Это руководство проведет вас через процесс настройки разрешений на основе ролей для вашей организации Enterprise. Это позволяет вам контролировать, какие функции могут использовать определенные команды или группы участников, вместо того чтобы давать всем одинаковые разрешения.
Перед началом убедитесь, что вы знакомы с:
Управление группами и лимитами расходов групп в планах Enterprise — как создавать и управлять группами
Управление пользовательскими ролями в планах Enterprise — как работают пользовательские роли и возможности
Перед началом
Вам потребуется доступ Owner или Primary Owner к вашей организации Enterprise.
Проверьте, какие возможности включены на уровне организации. Перейдите в Organization settings и убедитесь, что вы знаете, какие возможности участники могут использовать в настоящее время. Для параметров, управляемых RBAC, требуется, чтобы были включены как параметр организации, так и параметр роли, чтобы пользователи получили доступ.
Создайте резервную копию списка участников. Экспортируйте CSV вашего текущего списка участников из Organization settings > Members перед внесением каких-либо изменений. Если что-то пойдет не так во время миграции, это даст вам справку для восстановления доступа. См. Управление участниками в планах Team и Enterprise.
Определите, какие команды или функции нуждаются в каждой возможности. Например, Engineering получает Claude Code + Fast Mode, а Marketing получает Cowork + Web Search. Отсюда определите ваши пользовательские роли.
Планы с двойными местами. Если ваша организация находится на плане Enterprise с двойными местами (с местами Chat и Chat + Claude Code), пользовательские роли не переопределяют ограничения на уровне места. Участник, назначенный на место только для Chat, не может получить доступ к Claude Code, даже если его пользовательская роль это позволяет. То же самое применяется в обратном направлении: если пользовательская роль участника не предоставляет возможность чата, он не будет иметь доступ к чату независимо от типа его места. Планируйте структуру ролей с учетом назначений мест.
Примечание: "Chat + Claude Code" относится к типу места в устаревших планах с двойными местами. Возможность "chat" в пользовательских ролях отдельна — она управляет доступом к чату для любого участника, чья роль установлена на "Custom roles", в любом плане.
Решите, как вы будете создавать группы. Вы можете создавать группы вручную в Claude или синхронизировать их с вашего поставщика удостоверений (IdP) через SCIM. Вы также можете использовать оба метода одновременно. Если вы планируете использовать группы IdP из Okta, Entra ID или другого поставщика, убедитесь, что синхронизация каталога SCIM настроена. См. Настройка JIT или SCIM provisioning.
Планирование структуры ролей
Перед созданием чего-либо решите, какие функции должны быть доступны каждой команде или группе участников. Вот три распространенных паттерна:
Базовые плюс дополнительные роли
Это рекомендуемый подход для большинства организаций. Создайте роль "Standard Access" для всех с общими функциями, такими как веб-поиск, память и проекты. Затем создайте дополнительные роли, которые предоставляют определенные возможности — например, роль "Cowork Enabled", которая только добавляет Cowork. Назначьте всех участников базовой роли через группу "All Users" и добавьте конкретных участников в дополнительные группы, которые добавляют дополнительные функции.
Этот паттерн гибкий, потому что разрешения являются дополнительными — объединение базовой роли с дополнительными ролями хорошо компонуется без конфликтов.
Роли на основе уровней
Создайте отдельные уровни: "Full Access" со всеми функциями, "Standard Access" с большинством функций и "Restricted Access" с минимальными функциями. Каждый участник входит ровно в одну группу, назначенную одному уровню.
Роли на основе отделов
Создайте роли, которые соответствуют отделам: "Engineering" с чатом, Cowork, Claude Code и выполнением кода; "Research" с чатом, веб-поиском, памятью и проектами; "Business" только с чатом, веб-поиском и проектами. Назначьте каждую группу отдела соответствующей роли.
Шаг 1: Проверьте ваши текущие параметры
Проверьте, какие функции в настоящее время включены или отключены на уровне организации в Organization settings > Capabilities.
Перейдите в Organization settings > Members, чтобы экспортировать или просмотреть список участников.
Отметьте текущую встроенную роль каждого участника (User, Admin или Owner).
Для каждой команды или отдела решите, какие функции им нужны.
Помните: любая функция, которую вы хотите контролировать для каждой группы, должна быть включена на уровне организации. Если функция отключена на уровне организации, ни одна пользовательская роль не может предоставить доступ к ней.
