JIT 配置适用于 Team 计划、Enterprise 计划和 Console 组织。SCIM 配置仅适用于 Enterprise 和 Console 组织。
本指南介绍如何为您的 Claude 或 Claude Console 组织配置用户配置和角色分配。
开始前:本指南假设您已完成设置单点登录 (SSO) 中的步骤,包括域验证和与身份提供商 (IdP) 的 SSO 配置,并且您拥有 Admin (Console) 或 Owner (Claude) 角色。
步骤 1:选择您的配置模式
配置 SSO 后,您需要决定如何将用户配置到您的组织。这由组织设置 > 组织和访问中的配置模式设置控制。
配置选项
仅邀请是默认选项。用户直接在 Claude 或 Console 设置中添加和删除。
自动批准 (JIT):分配给您的 Anthropic IdP 应用的用户在首次登录时会自动配置。此选项适用于所有计划。
与 SCIM 同步:用户根据 IdP 中的分配自动配置和取消配置,无需他们先登录。SCIM 适用于 Enterprise 计划和拥有自己的父组织或加入 Enterprise 父组织的 Console 组织。SCIM 不适用于 Team 计划或加入 Team 计划父组织的 Console 组织。
配置行为概览
使用此表格帮助决定哪种配置模式适合您的组织:
模式 | 配置 | 角色和座位类型更改 | 删除 |
仅邀请 | 用户手动添加 | 角色和座位类型手动更改 | 用户手动删除 |
自动批准 (JIT) | 分配给您的 IdP 应用的用户在登录时以用户角色配置 | 角色和座位类型手动更改 | 需要手动删除:从 IdP 应用中删除的用户无法再登录,但在尝试登录或被删除之前仍保留在用户列表中 |
JIT + 组映射 | 至少在一个映射组中的用户在登录时以其组成员身份中权限最高的角色配置 | 角色和座位类型在下次登录时根据组成员身份更新 | 没有组访问权限的用户无法登录,但在登录尝试或手动删除之前仍保留在列表中 |
与 SCIM 同步 | 分配给您的 IdP 应用的用户自动配置到加入您的父组织的所有组织。 | 角色和座位类型手动更改 | 从 IdP 应用中删除的用户会自动删除 |
SCIM + 组映射 | 至少在一个映射组中的用户自动配置,具有适当的角色,仅配置到添加该组的父组织加入的组织。 | 角色和座位类型更改根据组成员身份自动传播 | 撤销组访问权限时自动删除 |
JIT 和 SCIM 都可以与启用组映射结合使用,以根据 IdP 组成员身份控制角色或座位层级分配。如果您为配置模式选择这两个选项中的任何一个,启用组映射将在该部分中显示:
可用角色和座位层级
产品 | 角色 | 座位类型 |
Team 计划 | Owner、Admin、User | Premium、Standard |
基于座位的 Enterprise 计划 | Owner、Admin、User、自定义角色 | Premium、Standard |
基于使用量的 Enterprise 计划(具有两种座位类型) | Owner、Admin、User、自定义角色 | 聊天、聊天 + Claude 代码 |
基于使用量的企业计划(单座位类型) | 所有者、管理员、用户、自定义角色 | 企业 |
控制台 | 管理员、开发者、受限开发者、计费、Claude 代码用户、用户 | — |
步骤 2:设置 SCIM 目录同步(如果使用 SCIM)
注意:如果您使用的是仅邀请或 JIT 配置,请跳过此步骤。
如果您选择 SCIM 作为配置模式,需要在启用前建立身份提供商与 Anthropic 之间的连接。
导航到您的组织并在 Claude(claude.ai/admin-settings/organization)或控制台(platform.claude.com/settings/identity)中访问设置
在全局访问设置部分,点击目录同步 (SCIM)旁边的"设置 SCIM"(或"管理 SCIM")。
按照 WorkOS 设置指南在您的身份提供商中配置 SCIM。您需要将 WorkOS 中的值复制到您的 IdP 的 Anthropic 应用程序中。
‼️ 当您到达 IdP 组步骤时,暂停以查看本指南的步骤 3 和 4,以及其他指南。
有关 IdP 特定的 JIT / SCIM 设置说明,请参阅:
查看其他 IdP 此处
IdP 连接后,继续执行步骤 3。
步骤 3:配置配置模式并启用组映射
在您的组织和访问设置的全局访问设置部分中,找到配置模式。
从下拉菜单中选择您选择的选项:
