К основному содержимому

Настройка разрешений на основе ролей в планах Enterprise

Это руководство проведет вас через процесс настройки разрешений на основе ролей для вашей организации Enterprise. Это позволяет вам контролировать, какие функции и коннекторы могут использовать определенные команды или группы участников, и делегировать специфический доступ администратора, такой как выставление счетов или управление пользователями, вместо того чтобы давать всем одинаковые разрешения.

Перед началом убедитесь, что вы знакомы с:


Перед началом

Вам потребуется доступ Owner или Primary Owner к вашей организации Enterprise, или пользовательская роль с Identity & Access установленной на Manage.

Примечание: Некоторые из этих шагов требуют больше, чем пользовательская роль Identity & Access: включение функций на уровне организации требует роли Owner, а изменение ролей участников требует User Management установленной на Manage.

Проверьте, какие возможности включены на уровне организации. Перейдите в Organization settings и убедитесь, что вы знаете, какие возможности участники могут использовать в настоящее время. Для параметров, управляемых RBAC, требуется, чтобы как параметр организации, так и параметр роли были включены, чтобы пользователи получили доступ.

Создайте резервную копию списка участников. Экспортируйте CSV ваших текущих участников из Organization settings > Members перед внесением каких-либо изменений. Если что-то пойдет не так во время миграции, это даст вам справку для восстановления доступа. См. Управление участниками в планах Team и Enterprise.

Определите, какие команды или функции нуждаются в каждой возможности. Например, Engineering получает Claude Code + Fast Mode, а Marketing получает Cowork + Web Search. Отсюда определите ваши пользовательские роли.

Планы с двойными местами. Если ваша организация находится на плане Enterprise с двойными местами (с местами Chat и Chat + Claude Code), пользовательские роли не переопределяют ограничения на уровне места. Участник, назначенный на место только для Chat, не может получить доступ к Claude Code, даже если его пользовательская роль это разрешает. То же самое применяется в обратном направлении: если пользовательская роль участника не предоставляет возможность chat, они не будут иметь доступ к chat независимо от типа их места. Планируйте структуру ролей с учетом назначений мест.

Примечание: "Chat + Claude Code" относится к типу места в устаревших планах с двойными местами. Возможность "chat" в пользовательских ролях отдельна — она управляет доступом к chat для любого участника, чья роль установлена на "Custom" в любом плане.

Решите, как вы будете создавать группы. Вы можете создавать группы вручную в Claude или синхронизировать их из вашего поставщика идентификации (IdP) через SCIM. Вы также можете использовать оба метода одновременно. Если вы планируете использовать группы IdP от Okta, Entra ID или другого поставщика, убедитесь, что синхронизация каталога SCIM настроена. См. Настройка JIT или SCIM provisioning.

Добавьте коннекторы, которыми вы планируете управлять. Разрешения коннектора охватывают только коннекторы, которые Owner или Primary Owner уже добавил в Organization settings > Connectors и подключил с учетными данными администратора. Также проверьте вашу политику инструментов на уровне организации там, так как разрешения ролей сужаются в ней и не могут расширяться за ее пределы. См. Использование коннекторов для расширения возможностей Claude.


Планирование структуры ролей

Перед созданием чего-либо решите, какие функции должны быть доступны каждой команде или группе участников. Вот четыре распространенных паттерна:

Базовые плюс дополнительные роли

Это рекомендуемый подход для большинства организаций. Создайте роль "Standard Access" для всех с общими функциями, такими как веб-поиск, память и проекты. Затем создайте дополнительные роли, которые предоставляют специфические возможности — например, роль "Cowork Enabled", которая только добавляет Cowork. Назначьте всех участников базовой роли через группу "All Users" и добавьте конкретных участников в дополнительные группы, которые добавляют дополнительные функции.

Этот паттерн гибкий, потому что разрешения являются дополнительными — объединение базовой роли с дополнительными ролями хорошо компонуется без конфликтов.

Роли на основе уровней

Создайте отдельные уровни: "Full Access" со всеми функциями, "Standard Access" с большинством функций и "Restricted Access" с минимальными функциями. Каждый участник входит ровно в одну группу, назначенную одному уровню.