Важно: В отличие от участников с ролью User, участники, назначенные Custom roles, не наследуют автоматически возможности, включенные в организации. Каждая возможность, которая нужна участнику Custom roles, должна быть явно предоставлена пользовательской ролью, назначенной одной из их групп.
Шаг 2: Создайте пользовательские роли
Создайте ваши пользовательские роли перед включением каких-либо функций или миграцией участников. Это гарантирует, что ваши роли готовы к применению доступа в момент включения функций.
Перейдите в Organization settings > Custom roles.
Нажмите "Add role".
Назовите роль и переключите соответствующие возможности.
Нажмите "Add role".
Повторите для каждой роли в вашем плане.
Изменения в пользовательских ролях могут занять до пяти минут для распространения. Участникам может потребоваться обновить свои браузеры, чтобы увидеть обновленный доступ.
См. Управление пользовательскими ролями в планах Enterprise для получения подробной информации о доступных возможностях.
Шаг 3: Создайте группы и назначьте роли
Перейдите в Organization settings > Groups.
Нажмите "Add group", чтобы создать группу для каждой команды или уровня в вашем плане.
Добавьте участников в соответствующие группы.
Назначьте каждую группу пользовательским ролям, которые вы создали на шаге 2.
Если вы используете синхронизацию каталога SCIM, вы можете синхронизировать группы с вашего поставщика удостоверений вместо их ручного создания. Для получения подробной информации о синхронизации групп SCIM см. Управление группами и лимитами расходов групп в планах Enterprise.
Несколько организаций под одной родительской организацией: Группы управляются на уровне родительской организации и распространяются на все дочерние организации. Вы можете видеть участников из других организаций в списке группы — это не означает, что они имеют доступ к вашей организации. Пользовательские роли, назначенные группе, предоставляют возможности только участникам, которые являются частью вашей конкретной организации.
Если вы запросите перемещение организации из одной родительской в другую (это редко происходит на практике), группы и роли станут неопределенными, и вам потребуется их пересоздать.
Важно: Если ваша организация использует режим "Invite only" или JIT provisioning, вы можете использовать только вручную созданные группы для RBAC. Группы, синхронизированные через SCIM, не поддерживаются в этих режимах.
Шаг 4: Проверьте назначения групп и ролей
Перед миграцией участников на Custom roles, подтвердите, что каждый участник, которого вы планируете перенести, находится по крайней мере в одной группе, назначенной пользовательской роли. Участники, перенесенные без покрытия группы или роли, потеряют доступ ко всем управляемым функциям.
Перейдите в Параметры организации > Участники.
Используйте фильтры «Роль» и «Группа» для определения участников, которые не назначены ни в одну группу.
Кроме того, нажмите «Экспортировать CSV» для загрузки полного списка участников со столбцами ролей и групп для проверки.
Добавьте всех неназначенных участников в соответствующие группы перед продолжением.
Шаг 5: Перенос участников на пользовательские роли
Чтобы возможности пользовательских ролей вступили в силу, участники должны иметь роль «Пользовательские роли». Участники с ролями «Пользователь», «Администратор» или «Владелец» получают разрешения непосредственно из этих ролей, а не из пользовательских ролей.
Важно: Выполните этот шаг только после того, как вы создали пользовательские роли, создали группы и проверили, что все участники назначены в группы (шаги 2–4). Участники, перенесённые на пользовательские роли до завершения настройки, немедленно потеряют доступ ко всем управляемым функциям.
Выберите путь миграции в зависимости от того, включила ли ваша организация сопоставление групп:
Путь A: Включить сопоставление групп (только если уже используется)
Используйте этот путь только если ваша организация уже включила сопоставление групп для назначения ролей. Если вы ещё не используете этот параметр, перейдите к пути B.
Перейдите в Параметры организации > Организация и доступ.
В разделе сопоставления ролей назначьте группы IdP, которые должны управляться пользовательскими ролями, роли «Пользовательские роли».
Сохраните изменения. Участники в этих группах IdP будут перенесены на пользовательские роли при следующей синхронизации.
Участники в группах IdP, сопоставленных с пользовательскими ролями, следуют разрешениям пользовательских ролей, назначенных их группам в Claude. Участники в группах IdP, сопоставленных с «Пользователь», следуют параметрам возможностей на уровне организации. Если участник находится в группах с обоими сопоставлениями, приоритет имеют пользовательские роли.
Путь B: Инструмент массового назначения
Используйте этот путь, если ваша организация не включила сопоставление групп.
