JIT 配置适用于 Team 计划、Enterprise 计划和 Console 组织。SCIM 配置仅适用于 Enterprise 和 Console 组织。
本指南介绍如何为您的 Claude 或 Claude Console 组织配置用户配置和角色分配。
开始前:本指南假设您已完成设置单点登录 (SSO) 中的步骤,包括域验证和与身份提供商 (IdP) 的 SSO 配置,并且您拥有 Admin (Console) 或 Owner (Claude) 角色。
步骤 1:选择您的配置模式
配置 SSO 后,您需要决定如何将用户配置到您的组织。这由组织设置 > 身份和访问中的配置模式设置控制。
配置选项
手动是默认选项。用户直接在 Claude 或 Console 设置中添加和删除。
JIT(即时配置):分配给您的 Anthropic IdP 应用的用户在首次登录时自动配置。此选项适用于所有计划。
SCIM:用户根据您的 IdP 中的分配自动配置和取消配置,无需他们先登录。SCIM 适用于 Enterprise 计划和拥有自己的父组织或加入 Enterprise 父组织的 Console 组织。SCIM 不适用于 Team 计划或加入 Team 计划父组织的 Console 组织。
配置行为概览
使用此表格帮助决定哪种配置模式适合您的组织:
模式 | 配置 | 角色和座位类型更改 | 删除 |
手动 | 用户手动添加 | 角色和座位类型手动更改 | 用户手动删除 |
JIT | 分配给您的 IdP 应用的用户在登录时以用户角色配置 | 角色和座位类型手动更改 | 需要手动删除:从您的 IdP 应用中删除的用户无法再登录,但在尝试登录或被删除之前仍保留在用户列表中 |
JIT + 组映射 | 至少在一个映射组中的用户在登录时以其组成员身份中权限最高的角色配置 | 角色和座位类型在下次登录时根据组成员身份更新 | 没有组访问权限的用户无法登录,但在登录尝试或手动删除之前仍保留在列表中 |
SCIM | 分配给您的 IdP 应用的用户自动配置到加入您的父组织的所有组织。 | 角色和座位类型手动更改 | 从您的 IdP 应用中删除的用户自动删除 |
SCIM + 组映射 | 至少在一个映射组中的用户自动配置为适当的角色 | 角色和座位类型更改根据组成员身份自动传播 | 撤销组访问权限时自动删除 |
JIT 和 SCIM 都可以与启用组映射结合使用,以根据 IdP 组成员身份控制角色或座位层级分配。
可用角色和座位层级
产品 | 角色 | 座位类型 |
Team 计划 / 基于座位的 Enterprise 计划 | Owner、Admin、User | Premium、Standard |
基于使用量的 Enterprise 计划(两种座位类型) | Owner、Admin、User | Chat、Chat + Claude Code |
基于使用量的 Enterprise 计划(单一座位类型) | Owner、Admin、User | Enterprise |
Console | Admin、Developer、Billing、Claude Code User、User | — |
有关购买座位或调整计划座位分配的信息,请参阅我们的Team 计划和Enterprise 计划指南。
步骤 2:设置 SCIM 目录同步(如果使用 SCIM)
注意:如果您使用手动或 JIT 配置,请跳过此步骤。
如果您选择 SCIM 作为配置模式,您需要在启用它之前建立身份提供商和 Anthropic 之间的连接。
导航到 Claude 中的身份和访问设置(claude.ai/admin-settings/identity)或 Console(platform.claude.com/settings/identity)
在全局访问设置 / 组织访问部分,点击目录同步 (SCIM) 旁边的"设置 SCIM"(或"管理 SCIM")。
按照 WorkOS 设置指南在您的身份提供商中配置 SCIM。您需要将 WorkOS 中的值复制到您的 IdP 的 Anthropic 应用中。
‼️ 当您到达 IdP 组步骤时,暂停以查看本指南的步骤 3 和 4,以及其他指南。
有关 IdP 特定的 JIT / SCIM 设置说明,请参阅:
查看其他 IdP 此处
连接您的 IdP 后,继续执行步骤 3。
步骤 3:配置配置模式并启用组映射
在身份和访问设置的全局访问设置 / 组织访问部分中,找到配置模式。
从下拉菜单中选择您选择的选项("即时 (JIT)"或"目录同步 (SCIM)")。
如果使用,请打开启用组映射。
重要:不要点击"保存更改"。您必须首先确保所有用户都分配给您的 IdP 中的 Anthropic 应用。启用组映射时,用户还必须分配给适当的组(步骤 4 和 5)。在用户正确分配之前保存将导致这些用户从组织中取消配置。
如果您不使用组映射:确保所有用户都分配给您的 IdP 中的 Anthropic 应用以进行 SCIM 配置,然后点击"保存更改"以完成您的设置。
步骤 4:在您的身份提供商中配置组并为组映射分配用户
在您的 IdP 中为您想要分配的每个角色创建组。除非您使用单座位 Enterprise 计划,否则也为每个座位类型创建组。
虽然这些组不再有命名要求,但我们建议在组名称中包含一些内容(例如
anthropic-claude-或anthropic-console-),以便更容易识别。
将用户添加到您创建的组中,确保至少有一个用户(包括您自己)在将映射到 Admin (Console) 或 Owner (Claude) 角色的组中。
重要:所有需要访问权限的用户必须在下一步保存组映射配置之前分配给适当的组。这些用户应该已经在启用 SSO 时分配给您的 IdP 中的 Anthropic 应用。
步骤 5:将组映射到角色和座位类型
返回到 Claude 或 Console 中的身份和访问设置,并打开启用组映射(如果尚未打开)。
在启用组映射部分中,点击每个角色旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。
对于除单座位 Enterprise 外的所有计划:在将座位层级分配给 IdP 组部分中,点击每个座位类型旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。如果用户未分配给座位类型组,他们将默认分配给最高可用类型。
对于单座位 Enterprise:座位类型映射不适用。所有配置的用户自动分配 Enterprise 座位,前提是您的组织中有可用的座位。
验证所有必要的组都映射到适当的角色和座位类型。
点击"保存更改"。
注意:Microsoft Entra 每 40 分钟仅推送一次 SCIM 更改,因此更改可能需要一段时间才能显示。
故障排除
用户分配正确并显示在目录中,但未作为成员添加到 Claude?
验证您是否购买了足够的座位并且有可用座位来将成员添加到您的组织。
检查组织设置 > 计费中显示的可用座位数,如果需要,购买额外座位(请参阅我们的Team 计划和Enterprise 计划指南)。
一旦您有可用座位,返回身份和访问页面,点击目录同步 (SCIM) 旁边的"立即同步"。这将触发同步以为那些尚未添加为成员的用户配置帐户。
用户未以正确的角色配置
验证用户在您的 IdP 中分配给正确的组。
验证该组在您的身份和访问设置中映射到正确的角色。
对于 JIT:用户需要注销并重新登录以使角色更改生效。
对于 SCIM:点击"立即同步"以提示立即同步,或等待自动同步周期。
启用组映射后我失去了 Admin/Owner 访问权限
当配置组映射的人未分配给映射到 Admin 或 Owner 角色的组时,会发生这种情况,导致其权限被降级为 User。
要修复此问题:
选项 1:让另一个 Admin/Owner 恢复您的角色
选项 2:通过您的身份提供商修复
在您的 IdP 中,将自己分配给具有正确前缀的组,该组映射到 Admin 或 Owner 角色。
对于 JIT:注销并重新登录以恢复访问权限。
对于 SCIM:要求另一个 Admin 或 Owner 在身份和访问设置中点击"立即同步",或等待自动同步周期。