Роли на основе отделов

Создайте роли, которые соответствуют отделам: "Engineering" с chat, Cowork, Claude Code и выполнением кода; "Research" с chat, веб-поиском, памятью и проектами; "Business" с chat, веб-поиском и только проектами. Назначьте каждую группу отдела соответствующей роли.

Роли делегирования администратора

Создайте роли, которые делегируют части администрирования без предоставления роли Owner. Пользовательская роль с разрешениями администратора не нуждается в каких-либо возможностях пользователя, и наоборот. Вы можете создать роль "Finance", которая предоставляет доступ к Billing, но не к chat или Claude Code, или роль "Engineering Lead", которая предоставляет Claude Code плюс доступ к просмотру Analytics. Узнайте больше о разрешениях администратора для пользовательских ролей.


Шаг 1: Проверьте ваши текущие параметры

  1. Проверьте, какие функции в настоящее время включены или отключены на уровне организации в Organization settings > Capabilities.

  2. Перейдите в Organization settings > Members, чтобы экспортировать или просмотреть список участников.

  3. Отметьте текущую встроенную роль каждого участника (User, Admin или Owner).

  4. Для каждой команды или отдела решите, какие функции им нужны.

Изображение страницы Organization settings в Claude с рамкой вокруг раздела People, который содержит три опции: Members, Groups и Roles.

Помните: любая функция, которую вы хотите контролировать для каждой группы, должна быть включена на уровне организации. Если функция отключена на уровне организации, ни одна пользовательская роль не может предоставить доступ к ней.

Важно: В отличие от участников с ролью User, участники, назначенные пользовательским ролям, не автоматически наследуют возможности, включенные организацией. Каждая возможность, которая нужна участнику с ролью "Custom", должна быть явно предоставлена пользовательской ролью, назначенной одной из их групп.


Шаг 2: Создайте пользовательские роли

Создайте ваши пользовательские роли перед включением каких-либо функций или миграцией участников. Это гарантирует, что ваши роли готовы обеспечивать доступ в момент включения функций.

  1. Перейдите в Organization settings > Roles.

  2. Нажмите "Add role."

  3. Назовите роль и переключите соответствующие возможности на вкладке Capabilities.

  4. На вкладке Permissions установите разрешения администратора для роли. См. Шаг 3.

  5. На вкладке Connectors установите разрешения коннектора для роли. См. Шаг 4.

  6. На вкладке Models установите доступ к модели и модель по умолчанию для роли. См. Шаг 5.

  7. Нажмите "Save role."

  8. Повторите для каждой роли в вашем плане.

Изменения ролей могут занять до 15 минут, чтобы вступить в силу. Участникам может потребоваться обновить браузер, чтобы увидеть обновленный доступ.

См. Управление пользовательскими ролями в планах Enterprise для получения подробной информации о доступных возможностях, разрешениях администратора и коннекторах.


Шаг 3: Настройте разрешения администратора (опционально)

Установите разрешения администратора для каждой роли, чтобы делегировать доступ к параметрам администратора, таким как выставление счетов, управление пользователями или конфиденциальность, без предоставления роли Owner. Этот шаг опционален. Если вы его не настроите, роли не предоставляют доступ администратора и администрирование остается с Owners и Primary Owners. Для информации о том, что охватывает каждая область разрешений, см. Управление пользовательскими ролями в планах Enterprise.

Найдите вкладку Permissions

  1. Откройте существующую роль или нажмите «Добавить роль» для создания новой.

  2. Выберите вкладку Разрешения между Возможностями и Соединители.

Установка разрешений администратора

На вкладке Разрешения перечислены все области администратора: управление идентификацией и доступом, выставление счетов, аналитика, конфиденциальность, управление пользователями и библиотеки. Установите для каждой области администратора один из следующих параметров:

  • Нет доступа: участник не видит эту область в параметрах своей организации.

  • Может просматривать: просмотр предоставляет доступ только для чтения. Участник видит те же страницы и параметры, что и тот, кто может управлять этой областью, но все элементы управления отключены или отображаются как доступные только для чтения. Используйте этот уровень разрешений для проверяющих соответствие, аудиторов финансов, команд безопасности или всех, кому нужно видеть конфигурацию без ее изменения.

  • Может управлять: управление предоставляет полный доступ на чтение и запись к области и включает доступ для просмотра.