Предупреждение: Если вы ещё не включили сопоставление групп, не включайте его во время настройки RBAC. Включение его без предварительного назначения всех участников в сопоставленные группы может привести к потере участниками доступа к вашей организации.
Перейдите в Параметры организации > Участники.
Используйте фильтры «Роль» и «Группа» для выбора участников, которых вы хотите перенести.
Используйте инструмент массового назначения в таблице «Участники» для изменения роли выбранных участников на «Пользовательские роли».
Рекомендуется сначала перенести пилотную группу — одну команду или отдел — и проверить, что их доступ правильный, прежде чем расширять на остальную организацию.
Постепенное внедрение
Независимо от выбранного пути рекомендуется выполнять миграцию поэтапно:
Начните с пилотной группы из одной команды или отдела.
После миграции проверьте, что пилотная группа имеет правильный доступ к функциям на основе назначений их группы и роли.
Если что-то не так, переведите затронутых участников обратно на их предыдущую роль, пока вы вносите корректировки.
Расширьте охват на большее количество участников после того, как вы подтвердили, что настройка работает.
Шаг 6: Включение функций на уровне организации
Включайте функции на уровне организации только после завершения назначения ролей, групп и миграции участников. Это гарантирует, что возможности пользовательских ролей уже установлены, без периода, когда неавторизованные участники могли бы получить доступ к функции.
Для любой функции, которую вы хотите контролировать по группам:
Перейдите на страницу параметров функции в Параметры организации (например, Параметры организации > Cowork).
Включите функцию на уровне организации.
Включение функции на уровне организации не означает, что её получат все — разрешения пользовательских ролей уже установлены для контроля того, кто может её использовать. Думайте о переключателе на уровне организации как о том, чтобы сделать функцию «доступной для назначения на основе ролей» вместо «включённой для всех».
Шаг 7: Применение лимита расходов группы (только для организаций на основе использования)
Перейдите на страницу «Использование» для назначения ежемесячного лимита расходов на одного пользователя любой группе.
Обратите внимание на следующие правила приоритета:
Индивидуальные лимиты всегда переопределяют групповые лимиты, независимо от того, какой выше.
Если пользователь принадлежит нескольким группам с разными лимитами, организация может применить либо самый низкий, либо самый высокий лимит расходов. Используйте раскрывающееся меню в разделе «Параметры расходов» для определения приоритета, который вы хотите применить.
Лимиты на уровне организации остаются жёсткой границей.
Изменения членства вступают в силу автоматически — пользователи наследуют или теряют лимиты сразу же при изменении их членства в группе. Применимо только для организаций с биллингом на основе использования.
Шаг 8: Проверка и мониторинг
Выборочная проверка доступа: Проверьте нескольких участников из каждой группы, чтобы подтвердить, что они видят правильные функции.
Протестируйте ограниченное состояние: Войдите как (или попросите) участника, который не должен иметь доступ к функции, такой как Cowork. Он должен видеть её затемнённой с сообщением «Свяжитесь с администратором для запроса доступа к этой функции».
Протестируйте предоставленное состояние: Подтвердите, что участник, который должен иметь доступ к функции, видит её работающей нормально.
Проверьте граничные случаи: Протестируйте участников в нескольких группах, участников без группы и новых участников, присоединяющихся через SSO.
Изменения разрешений синхронизируются по всей платформе в течение пяти минут. Участникам может потребоваться обновить браузер, чтобы увидеть обновленный доступ.
Использование SCIM с возможностями на основе ролей
SCIM подключается к вашим возможностям на основе ролей через два механизма, которые работают вместе.
Сопоставление группы IdP с ролью
Это контролирует, какую встроенную роль получает участник при его подготовке. Сопоставьте ваши группы IdP с «Пользовательские роли», чтобы доступ новых участников автоматически управлялся возможностями пользовательских ролей.
Перейдите в Параметры организации > Организация и доступ.
В таблице сопоставления ролей сопоставьте ваши группы IdP с "Пользовательскими ролями".
Синхронизация групп
Это загружает ваши группы IdP в Claude, чтобы их можно было назначить пользовательским ролям.
Перейдите в Параметры организации > Группы
Нажмите "Проверить обновления" в разделе Синхронизация SCIM.
Когда вам будет предложено синхронизировать группы, участников или оба варианта, выберите только группы. Синхронизация участников может повлиять на подготовку и доступ участников.
Ваши группы IdP отображаются как группы, полученные из SCIM, в списке.
Назначьте группы SCIM пользовательским ролям так же, как вручную созданные группы.
