К основному содержимому

Несоответствие электронной почты SSO/SCIM — OneLogin

Резюме: Claude использует электронную почту в качестве основного идентификатора для сопоставления входов SSO с подготовленными местами. В OneLogin подготовка SCIM и SSO SAML настраиваются на отдельных вкладках приложения и могут ссылаться на разные поля профиля пользователя, что вызывает несоответствие и блокирует доступ.

Симптомы

При попытке доступа к Claude for Enterprise через SSO пользователи могут столкнуться с одной или несколькими из следующих проблем:

  • «Создание учетной записи заблокировано» — пользователь проходит аутентификацию через SSO, но Claude не может найти соответствующую подготовленную учетную запись. Если в вашей организации ограничено создание организаций (рекомендуется), пользователь полностью заблокирован и не может продолжить.

  • Переход на бесплатный личный аккаунт — если создание организации не ограничено, пользователь обходит корпоративную организацию и создает или переходит на бесплатный личный аккаунт вместо своего корпоративного места.

  • Несоответствие «Пожалуйста, подтвердите вашу электронную почту» — обратный вызов SSO показывает другой адрес электронной почты, чем тот, который пользователь ввел при входе.

  • Ошибка аутентификации Claude Code — Claude Code CLI показывает ошибку несоответствия электронной почты во время потока аутентификации.

Как это происходит

Профили пользователей OneLogin содержат отдельные поля для имени пользователя и электронной почты, которые могут содержать разные значения. Параметры подготовки SCIM и утверждения атрибутов SAML настраиваются независимо и могут каждый извлекать данные из разного поля:

Поле OneLogin

Типичное значение

Обычно используется

Username

testuser1 или [email protected]

Иногда используется в сопоставлении SCIM userName

Email

[email protected]

Рекомендуется для SCIM и SAML

Login Name

Может отличаться от электронной почты, если SSO используется для входов без электронной почты

Устаревшие или пользовательские конфигурации

Пользовательские поля пользователя

Пользовательские атрибуты, определенные для каждой организации

Расширенные сопоставления атрибутов

Распространенное несоответствие: вкладка параметров SCIM сопоставляет атрибут электронной почты с Username (который может быть идентификатором сотрудника или коротким именем), а утверждение атрибута SAML отправляет поле Email. Claude требует точного совпадения строк.

Распространенная путаница: параметры SCIM и утверждения атрибутов SAML в OneLogin находятся на разных вкладках одного приложения — Parameters для SCIM и SSO (или Parameters с полями, специфичными для SAML) для SSO. Обе должны быть проверены и согласованы.

Диагностические шаги

Шаг 1 — подтвердите несоответствие

  1. Проверьте электронную почту SCIM: в портале администратора OneLogin перейдите в Applications → [Claude App] → Parameters. Найдите поле, сопоставленное с электронной почтой, которую получает Claude. Обратите внимание на столбец OneLogin value — он показывает, какое поле пользователя отправляется.

  2. Проверьте электронную почту SAML: в том же приложении перейдите на вкладку SSO. Нажмите More Actions → Edit SAML Response или проверьте раздел SAML Attribute Statements. Найдите атрибут для email и обратите внимание на его исходное поле.

  3. Проверьте конкретного пользователя: в Users → [User] сравните поля Username и Email пользователя. Если они отличаются, любое сопоставление, использующее одно или другое, вызовет несоответствие.

Шаг 2 — определите масштаб проблемы

Определите, затронут ли один пользователь или это системная проблема:

  • Если большинство или все подготовленные пользователи имеют одинаковое несоответствие формата электронной почты, это системная проблема сопоставления атрибутов, влияющая на весь ваш каталог. Исправление находится в сопоставлении атрибутов SCIM вашего IdP.

  • Если затронуты только один или два пользователя, а остальные работают нормально, проблема, вероятно, специфична для этих учетных записей пользователей. Проверьте их профиль пользователя напрямую.

Шаг 3 — проверьте значения полей пользователя

  1. Перейдите в Users → [Affected User] → User Info.

  2. Проверьте оба поля Username и Email.

  3. Если Username имеет формат, который не соответствует действительному адресу электронной почты, SCIM может отправлять недействительное или несоответствующее значение.

Решение

Согласуйте оба сопоставления с полем Email

Поле Email в OneLogin является наиболее надежным источником для SCIM и SAML, так как оно предназначено для хранения действительного адреса электронной почты.

  1. Обновите параметр SCIM: в Applications → [Claude App] → Parameters найдите строку для атрибута электронной почты, который получает Claude. Измените Value на Email (поле Email пользователя OneLogin).