В пределах области вы предоставляете все разрешения на просмотр или все разрешения на управление. Вы не можете предоставлять или ограничивать отдельные страницы или параметры.

Примечание: роль с управлением идентификацией и доступом может создавать и редактировать группы и роли, включая определение собственной роли. Участники с этим разрешением могут расширить свой собственный доступ, поэтому зарезервируйте его для доверенных администраторов безопасности и ИТ.

Проверка применения

Проверьте разрешения администратора после переноса участников на роли «Пользовательские» (шаг 7). См. Шаг 11: проверка и мониторинг.


Шаг 4: настройка разрешений соединителя (необязательно)

Установите разрешения соединителя для каждой роли, чтобы контролировать, какие соединители и какие инструменты на этих соединителях может использовать роль. Этот шаг необязателен. Если вы его не настроите, ваши роли вернутся к поведению по умолчанию, описанному ниже. Чтобы узнать, как модель разрешений работает от начала до конца, см. Управление пользовательскими ролями в планах Enterprise.

Важно: когда Anthropic включает разрешения соединителя для вашей организации, каждая существующая пользовательская роль заполняется разрешением «Все соединители» с параметром «Всегда разрешить». Поскольку «Всегда разрешить» — это наиболее разрешающее разрешение, только политика инструментов на уровне организации определяет эффективный потолок доступа каждого участника при включении. Участники не получают и не теряют доступ при включении. Ваш первый проход конфигурации сужает эту базовую линию.

Примечание: вновь созданная роль по умолчанию имеет параметр «Требуется одобрение» для каждого соединителя. Процесс создания роли проходит через вкладку «Соединители», чтобы вы увидели это значение по умолчанию перед сохранением. Повысьте соединитель до «Всегда разрешить» или понизьте его до «Заблокировано» по мере необходимости.

Найдите вкладку «Соединители»

  1. Откройте существующую роль или нажмите «Добавить роль» для создания новой.

  2. Выберите вкладку Соединители рядом с Разрешения.

Параметры по умолчанию для новых ролей являются разрешающими. При создании или изменении роли подтвердите параметры на каждой вкладке, чтобы избежать предоставления непредусмотренных разрешений.

Установка разрешений на уровне соединителя

На вкладке Соединители в верхней части находится строка Все соединители, за которой следуют все соединители, добавленные вашей организацией. Каждая строка имеет раскрывающееся меню с четырьмя параметрами:

  • Всегда разрешить: все инструменты на соединителе доступны, и участники могут установить свое одобрение на «Всегда разрешить».

  • Требуется одобрение: все инструменты доступны, но участники подтверждают каждый вызов.

  • Заблокировано: соединитель скрыт от участников с этой ролью.

  • Пользовательское: установите каждый инструмент на соединителе отдельно. См. раздел «Установка разрешений для отдельных инструментов» ниже.

Выбор «Всегда разрешить», «Требуется одобрение» или «Заблокировано» применяет этот уровень ко всем инструментам на соединителе. Строка Все соединители работает аналогично на один уровень выше: она устанавливает базовый уровень для каждого соединителя одновременно, включая любой соединитель, который вы добавите позже. Используйте его для установки значения по умолчанию роли, а затем переопределите отдельные соединители.

Установка разрешений для отдельных инструментов

Установите соединитель на Пользовательское, чтобы отобразить его инструменты как отдельные строки. Каждый инструмент имеет собственное раскрывающееся меню: «Всегда разрешить», «Требуется одобрение» или «Заблокировано».

Разрешения для отдельных инструментов позволяют роли получить доступ к части соединителя. Например, если Jira установлен на Пользовательское, его инструмент search_issues установлен на «Требуется одобрение» и все остальные инструменты Jira установлены на «Заблокировано», участники с этой ролью могут искать в Jira, но ничего больше. Claude видит только инструменты, которые вы предоставили, поэтому просьба создать билет возвращает «У меня нет инструмента для этого» вместо ошибки.

Проверка конфликтов между ролями

Поскольку разрешения соединителя являются аддитивными для ролей, блокировка соединителя в одной роли не влияет на участника, который также имеет другую роль, которая его предоставляет. Каждая строка соединителя показывает предупреждение, когда другие роли предоставляют один и тот же соединитель на другом уровне. Предупреждение называет эти роли и ссылается на них, и применяется наиболее разрешающее разрешение.

