Это руководство проведет вас через процесс настройки разрешений на основе ролей для вашей организации Enterprise. Это позволяет вам контролировать, какие функции могут использовать определенные команды или группы участников, вместо того чтобы давать всем одинаковые разрешения.
Перед началом убедитесь, что вы знакомы с:
Управление группами и лимитами расходов групп в планах Enterprise — как создавать и управлять группами
Управление пользовательскими ролями в планах Enterprise — как работают пользовательские роли и возможности
Перед началом
Вам потребуется доступ Owner или Primary Owner к вашей организации Enterprise.
Выйдите и снова войдите в свой аккаунт Claude перед началом. Это гарантирует, что появится обновленная боковая панель параметров администратора с новыми страницами Groups и Custom roles в разделе People.
Создайте резервную копию списка участников. Экспортируйте CSV-файл ваших текущих участников из Organization settings > Members перед внесением каких-либо изменений. Если что-то пойдет не так во время миграции, это даст вам справку для восстановления доступа. См. Управление участниками в планах Team и Enterprise.
Планы с двумя местами: Если ваша организация использует план Enterprise с двумя местами (с местами Chat и Chat + Claude Code), пользовательские роли не переопределяют ограничения на уровне мест. Участник, назначенный на место только для Chat, не может получить доступ к Claude Code, даже если его пользовательская роль это разрешает. Планируйте структуру ролей с учетом назначений мест.
Если вы планируете использовать группы поставщика удостоверений (IdP) из Okta, Entra ID или другого поставщика, убедитесь, что синхронизация каталога SCIM настроена. См. Настройка JIT или SCIM provisioning.
Примечание о режиме provisioning: Если ваша организация использует режим Invite only или JIT provisioning, вы можете использовать только вручную созданные группы для RBAC. Группы, синхронизированные через SCIM, не поддерживаются в этих режимах.
Планирование структуры ролей
Перед созданием чего-либо решите, какие функции должны быть доступны каждой команде или группе участников. Вот три распространенных подхода:
Базовые роли плюс дополнительные роли
Это рекомендуемый подход для большинства организаций. Создайте роль "Standard Access" для всех с общими функциями, такими как веб-поиск, память и проекты. Затем создайте дополнительные роли, которые предоставляют определенные возможности — например, роль "Cowork Enabled", которая добавляет только Cowork. Назначьте всех участников базовой роли через группу "All Users" и добавьте конкретных участников в дополнительные группы, которые добавляют дополнительные функции.
Этот подход гибкий, потому что разрешения являются дополнительными — объединение базовой роли с дополнительными ролями хорошо компонуется без конфликтов.
Роли на основе уровней
Создайте отдельные уровни: "Full Access" со всеми функциями, "Standard Access" с большинством функций и "Restricted Access" с минимальными функциями. Каждый участник входит ровно в одну группу, назначенную одному уровню.
Роли на основе отделов
Создайте роли, которые соответствуют отделам: "Engineering" с Cowork, Claude Code и выполнением кода; "Research" с веб-поиском, памятью и проектами; "Business" только с веб-поиском и проектами. Назначьте каждую группу отдела соответствующей роли.
Шаг 1: Проверьте текущие параметры
Проверьте, какие функции в настоящее время включены или отключены на уровне организации в Organization settings > Capabilities.
Перейдите в Organization settings > Organization, чтобы экспортировать или просмотреть список участников.
Отметьте текущую встроенную роль каждого участника (User, Admin или Owner).
Для каждой команды или отдела решите, какие функции им нужны.
Помните: любая функция, которую вы хотите контролировать для каждой группы, должна быть включена на уровне организации. Если функция отключена на уровне организации, ни одна пользовательская роль не сможет предоставить доступ к ней.
Важно: В отличие от участников с ролью User, участники, назначенные пользовательским ролям, не наследуют автоматически возможности, включенные в организации. Каждая возможность, которая нужна участнику с пользовательской ролью, должна быть явно предоставлена пользовательской ролью, назначенной одной из их групп.
Шаг 2: Создайте пользовательские роли
Создайте пользовательские роли перед включением каких-либо функций или миграцией участников. Это гарантирует, что ваши роли готовы к применению доступа в момент включения функций.
Перейдите в Organization settings > Custom roles.
Нажмите "+ Add role".
Назовите роль и переключите соответствующие возможности.
Нажмите "Add role".
Повторите для каждой роли в вашем плане.
См. Управление пользовательскими ролями в планах Enterprise для получения подробной информации о доступных возможностях.
Шаг 3: Создайте группы и назначьте роли
Перейдите в Organization settings > Groups.
Нажмите "Add group", чтобы создать группу для каждой команды или уровня в вашем плане.
Добавьте участников в соответствующие группы.
Назначьте каждую группу пользовательским ролям, которые вы создали на шаге 2.
Если вы используете синхронизацию каталога SCIM, вы можете синхронизировать группы от вашего поставщика удостоверений вместо их ручного создания. Для получения подробной информации о синхронизации групп SCIM см. Управление группами и лимитами расходов групп в планах Enterprise.