В вашем IdP отправляйте только те группы, которые вы действительно намерены использовать для RBAC или лимитов расходов. Синхронизация всех групп IdP может замедлить загрузку страниц в разделе "Группы".
Примечание: Разрешения пользовательской роли применяются только к участникам с выбранной опцией "Пользовательские роли" в Параметры организации > Участники. Если вы сопоставите группу IdP с другой ролью (например, "Пользователь") через сопоставление группы с ролью, но назначите эту же группу SCIM пользовательской роли, разрешения пользовательской роли не будут действовать — участник получит разрешения из назначенной ему роли. Чтобы использовать пользовательские роли, убедитесь, что группа IdP сопоставлена с "Пользовательские роли".
Текущее управление с помощью SCIM
Чтобы предоставить участнику доступ к функции, добавьте его в соответствующую группу IdP. При следующей синхронизации он получит пользовательскую роль, назначенную этой группе.
Чтобы отозвать доступ, удалите его из группы IdP. При следующей синхронизации разрешение будет удалено.
Нажмите "Синхронизация SCIM" в разделе "Группы", чтобы выполнить немедленную синхронизацию вместо ожидания следующей запланированной синхронизации.
План отката
Если вы заметили, что структура ролей неправильно настроена после миграции:
Отключите все функции уровня организации, которые были включены в рамках миграции.
Измените затронутых участников обратно на их предыдущую встроенную роль (например, "Пользователь").
Они немедленно восстановят статические разрешения из этой роли, и разрешения пользовательской роли перестанут применяться.
Отрегулируйте роли и группы по мере необходимости, затем повторите миграцию.
Если вы включили сопоставление групп во время настройки и потеряли доступ администратора, выполните действия по восстановлению в Настройка подготовки JIT или SCIM в разделе "Я потерял доступ администратора/владельца после включения сопоставления групп".
Часто задаваемые вопросы
Нужно ли включать функцию на уровне организации, если я хочу, чтобы она была доступна только некоторым участникам?
Да. Переключатель уровня организации должен быть включен, чтобы пользовательские роли могли контролировать доступ для каждого участника. Если функция отключена на уровне организации, никто не может получить к ней доступ независимо от своей роли. Думайте об этом как о главном выключателе — пользовательские роли контролируют, кто получает доступ под ним.
Что происходит, если участник, установленный на "Пользовательские роли", не входит ни в какие группы?
У них нет разрешений пользовательской роли, поэтому все функции, требующие разрешений, затемнены или скрыты. Убедитесь, что каждый участник, установленный на "Пользовательские роли", входит по крайней мере в одну группу, назначенную пользовательской роли.
Что если пользовательская роль не предоставляет доступ к чату?
Участники в этой роли не будут видеть интерфейс чата Claude. При входе они попадут на страницу параметров. Если их роль предоставляет другие продукты, такие как Cowork или Claude Code, они остаются доступными со страницы параметров и из соответствующих приложений.
Чат включен по умолчанию во всех пользовательских ролях, поэтому вам нужно беспокоиться об этом только если вы намеренно отключили чат для роли.
Могу ли я использовать как встроенные, так и пользовательские роли?
Да. Участники с ролями "Пользователь", "Администратор" или "Владелец" не затронуты разрешениями пользовательской роли, так как они получают разрешения из этих ролей напрямую. Только участники, установленные на "Пользовательские роли", контролируются системой группы и роли. Это позволяет постепенную миграцию.
Что если участник входит в две группы с разными ролями?
Разрешения являются кумулятивными. Если любая роль в цепи участника предоставляет функцию, у них она есть. Вы не можете использовать роль для удаления разрешения, предоставленного другой ролью.
Могу ли я использовать группы SCIM и ручные группы вместе?
Да. Оба типа можно назначить пользовательским ролям. Разница в том, что членство в группе SCIM управляется в вашем поставщике идентификации, а членство в ручной группе управляется в параметрах организации Claude.
Затронуты ли владельцы и основные владельцы разрешениями пользовательской роли?
Нет. Владельцы и основные владельцы всегда имеют полный доступ ко всем функциям.
Как это работает в родительских и дочерних организациях?
Группы и синхронизация SCIM управляются на уровне родительской организации и совместно используются всеми дочерними организациями. Назначения ролей и лимитов расходов настраиваются независимо в каждой дочерней организации — изменения в одной дочерней организации не влияют на другие. Изменения членства в группе и повторная синхронизация SCIM распространяются на все дочерние организации под одной родительской организацией.