Если у вас есть несохраненные изменения при открытии связанной роли, вам будет предложено сначала их отменить.

Проверка применения

Проверьте разрешения соединителя после переноса участников на роли «Пользовательские» (шаг 7). См. Шаг 11: проверка и мониторинг.

Важно: если ваша организация использует Claude Code, включение разрешений соединителя также применяет политику инструментов на уровне организации к Claude Code. Это может только сузить доступ к инструментам там, никогда не расширить его, и это влияет на всех участников. Перед включением проверьте политику инструментов на уровне организации, если Claude Code широко развернут. Разрешения соединителя и управляемые параметры Claude Code объединяются по наиболее ограничивающему. См. Параметры Claude Code.


Шаг 5: настройка доступа к модели (необязательно)

Установите доступ к модели для каждой роли, чтобы контролировать, какие модели Claude может использовать роль, ограничить максимальный уровень усилий для каждой модели и выбрать модель, на которой начинаются новые беседы. Этот шаг необязателен; если вы его не настроите, новые роли смогут использовать каждую модель, которая включена на уровне организации, на любом уровне усилий и начинаются с модели по умолчанию организации.

Чтобы узнать, как параметры доступа к модели и модели по умолчанию работают от начала до конца, см. Управление доступом к модели для вашей организации и Установка модели по умолчанию для вашей организации.

Найдите вкладку «Модели»

  1. Откройте существующую роль или нажмите «Добавить роль» для создания новой.

  2. Выберите вкладку Модели рядом с Соединители.

Установка доступа к модели

В разделе Доступ к модели включите или отключите каждую модель для этой роли. Модели, отключенные на уровне организации, отображаются, но не могут быть включены здесь, пока вы не включите их для организации в Параметры организации > Модели. Модели Haiku всегда включены и не могут быть отключены.

Чтобы ограничить уровень усилий, который роль может выбрать для модели, нажмите значок шестеренки рядом с моделью и выберите уровень.

В разделе Модель по умолчанию при необходимости выберите модель, на которой начинаются новые беседы для этой роли. Можно выбрать только модели, к которым роль имеет доступ.

Проверка применения

Проверьте доступ к модели после переноса участников на роли «Пользовательские». См. Шаг 11: проверка и мониторинг.


Шаг 6: Создание групп и назначение ролей

  1. Нажмите «Добавить группу», чтобы создать группу для каждой команды или уровня в вашем плане.

  2. Добавьте участников в соответствующие группы.

  3. Назначьте каждой группе пользовательские роли, созданные на шаге 2.

Если вы используете синхронизацию каталога SCIM, вы можете синхронизировать группы из вашего поставщика удостоверений вместо их ручного создания. Подробнее о синхронизации групп SCIM см. в разделе Управление группами и лимитами расходов групп в планах Enterprise.

Несколько организаций под одной родительской организацией: Группы управляются на уровне родительской организации и распространяются на все дочерние организации. Вы можете видеть участников из других организаций в списке группы — это не означает, что они имеют доступ к вашей организации. Пользовательские роли, назначенные группе, предоставляют возможности только участникам, которые являются частью вашей конкретной организации.

Если вы запросите перемещение организации от одной родительской организации к другой (это редко встречается на практике), группы и роли станут неопределенными, и вам потребуется их пересоздать.

Важно: Если ваша организация использует режим «Только по приглашениям» или JIT-подготовку, вы можете использовать только вручную созданные группы для RBAC. Синхронизированные группы SCIM не поддерживаются в этих режимах.


Шаг 7: Проверка назначений групп и ролей

Перед миграцией участников на пользовательские роли убедитесь, что каждый участник, которого вы планируете перенести, находится по крайней мере в одной группе, назначенной пользовательской роли. Участники, перенесенные без покрытия группой или ролью, потеряют доступ ко всем управляемым функциям.

  1. Используйте фильтры «Роль» и «Группа» для определения участников, которые не назначены ни одной группе.

  2. Кроме того, нажмите «Экспортировать CSV», чтобы загрузить полный список участников со столбцами ролей и групп для проверки.

  3. Добавьте всех неназначенных участников в соответствующие группы перед продолжением.