Несколько организаций под одной родительской организацией: Группы управляются на уровне родительской организации и распространяются на все дочерние организации. Вы можете видеть участников из других организаций в списке группы — это не означает, что они имеют доступ к вашей организации. Пользовательские роли, назначенные группе, предоставляют возможности только участникам, которые являются частью вашей конкретной организации.
Шаг 4: Проверьте назначения групп и ролей
Перед миграцией участников на пользовательские роли убедитесь, что каждый участник, которого вы планируете перенести, находится по крайней мере в одной группе, назначенной пользовательской роли. Участники, перенесенные без покрытия группы или роли, потеряют доступ ко всем управляемым функциям.
Перейдите в Organization settings > Members.
Используйте фильтры Role и Group, чтобы определить участников, которые не назначены ни одной группе.
Кроме того, нажмите "Export CSV", чтобы загрузить полный список участников со столбцами ролей и групп для проверки.
Добавьте всех неназначенных участников в соответствующие группы перед продолжением.
Шаг 5: Перенос участников на пользовательские роли
Чтобы возможности пользовательских ролей вступили в силу, участники должны иметь роль «Пользовательские роли». Участники с ролями User, Admin или Owner получают разрешения непосредственно из этих ролей, а не из пользовательских ролей.
Важно: Выполните этот шаг только после того, как вы создали пользовательские роли, создали группы и проверили, что все участники назначены группам (шаги 2–4). Участники, перенесённые на пользовательские роли до завершения настройки, немедленно потеряют доступ ко всем управляемым функциям.
Выберите путь миграции в зависимости от того, включены ли в вашей организации сопоставления групп:
Путь A: Включить сопоставления групп (только если уже используется)
Используйте этот путь только если в вашей организации уже включены сопоставления групп для назначения ролей. Если вы ещё не используете этот параметр, перейдите к пути B.
Перейдите в Параметры организации > Идентификация и доступ.
В разделе сопоставления ролей назначьте группы IdP, которые должны управляться пользовательскими ролями, роли «Пользовательские роли».
Сохраните изменения. Участники в этих группах IdP будут перенесены на пользовательские роли при следующей синхронизации.
Участники в группах IdP, сопоставленных с пользовательскими ролями, следуют разрешениям пользовательских ролей, назначенных их группам в Claude. Участники в группах IdP, сопоставленных с User, следуют параметрам возможностей на уровне организации. Если участник находится в группах с обоими сопоставлениями, пользовательские роли имеют приоритет.
Путь B: Инструмент массового назначения
Используйте этот путь, если в вашей организации не включены сопоставления групп.
Предупреждение: Если вы ещё не включили сопоставления групп, не включайте их во время настройки RBAC. Включение без предварительного назначения всех участников сопоставленным группам может привести к потере доступа участников к вашей организации.
Перейдите в Параметры организации > Участники.
Используйте фильтры «Роль» и «Группа» для выбора участников, которых вы хотите перенести.
Используйте инструмент массового назначения в таблице «Участники» для изменения роли выбранных участников на «Пользовательские роли».
Рекомендуем сначала перенести пилотную группу — одну команду или отдел — и проверить, что их доступ правильный, прежде чем расширять на остальную организацию.
Постепенное внедрение
Независимо от выбранного пути рекомендуем выполнять миграцию поэтапно:
Начните с пилотной группы из одной команды или отдела.
После миграции проверьте, что пилотная группа имеет правильный доступ к функциям на основе назначений их группы и роли.
Если что-то не так, переведите затронутых участников обратно на их предыдущую роль, пока вы вносите корректировки.
Расширьте охват на большее количество участников после того, как вы подтвердили, что настройка работает.
Шаг 6: Включить функции на уровне организации
Включайте функции на уровне организации только после завершения назначения ролей, групп и миграции участников. Это гарантирует, что возможности пользовательских ролей уже действуют, без периода, когда неавторизованные участники могли бы получить доступ к функции.
Для любой функции, которую вы хотите контролировать по группам:
Перейдите на страницу параметров функции в Параметры организации (например, Параметры организации > Cowork).
Включите функцию на уровне организации.
Включение функции на уровне организации не означает, что её получат все — разрешения пользовательских ролей уже действуют для контроля того, кто может её использовать. Думайте о переключателе на уровне организации как о том, чтобы сделать функцию «доступной для назначения на основе ролей» вместо «включённой для всех».
Шаг 7: Проверка и мониторинг
Выборочная проверка доступа: Проверьте нескольких участников из каждой группы, чтобы подтвердить, что они видят правильные функции.
Протестируйте ограниченное состояние: Войдите как (или попросите) участника, который не должен иметь функцию, такую как Cowork. Он должен видеть её неактивной с сообщением «Обратитесь к администратору, чтобы запросить доступ к этой функции».
Протестируйте предоставленное состояние: Подтвердите, что участник, который должен иметь функцию, видит её работающей нормально.
Проверьте граничные случаи: Протестируйте участников в нескольких группах, участников без группы и новых участников, присоединяющихся через SSO.
Изменения разрешений синхронизируются по всей платформе в течение пяти минут. Участникам может потребоваться обновить браузер, чтобы увидеть обновленный доступ.
