К основному содержимому

SSO/SCIM Email Mismatch — Ping Identity

Резюме: Claude использует электронную почту в качестве основного идентификатора для сопоставления входов SSO с подготовленными местами. Продукты Ping Identity (PingOne и PingFederate) имеют гибкую многоуровневую конфигурацию атрибутов. Когда подготовка SCIM и SSO/OIDC получают данные из разных атрибутов пользователя, несоответствие блокирует доступ.

Симптомы

При попытке доступа к Claude for Enterprise через SSO пользователи могут столкнуться с одной или несколькими из следующих проблем:

  • «Создание учетной записи заблокировано» — пользователь проходит аутентификацию через SSO, но Claude не может найти соответствующую подготовленную учетную запись.

  • Переход на бесплатный личный аккаунт — если создание организации не ограничено, пользователь полностью обходит корпоративную организацию.

  • Несоответствие в запросе «Пожалуйста, подтвердите вашу электронную почту» — обратный вызов SSO показывает другой адрес электронной почты, чем тот, который пользователь ввел при входе.

  • Ошибка аутентификации Claude Code — Claude Code CLI показывает ошибку несоответствия электронной почты во время потока аутентификации.

Как это происходит

Продукты Ping Identity позволяют детальное сопоставление атрибутов на нескольких уровнях (каталог, адаптер IdP, соединитель SP, приложение). SCIM и SSO могут проходить через разные пути этих слоев, в результате чего разные значения электронной почты достигают Claude:

Атрибут Ping

Типичное значение

Обычно используется

email (PingOne)

[email protected]

Рекомендуется для SCIM и SAML/OIDC

username (PingOne)

testuser1 или [email protected]

Идентификатор входа по умолчанию; может отличаться от электронной почты

Атрибут адаптера IdP (PingFederate)

Варьируется в зависимости от типа адаптера (LDAP, HTML Form и т. д.)

Источники идентификации PingFederate

Атрибут LDAP mail

[email protected]

Электронная почта из каталога в PingFederate

LDAP sAMAccountName или uid

Может быть ID сотрудника или коротким именем пользователя

Иногда ошибочно сопоставляется с электронной почтой

Пользовательские атрибуты совокупности

Пользовательские поля, определенные для каждой среды

Расширенные конфигурации PingOne

Claude требует точного совпадения строк между электронной почтой, подготовленной через SCIM, и электронной почтой, переданной через SSO.

Примечание PingFederate: система контрактов атрибутов PingFederate особенно сложна — электронная почта может проходить через несколько слоев (LDAP → адаптер IdP → контракт адаптера → соединитель SP → утверждение). Несоответствие на любом уровне приведет к тому, что неправильное значение достигнет Claude. Отследите значение от начала до конца.

Диагностические шаги

Шаг 1 — подтвердите несоответствие (PingOne)

  1. Проверьте сопоставление атрибутов SCIM: в PingOne Admin перейдите в Connections → Applications → [Claude App] → Attribute Mappings. Найдите атрибут, сопоставленный с emails[primary].value или email. Запишите используемый атрибут пользователя PingOne.

  2. Проверьте сопоставление атрибутов SSO: в том же приложении перейдите на вкладку SAML или OIDC и найдите атрибут или утверждение, сопоставленное с email. Запишите его исходный атрибут.

  3. Если SCIM и SSO ссылаются на разные атрибуты PingOne, вы подтвердили несоответствие.

Шаг 1 (альтернативный) — подтвердите несоответствие (PingFederate)

  1. В консоли администратора PingFederate найдите SP Connection для Claude.

  2. В Attribute Contract Fulfillment найдите атрибут email и отследите его источник обратно к адаптеру IdP или хранилищу данных LDAP.

  3. Отдельно проверьте соединитель подготовки SCIM или канал исходящей подготовки для Claude и отследите источник отправляемого атрибута электронной почты.

  4. Если две трассировки приводят к разным атрибутам каталога, вы подтвердили несоответствие.

Шаг 2 — определите масштаб проблемы

Определите, затронут ли один пользователь или это системная проблема:

  • Если большинство или все подготовленные пользователи имеют одинаковое несоответствие формата электронной почты, это системная проблема сопоставления атрибутов. Решение находится в сопоставлении атрибутов SCIM вашего IdP.

  • Если затронуты только один или два пользователя, проблема, вероятно, специфична для этих учетных записей. Проверьте их профиль пользователя напрямую.

Шаг 3 — проверьте значения атрибутов для конкретного пользователя

  1. PingOne: перейдите в Identities → Users → [User] и сравните значения полей Username и Email.

  2. PingFederate с LDAP: проверьте запись LDAP пользователя и сравните mail, userPrincipalName, sAMAccountName и любые другие атрибуты, используемые в сопоставлении адаптера.

Решение

PingOne — выровняйте оба сопоставления по атрибуту электронной почты

  1. В Connections → Applications → [Claude App] откройте Attribute Mappings.