Шаг 8: Миграция участников на пользовательские роли

Чтобы возможности пользовательской роли вступили в силу, участники должны иметь роль, установленную на «Пользовательская». Участники с ролями «Пользователь», «Администратор» или «Владелец» получают свои разрешения непосредственно из этих ролей, а не из пользовательских ролей.

Важно: Выполните этот шаг только после того, как вы создали пользовательские роли, настроили разрешения администратора и соединителя, если вы их используете, создали группы и проверили, что все участники назначены группам. Участники, перенесенные на пользовательские роли до завершения настройки, немедленно потеряют доступ ко всем управляемым функциям и своей предыдущей роли. Переключение владельца или администратора на пользовательские роли удаляет их доступ владельца или администратора, поэтому не переносите владельцев или администраторов, если вы не намерены заменить этот доступ разрешениями пользовательской роли.

Выберите путь миграции в зависимости от того, включила ли ваша организация уже сопоставление групп:

Путь A: Включение сопоставления групп (только если уже используется)

Используйте этот путь только если ваша организация уже включила сопоставление групп для назначения ролей. Если вы еще не используете этот параметр, перейдите к пути B.

  1. В разделе сопоставления ролей назначьте группы IdP, которые вы хотите управлять пользовательскими ролями, роли «Пользовательская».

  2. Сохраните изменения. Участники в этих группах IdP переносятся на роли «Пользовательская» при следующей синхронизации.

Участники в группах IdP, сопоставленных с ролями «Пользовательская», следуют разрешениям пользовательских ролей, назначенных их группам в Claude. Участники в группах IdP, сопоставленных с «Пользователь», следуют параметрам возможностей на уровне организации. Если участник находится в группах в обоих сопоставлениях, роли «Пользовательская» имеют приоритет.

Путь B: Инструмент массового назначения

Используйте этот путь, если ваша организация не включила сопоставление групп.

Предупреждение: Если вы еще не включили сопоставление групп, не включайте его во время настройки RBAC. Включение его без предварительного назначения всех участников сопоставленным группам может привести к потере доступа участников к вашей организации.

  1. Используйте фильтры «Роль» и «Группа» для выбора участников, которых вы хотите перенести.

  2. Используйте инструмент массового назначения в таблице «Участники» для изменения роли выбранных участников на «Пользовательская».

Рекомендуется сначала перенести пилотную группу — одну команду или отдел — и проверить, что их доступ правильный, прежде чем расширять на остальную организацию.

Постепенное внедрение

Независимо от того, какой путь вы используете, рекомендуется выполнять миграцию поэтапно:

  1. Начните с пилотной группы из одной команды или отдела.

  2. После миграции проверьте, что пилотная группа имеет правильный доступ к функциям на основе назначений их группы и роли.

  3. Если что-то не так, переключите затронутых участников обратно на их предыдущую роль, пока вы вносите коррективы.

  4. Расширьте на большее количество участников после того, как вы подтвердили, что настройка работает.


Шаг 9: Включение функций на уровне организации

Включайте функции на уровне организации только после завершения ролей, групп и миграции участников. Это гарантирует, что возможности пользовательской роли уже установлены, без окна, в котором неавторизованные участники могли бы получить доступ к функции.

Для любой функции, которую вы хотите контролировать по группам:

  1. Перейдите на страницу параметров функции в Параметры организации (например, Параметры организации > Cowork).

  2. Включите функцию на уровне организации.

Включение функции на уровне организации не означает, что все ее получат — разрешения пользовательской роли уже установлены для контроля того, кто может ее использовать. Думайте о переключателе на уровне организации как о том, чтобы сделать функцию «доступной для назначения на основе ролей» вместо «включенной для всех».


Шаг 10: Применение лимита расходов группы (только для организаций на основе использования)

Перейдите на страницу «Использование», чтобы назначить ежемесячный лимит расходов на пользователя любой группе.

Обратите внимание на следующие правила приоритета:

  • Индивидуальные лимиты всегда переопределяют групповые лимиты, независимо от того, какой выше.

  • Если пользователь принадлежит нескольким группам с разными лимитами, параметр Лимит расходов для нескольких групп в разделе Стандартные значения расходов определяет, применяется ли более высокий или более низкий лимит.

  • Лимиты на уровне организации остаются жестким потолком.