Использование SCIM с возможностями на основе ролей
SCIM подключается к вашим возможностям на основе ролей через два механизма, которые работают вместе.
Сопоставление группы IdP с ролью
Это контролирует, какую встроенную роль получит участник при его подготовке. Сопоставьте ваши группы IdP с «Пользовательские роли», чтобы доступ новых участников автоматически управлялся возможностями пользовательских ролей.
Перейдите в Параметры организации > Идентификация и доступ.
В таблице сопоставления ролей сопоставьте ваши группы IdP с «Пользовательские роли».
Синхронизация групп
Это загружает ваши группы IdP в Claude, чтобы их можно было назначить пользовательским ролям.
Перейдите в Параметры организации > Группы
Нажмите «Проверить обновления» в разделе Синхронизация SCIM.
Когда вам будет предложено синхронизировать группы, участников или оба варианта, выберите только группы. Синхронизация участников может повлиять на подготовку и доступ участников.
Ваши группы IdP появятся как группы, полученные из SCIM, в списке.
Назначьте группы SCIM пользовательским ролям так же, как вручную созданные группы.
В вашем IdP отправляйте только те группы, которые вы действительно намерены использовать для RBAC или лимитов расходов. Синхронизация всех групп IdP может замедлить загрузку страниц в разделе «Группы».
Примечание: Разрешения пользовательских ролей применяются только к участникам с выбранным параметром «Пользовательские роли» в Параметры организации > Организация. Если вы сопоставите группу IdP с другой ролью (например, User) через сопоставление группы с ролью, но назначите эту же группу SCIM пользовательской роли, разрешения пользовательской роли не будут действовать — участник получит разрешения из назначенной ему роли. Чтобы использовать пользовательские роли, убедитесь, что группа IdP сопоставлена с «Пользовательские роли».
Постоянное управление с помощью SCIM
Чтобы предоставить участнику доступ к функции, добавьте его в соответствующую группу IdP. При следующей синхронизации он получит пользовательскую роль, назначенную этой группе.
Чтобы отозвать доступ, удалите участника из группы IdP. При следующей синхронизации разрешение будет удалено.
Нажмите «SCIM sync» в разделе «Группы», чтобы выполнить немедленную синхронизацию вместо ожидания следующей запланированной синхронизации.
План отката
Если вы заметили, что структура ролей неправильно настроена после миграции:
Отключите все функции уровня организации, которые были включены в рамках миграции.
Измените затронутых участников обратно на их предыдущую встроенную роль (например, User).
Они немедленно восстановят статические разрешения из этой роли, и разрешения пользовательской роли перестанут применяться.
Отрегулируйте роли и группы по мере необходимости, затем повторите миграцию.
Если вы включили сопоставление групп во время настройки и потеряли доступ администратора, следуйте инструкциям восстановления в Set up JIT or SCIM provisioning в разделе «I lost Admin/Owner access after enabling group mappings».
Часто задаваемые вопросы
Нужно ли включать функцию на уровне организации, если я хочу, чтобы она была доступна только некоторым участникам?
Да. Переключатель уровня организации должен быть включен, чтобы пользовательские роли контролировали доступ для каждого участника. Если функция отключена на уровне организации, никто не может получить к ней доступ независимо от своей роли. Думайте об этом как о главном выключателе — пользовательские роли контролируют, кто получает доступ под ним.
Что происходит, если участник с установленной ролью «Custom roles» не входит ни в одну группу?
У них нет разрешений пользовательской роли, поэтому все функции, требующие разрешений, неактивны или скрыты. Убедитесь, что каждый участник с установленной ролью «Custom roles» входит по крайней мере в одну группу, назначенную пользовательской роли.
Могу ли я использовать встроенные и пользовательские роли одновременно?
Да. Участники с ролями User, Admin или Owner не затронуты разрешениями пользовательских ролей, так как они получают разрешения непосредственно из этих ролей. Только участники с установленной ролью Custom roles контролируются системой групп и ролей. Это позволяет постепенную миграцию.
Что если участник входит в две группы с разными ролями?
Разрешения являются аддитивными. Если любая роль в цепи участника предоставляет функцию, она у него есть. Вы не можете использовать роль для удаления разрешения, предоставленного другой ролью.
Могу ли я использовать группы SCIM и ручные группы вместе?
Да. Оба типа можно назначить пользовательским ролям. Разница в том, что членство в группе SCIM управляется в вашем поставщике удостоверений, а членство в ручной группе управляется в параметрах организации Claude.
Затронуты ли владельцы и основные владельцы разрешениями пользовательских ролей?
Нет. Владельцы и основные владельцы всегда имеют полный доступ ко всем функциям.
Как это работает в родительских и дочерних организациях?
Группы и синхронизация SCIM управляются на уровне родительской организации и общие для всех дочерних организаций. Назначения ролей и лимитов расходов настраиваются независимо в каждой дочерней организации — изменения в одной дочерней организации не влияют на другие. Изменения членства в группе и повторная синхронизация SCIM распространяются на все дочерние организации под одной родительской организацией.