  2. Для SCIM: убедитесь, что emails[primary].value сопоставлен с атрибутом Email Address PingOne.

  3. Для SAML/OIDC: убедитесь, что атрибут или утверждение email также сопоставлены с атрибутом Email Address PingOne.

  4. Сохраните изменения.

PingFederate — выровняйте контракт атрибутов на всех уровнях

  1. В SP Connection для Claude перейдите в Attribute Contract Fulfillment.

  2. Найдите атрибут email. Убедитесь, что его источник — это тот же атрибут LDAP или хранилище данных, используемые в канале исходящей подготовки SCIM.

  3. Если используется пользовательский адаптер IdP, убедитесь, что контракт адаптера включает канонический атрибут электронной почты и что он правильно сопоставлен с соединением SP.

  4. Обновите подготовку SCIM для использования того же исходного атрибута.

Запустите полную повторную синхронизацию

Критично — требуется полная синхронизация: дополнительная синхронизация не обновит существующих пользователей после изменения сопоставления атрибутов. Вы должны запустить полный перезапуск цикла подготовки.

  1. PingOne: в параметрах подготовки приложения запустите полный цикл подготовки. Вам может потребоваться отключить и повторно включить подготовку, чтобы принудительно выполнить полную повторную отправку всех пользователей.

  2. PingFederate: запустите полную синхронизацию в канале исходящей подготовки. Проверьте журналы подготовки, чтобы подтвердить, что обновленные значения электронной почты отправляются.

  3. Убедитесь, что обновленные значения электронной почты появляются в журналах подготовки перед тем, как попросить пользователей повторить попытку входа.

Очистка после исправления

После исправления сопоставления атрибутов и завершения полной синхронизации может потребоваться дополнительная очистка:

  • Бесплатные аккаунты-нарушители: свяжитесь с Anthropic Support, чтобы удалить их.

  • Фантомные аккаунты (места с неправильной электронной почтой): свяжитесь с Anthropic Support, чтобы отменить подготовку этих фантомных аккаунтов.

  • Доступность мест: если фантомные аккаунты занимают все контрактные места, новые входы будут неудачными. Свяжитесь с поддержкой.

  • Повторное добавление затронутых пользователей: после удаления фантомных аккаунтов пользователям может потребоваться повторное приглашение или переподготовка.

Предотвращение будущих проблем: включите «Restrict organization creation» в параметрах вашего предприятия.

Проверка

  1. Проверьте образец подготовленных пользователей — убедитесь, что их электронная почта в журнале подготовки вашего IdP совпадает с форматом электронной почты, отправляемым SSO.

  2. Попросите затронутого пользователя очистить файлы cookie браузера для claude.ai, а затем войти через SSO.

  3. Убедитесь, что пользователи не случайно создают бесплатные аккаунты.

  4. Если Claude Code был затронут, попросите пользователя повторно запустить claude auth login --enterprise и подтвердить, что электронная почта совпадает с его корпоративным местом.

Распространенные ошибки

Ошибка

Решение

Поле PingOne username используется вместо email

Переключите сопоставление SCIM на атрибут Email Address PingOne.

Несоответствие атрибутов PingFederate на уровнях контракта

Отследите атрибут электронной почты от начала до конца: источник LDAP → адаптер IdP → контракт адаптера → соединитель SP → утверждение.

LDAP sAMAccountName или uid сопоставлены как источник электронной почты

Используйте атрибут LDAP mail вместо этого.

Дополнительная синхронизация подготовки не обновляет существующих пользователей

После изменения сопоставления атрибутов требуется полная повторная синхронизация.

Контракт атрибутов обновлен в PingFederate, но соединитель SCIM не обновлен

Соединение SP и канал исходящей подготовки SCIM должны быть обновлены независимо.

Электронные письма обновлены в SCIM, но пользователь все еще не может войти

Проверьте наличие бесплатных организаций-нарушителей или фантомных аккаунтов. Очистите файлы cookie браузера и повторите попытку.

Когда обращаться в Anthropic Support

  • Атрибуты SCIM и SSO выглядят идентичными, но пользователи все еще не могут получить доступ к своим местам.

  • Вам нужно подтвердить, какую электронную почту Claude записал во время подготовки SCIM для конкретных пользователей.

  • Вам нужна помощь в очистке фантомных аккаунтов или бесплатных организаций-нарушителей.

  • Пользователи получают ошибку отсутствия мест, несмотря на то, что в вашем контракте есть доступные места.

Свяжитесь с [email protected] с доменом вашей организации, адресом электронной почты затронутого пользователя и снимками экрана сопоставления атрибутов.

Другие статьи по теме
Несоответствие электронной почты SSO/SCIM — Google Workspace
Несоответствие электронной почты SSO/SCIM — Microsoft Entra ID
Несоответствие электронной почты SSO/SCIM — Okta
Несоответствие электронной почты SSO/SCIM — OneLogin
Настройка SSO — Ping Identity
Нашли ответ на свой вопрос?