Изменения членства вступают в силу автоматически — пользователи получают или теряют ограничения сразу же при изменении членства в группе. Применимо только для организаций с тарификацией на основе использования.


Шаг 11: Проверка и мониторинг

  1. Выборочная проверка доступа: Откройте меню "⋮" с правой стороны строки участника в Organization settings > Members и выберите "View effective role." Модальное окно показывает все возможности, разрешения администратора и соединители, которые есть у участника во всех его ролях, с меткой "Granted by", указывающей, какая роль предоставляет каждое из них. Вы можете сделать то же самое для группы из Organization settings > Groups. Для получения дополнительной информации см. Manage custom roles on Enterprise plans.

  2. Протестируйте ограниченное состояние: Войдите как (или попросите) участника, который не должен иметь функцию, такую как Cowork. Он должен увидеть её затемнённой с сообщением "Contact your admin to request access to this feature."

  3. Протестируйте предоставленное состояние: Подтвердите, что участник, который должен иметь функцию, видит её работающей нормально.

  4. Проверьте граничные случаи: Протестируйте участников в нескольких группах, участников без группы и новых участников, присоединяющихся через SSO.

Если вы настроили разрешения администратора, также проверьте:

  • Назначения групп и ролей: Владельцы могут проверить доступ участника, проверив его назначения групп на странице Members и роли, назначенные этим группам на странице Roles.

  • Параметры организации: В параметрах организации участник видит только разделы, которые охватывают его разрешения администратора. Всё остальное скрыто от его параметров. Участники с доступом на просмотр видят страницы как доступные только для чтения, с отключёнными элементами управления.

  • Доступ к аналитике: Участники с доступом к аналитике будут просматривать аналитику в Settings > Analytics, а не в параметрах организации.

Если вы настроили разрешения соединителя, также проверьте:

  • Меню соединителя: заблокированные соединители не отображаются, а соединители с хотя бы одним предоставленным инструментом отображаются.

  • Параметры соединителя: заблокированные инструменты затемнены с сообщением "This tool is not enabled for your role. Contact your administrator." Инструменты с ограничением "Needs approval" показывают личное меню одобрения, ограниченное опциями "Ask" и "Never."

  • В разговоре: попросите Claude использовать заблокированный инструмент, и он сообщит, что у него нет инструмента для этой задачи. Попросите его использовать инструмент "Needs approval", и появится запрос на одобрение без опции "Always allow".

Если вы настроили доступ к модели, также проверьте:

  • Выбор модели: отключённые модели не отображаются, и меню усилий останавливается на ограничении роли.

  • В разговоре: попросите участника переключиться на отключённую модель. Она не должна быть указана, и в Claude Code CLI команда /model <disabled-model> возвращает ошибку.

Изменения ролей могут вступить в силу в течение 15 минут на всей платформе. Участникам может потребоваться обновить браузер, чтобы увидеть обновленный доступ.


Использование SCIM с возможностями на основе ролей

SCIM подключается к вашим возможностям на основе ролей через два механизма, которые работают вместе.

Сопоставление групп IdP с ролями

Это контролирует, какую встроенную роль получает участник при его подготовке. Сопоставьте ваши группы IdP с ролями "Custom", чтобы доступ новых участников автоматически управлялся возможностями пользовательской роли.

  1. В таблице сопоставления ролей сопоставьте ваши группы IdP с ролями "Custom".

Синхронизация групп

Это извлекает ваши группы IdP в Claude, чтобы они могли быть назначены пользовательским ролям.

  1. Перейдите в Organization settings > Groups

  2. Нажмите "Check for updates" в разделе SCIM sync.

  3. Когда вас попросят синхронизировать Groups, Members или Both, выберите только Groups. Синхронизация Members может повлиять на подготовку и доступ участников.

  4. Ваши группы IdP появляются как группы, полученные из SCIM, в списке.

  5. Назначьте группы SCIM пользовательским ролям так же, как вручную созданные группы.

  6. В вашем IdP отправляйте только те группы, которые вы действительно намерены использовать для RBAC или ограничений расходов. Синхронизация всех групп IdP может замедлить загрузку страниц в разделе Groups.

