электронной почты, отправляемому SSO.

  2. Попросите затронутого пользователя очистить кэш браузера для claude.ai, затем войти через SSO. Он должен перейти непосредственно в корпоративное рабочее пространство без каких-либо ошибок.

  3. Убедитесь, что пользователи не случайно создают бесплатные аккаунты — если создание организации ограничено, заблокированные пользователи увидят четкую ошибку вместо перехода на личный аккаунт.

  4. Если Claude Code был затронут, попросите пользователя повторно запустить claude auth login --enterprise и подтвердить, что электронная почта соответствует их корпоративному месту.

Распространенные ошибки

Ошибка

Решение

Администратор обновляет утверждения SAML, но забывает сопоставления атрибутов SCIM (или наоборот)

Оба должны быть обновлены. Сопоставления SCIM находятся в Provisioning → To App; утверждения SAML находятся в Sign On → SAML Settings.

user.login содержит имя пользователя (не электронную почту) для некоторых пользователей

Переключитесь на user.email для обоих и убедитесь, что поля электронной почты заполнены для всех пользователей.

Дополнительная синхронизация выполняется, но электронные письма не обновляются

Force Sync или Push Users требуется после изменения сопоставления атрибутов.

Атрибут профиля на уровне приложения (appuser.email) отличается от профиля пользователя (user.email)

Проверьте, переопределяют ли сопоставления атрибутов на уровне приложения значения профиля пользователя.

Электронные письма обновлены, но пользователь все еще не может войти

Ищите неправильные бесплатные организации или фантомные аккаунты. Очистите кэш браузера и повторите попытку. Свяжитесь с Anthropic Support, если проблема сохраняется.

Приложения OIDC и SAML — это отдельные приложения Okta для Claude

Некоторые организации настраивают оба. Убедитесь, что выравнивание атрибутов проверено в обоих приложениях.

Когда обращаться в Anthropic Support

  • Атрибуты SCIM и SSO выглядят идентичными, но пользователи все еще не могут получить доступ к своим местам.

  • Вам нужно подтвердить, какую электронную почту Claude записал во время подготовки SCIM для конкретных пользователей.

  • Вам нужна помощь в очистке фантомных аккаунтов или неправильных бесплатных организаций.

  • Пользователи получают ошибку нехватки мест, несмотря на то, что ваш контракт имеет доступные места.

Свяжитесь с [email protected] с доменом вашей организации, адресом электронной почты затронутого пользователя и снимками экрана ваших сопоставлений атрибутов.

Другие статьи по теме
Несоответствие электронной почты SSO/SCIM — Google Workspace
Несоответствие электронной почты SSO/SCIM — Microsoft Entra ID
Несоответствие электронной почты SSO/SCIM — OneLogin
SSO/SCIM Email Mismatch — Ping Identity
Настройка SSO — Okta
Нашли ответ на свой вопрос?