  2. Обновите утверждение атрибута SAML: на вкладке SSO (или Parameters для атрибутов SAML) обновите значение атрибута email, чтобы использовать то же поле Email.

  3. Нажмите Save.

Запустите полную повторную синхронизацию

Критично — требуется полная синхронизация: добавочная синхронизация не обновит существующих пользователей после изменения сопоставления атрибутов. Вы должны запустить полный перезапуск цикла подготовки.

  1. На вкладке Provisioning приложения найдите опцию Re-sync или Sync All и запустите ее.

  2. Для повторной подготовки отдельных пользователей: перейдите в Users → [User] → Applications, найдите приложение Claude и используйте Re-provision.

  3. Проверьте журнал активности подготовки OneLogin на предмет ошибок.

  4. Убедитесь, что обновленные значения электронной почты появляются в журнале перед тем, как попросить пользователей повторить попытку входа.

Очистка после исправления

После исправления сопоставления атрибутов и завершения полной синхронизации может потребоваться дополнительная очистка в зависимости от вашей ситуации:

  • Несанкционированные бесплатные аккаунты: если создание организации не было ограничено до исправления, некоторые пользователи могли случайно создать бесплатные личные аккаунты Claude. Свяжитесь с Anthropic Support, чтобы удалить их.

  • Фантомные аккаунты (места с неправильной электронной почтой): первоначально подготовленные аккаунты (с неправильной электронной почтой) могут по-прежнему существовать в вашей корпоративной организации, занимая места, которые никогда не могут быть использованы. Свяжитесь с Anthropic Support, чтобы отменить подготовку этих фантомных аккаунтов.

  • Доступность мест: если фантомные аккаунты занимают все контрактные места, новые входы будут неудачными с ошибкой нехватки мест даже после исправления сопоставления. Свяжитесь с поддержкой, если вы столкнулись с этим.

  • Повторное добавление затронутых пользователей: после удаления фантомных аккаунтов пользователи с исправленной электронной почтой могут нуждаться в повторном приглашении или повторной подготовке.

Предотвращение будущих проблем: включите «Restrict organization creation» в параметрах вашей корпоративной организации.

Проверка

После завершения исправления и любой очистки проверьте следующее:

  1. Проверьте образец подготовленных пользователей — убедитесь, что их электронная почта в журнале подготовки вашего IdP соответствует формату электронной почты, отправляемому SSO.

  2. Попросите затронутого пользователя очистить кэш браузера для claude.ai, затем войти через SSO.

  3. Убедитесь, что пользователи не случайно создают бесплатные аккаунты.

  4. Если Claude Code был затронут, попросите пользователя повторно запустить claude auth login --enterprise и подтвердить, что электронная почта соответствует его корпоративному месту.

Распространенные ошибки

Ошибка

Решение

Поле Username содержит короткое имя или идентификатор сотрудника, а не электронную почту

Переключите SCIM на использование поля Email.

Атрибуты SAML обновлены, но параметры SCIM не были изменены

Вкладка Parameters (для SCIM) и атрибуты SSO/SAML должны быть обновлены независимо.

Повторная синхронизация не запускается

Попробуйте удалить и переназначить отдельных затронутых пользователей из приложения.

Пользовательские поля сопоставлены, но пусты для некоторых пользователей

Переключитесь на стандартное поле Email.

Электронные письма обновлены в SCIM, но пользователь по-прежнему не может войти

Проверьте наличие несанкционированных бесплатных организаций или фантомных аккаунтов. Очистите кэш браузера и повторите попытку.

«Invite domain not allowed» при попытке повторного добавления пользователей

Домен вашей организации может быть не проверен в Claude. Свяжитесь с Anthropic Support.

Когда обращаться в Anthropic Support

  • Атрибуты SCIM и SSO выглядят идентичными, но пользователи по-прежнему не могут получить доступ к своим местам.

  • Вам нужно подтвердить, какую электронную почту Claude записал во время подготовки SCIM для конкретных пользователей.

  • Вам нужна помощь в очистке фантомных аккаунтов или несанкционированных бесплатных организаций.

  • Пользователи получают ошибку нехватки мест, несмотря на то, что в вашем контракте есть доступные места.

Свяжитесь с [email protected] с указанием домена вашей организации, адреса электронной почты затронутого пользователя и снимков экрана ваших сопоставлений атрибутов.

Другие статьи по теме
Несоответствие электронной почты SSO/SCIM — Google Workspace
Несоответствие электронной почты SSO/SCIM — Microsoft Entra ID
Несоответствие электронной почты SSO/SCIM — Okta
SSO/SCIM Email Mismatch — Ping Identity
Настройка SSO — OneLogin
Нашли ответ на свой вопрос?