Примечание: Разрешения пользовательской роли применяются только к участникам с выбранными ролями "Custom" в Organization settings > Members. Если вы сопоставите группу IdP с другой ролью (например, User) через сопоставление группы с ролью, но назначите эту же группу SCIM пользовательской роли, разрешения пользовательской роли не будут иметь эффекта — участник получит свои разрешения из назначенной ему роли. Чтобы использовать пользовательские роли, убедитесь, что группа IdP сопоставлена с "Custom".

Текущее управление с SCIM

  • Чтобы предоставить участнику доступ к функции, добавьте его в соответствующую группу IdP. При следующей синхронизации он получит пользовательскую роль, назначенную этой группе.

  • Чтобы отозвать доступ, удалите его из группы IdP. При следующей синхронизации разрешение будет удалено.

  • Нажмите "SCIM sync" в разделе Groups, чтобы принудительно выполнить немедленную синхронизацию вместо ожидания следующей запланированной синхронизации.


План отката

Если вы заметили, что ваша структура ролей неправильно настроена после миграции:

  1. Отключите все функции уровня организации, которые были включены в рамках миграции.

  2. Измените затронутых участников обратно на их предыдущую встроенную роль (например, User).

  3. Они немедленно восстановят статические разрешения из этой роли, и разрешения пользовательской роли перестанут применяться.

  4. Отрегулируйте роли и группы по мере необходимости, затем повторно выполните миграцию.

Если вы включили сопоставление групп во время настройки и потеряли доступ администратора, следуйте шагам восстановления в Set up JIT or SCIM provisioning в разделе "I lost Admin/Owner access after enabling group mappings."


Часто задаваемые вопросы

Нужно ли мне включать функцию на уровне организации, если я хочу, чтобы её имели только некоторые участники?

Да. Переключатель уровня организации должен быть включен, чтобы пользовательские роли контролировали доступ для каждого участника. Если функция отключена на уровне организации, никто не может получить к ней доступ независимо от своей роли. Думайте об этом как о главном выключателе — пользовательские роли контролируют, кто получает доступ под ним.

Что происходит, если участник, роль которого установлена на "Custom", не входит ни в какие группы?

У них нет разрешений пользовательской роли, поэтому все функции, требующие разрешений, затемнены или скрыты. Убедитесь, что каждый участник, роль которого установлена на "Custom", входит в по крайней мере одну группу, назначенную пользовательской роли.

Модель отсутствует в выборе модели участника.

Либо модель отключена на уровне организации (Параметры организации > Модели), либо ни одна из пользовательских ролей участника не предоставляет доступ к ней. Отключение на уровне организации влияет на всех, включая владельцев и администраторов.

Что произойдет, если пользовательская роль не предоставляет доступ к чату?

Участники с такой ролью не будут видеть интерфейс чата Claude. При входе они попадут на страницу параметров. Если их роль предоставляет доступ к другим продуктам, таким как Cowork или Claude Code, они остаются доступны со страницы параметров и из соответствующих приложений.

Чат включен по умолчанию во всех пользовательских ролях, поэтому вам нужно беспокоиться об этом только если вы намеренно отключили чат для роли.

Могу ли я использовать встроенные и пользовательские роли одновременно?

Да. Участники с ролями User, Admin или Owner не подвергаются влиянию разрешений пользовательских ролей, так как получают разрешения непосредственно из этих ролей. Только участники с ролью "Custom" контролируются системой групп и ролей. Это позволяет постепенно переходить на новую систему.

Что произойдет, если участник находится в двух группах с разными ролями?

Разрешения суммируются. Если любая роль в цепочке участника предоставляет функцию, он имеет к ней доступ. Вы не можете использовать роль для отзыва разрешения, предоставленного другой ролью.

Могу ли я использовать группы SCIM и ручные группы вместе?

Да. Оба типа можно назначить пользовательским ролям. Разница в том, что членство в группе SCIM управляется в вашем поставщике удостоверений, а членство в ручной группе управляется в параметрах организации Claude.

Влияют ли разрешения пользовательских ролей на владельцев и основных владельцев?

Нет. Владельцы и основные владельцы всегда имеют полный доступ ко всем функциям.

Как это работает в родительских и дочерних организациях?

Группы и синхронизация SCIM управляются на уровне родительской организации и общие для всех дочерних организаций. Назначения ролей и лимитов расходов настраиваются независимо в каждой дочерней организации — изменения в одной дочерней организации не влияют на другие. Изменения членства в группах и повторная синхронизация SCIM распространяются на все дочерние организации под одним родителем.

Что произойдет с моими существующими пользовательскими ролями при включении разрешений соединителя?

Каждая существующая роль получает грант "Все соединители" с уровнем "Всегда разрешить", поэтому доступ участников не изменяется при включении. Вы сужаете доступ отсюда.

Какое разрешение соединителя по умолчанию для новой роли?

"Требуется одобрение" для каждого соединителя. Процесс создания роли проходит через вкладку "Соединители", поэтому вы видите это перед сохранением.

Что произойдет, когда я добавлю новый соединитель после создания ролей?

Роль, у которой строка "Все соединители" установлена на "Всегда разрешить", "Требуется одобрение" или "Заблокировано", автоматически охватывает новый соединитель на этом уровне. Роль, у которой строка "Все соединители" установлена на "Пользовательский", рассматривает новый соединитель как "Заблокировано" до тех пор, пока вы его не установите.

Я заблокировал соединитель в роли, но участник с этой ролью все еще может его использовать. Почему?

Проверьте, имеет ли участник другую роль, которая предоставляет доступ, так как наиболее разрешающий грант побеждает в ролях. Предупреждение о конфликте в строке соединителя перечисляет эти роли. Также подтвердите, что роль участника установлена на "Пользовательский".

Моя политика инструментов на уровне организации уже блокирует инструмент. Нужно ли мне блокировать его в каждой роли?

Нет. Политика на уровне организации является потолком. Инструмент, заблокированный там, заблокирован для всех, независимо от грантов ролей.

Может ли роль предоставить инструмент, который политика организации устанавливает на "Требуется одобрение"?

Роль может предоставить его, но более строгий параметр побеждает, поэтому участники видят его ограниченным на "Требуется одобрение". Чтобы позволить участникам установить "Всегда разрешить", сначала повысьте политику организации до "Всегда разрешить".

Могу ли я предоставить один инструмент на соединителе без предоставления всего соединителя?

Да. Установите соединитель на "Пользовательский", установите один инструмент на "Всегда разрешить" или "Требуется одобрение" и оставьте остальное "Заблокировано".

Применяются ли разрешения соединителя к встроенным инструментам, таким как веб-поиск или выполнение кода?

Нет. Встроенные функции управляются на вкладке "Возможности". Вкладка "Соединители" управляет соединителями, которые добавила ваша организация.

Как быстро вступают в силу изменения разрешений соединителя?

Изменения ролей могут вступить в силу в течение 15 минут. Участникам может потребоваться обновить браузер.

Может ли кто-то в пользовательской роли с разрешениями предоставить себе больше доступа?

Только если их роль включает "Управление удостоверениями и доступом", что охватывает редактирование ролей и групп. Зарезервируйте это разрешение для доверенных администраторов безопасности и ИТ, так как оно может использоваться для изменения определений ролей, включая их собственные.

Могу ли я предоставить разрешения администратора участнику с ролью User, Admin, Owner или Primary Owner?

Нет. Разрешения администратора применяются только к участникам в пользовательской роли. Участники со встроенной ролью сохраняют доступ, который предоставляет эта роль. Чтобы предоставить кому-то определенные разрешения администратора, измените участника на пользовательскую роль и добавьте его в группу, назначенную роли с необходимыми разрешениями. Имейте в виду, что это удаляет их предыдущий доступ встроенной роли.

Что видит кто-то, когда у них нет разрешений для определенного параметра?

Параметры организации показывают только разделы, которые охватывают их разрешения. Разделы, к которым у них нет доступа, полностью скрыты из параметров организации.

Как я могу проверить, кто имеет доступ администратора?

Параметры организации > Роли показывает разрешения администратора, которые предоставляет каждая пользовательская роль, и Параметры организации > Группы показывает, какие группы назначены каждой роли и кто в них входит. Чтобы проверить конкретного участника, найдите его группы в Параметры организации > Участники, затем роли, которым назначены эти группы.

Что если кому-то нужны разрешения в нескольких областях?

Создайте одну роль, которая предоставляет доступ к нескольким областям, или добавьте участника в несколько групп, чьи роли охватывают необходимые области. Разрешения суммируются.

Нашли ответ на свой вопрос?