仅邀请:新成员只能通过现有成员的手动邀请加入。仅 SSO 访问不会将他们添加到您的组织。
自动批准 (JIT):允许具有 SSO 访问权限的人员在首次登录时加入。每个新成员使用您可用座位中的一个。
与 SCIM 同步:当您的目录更改时自动添加或删除成员。您的组织始终保持最新。
如果您选择了"自动批准 (JIT)"或"与 SCIM 同步",请勿立即点击"保存更改"。您必须首先确保所有用户都已分配到您的 IdP 中的 Anthropic 应用程序。
确认所有用户都已在您的 IdP 中分配后,您可以:
点击"保存更改"以完成设置并触发初始配置,或
打开启用组映射并转到步骤 4。
重要:在用户正确分配之前保存将导致这些用户从组织中被取消配置。
步骤 4:在您的身份提供商中配置组并将组映射到角色和座位类型
在您的 IdP 中为您想要分配的每个角色创建组。除非您使用的是单座位企业计划,否则也为每个座位类型创建组。
虽然这些组不再有命名要求,但我们建议在组名中包含一些内容(例如
anthropic-claude-或anthropic-console-)以便更容易识别。
将用户添加到您创建的组中,确保至少有一个用户(包括您自己)在将映射到管理员(控制台)或所有者(Claude)角色的组中。
返回到您在 Claude 或控制台中的组织和访问设置,并找到配置模式。
打开启用组映射(如果尚未打开):
在启用组映射部分中,点击每个角色旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。
使用组映射时,您必须将所有用户分配到基于角色的组,以确保为他们配置帐户。将用户分配到基于座位层的组是可选的。
您可以将 IdP 组映射到"自定义角色"角色。分配此角色的成员没有默认权限——他们的访问权限完全由分配给他们在 Claude 中的组的自定义角色决定。
对于除单座位企业外的所有计划:在将座位层分配给 IdP 组部分(可选)中,点击每个座位类型旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。如果用户未分配到座位类型组,默认情况下将分配给最高可用类型。
对于单座位企业:座位类型映射不适用。所有配置的用户都会自动分配一个企业座位,前提是您的组织中有可用的座位。
验证所有必要的组都映射到相应的角色和座位类型。
点击"保存更改"。
注意:Microsoft Entra 每 40 分钟才推送一次 SCIM 更改,因此更改可能需要一段时间才能显示。您可以通过点击"管理 SCIM"并查看目录来检查从您的 IdP 同步的用户。目录中的这些用户将被配置到 Claude / 控制台。
重要:在保存组映射配置之前,需要访问的所有用户都必须分配到相应的组。这些用户应该已经在启用 SSO 时分配到您的 IdP 中的 Anthropic 应用程序。
故障排除
用户分配正确并显示在目录中,但未被添加为 Claude 的成员?
验证您已购买足够的席位,并且有可用席位可将成员添加到您的组织。
检查 Organization settings > Billing 中显示的可用席位数,如需要,请购买额外席位(请参阅我们的 Team plans 和 Enterprise plans 指南)。
获得可用席位后,返回"Organization and access"页面,点击 Directory sync (SCIM) 旁边的"Sync now"。这将触发同步以为尚未添加为成员的用户配置账户。
用户未被配置为正确的角色
验证用户在您的 IdP 中被分配到正确的组。
验证该组在您的"Organization and access"设置中映射到正确的角色。
对于 JIT:用户需要注销并重新登录以使角色更改生效。
对于 SCIM:点击"Sync Now"以提示立即同步,或等待自动同步周期。
启用组映射后,我失去了管理员/所有者访问权限
当配置组映射的人员未被分配到映射到管理员或所有者角色的组时,会发生这种情况,导致其权限被降级为用户。
要修复此问题:
选项 1:让另一位管理员/所有者恢复您的角色
联系您组织的另一位管理员或所有者。
要求他们导航到 Organization settings > Organization(对于 Claude)或 Settings > Members(对于 Console)。
要求他们将您的角色改回管理员或所有者。
选项 2:通过您的身份提供商修复
在您的 IdP 中,将自己分配到具有正确前缀的组,该组映射到管理员或所有者角色。
对于 JIT:注销并重新登录以恢复访问权限。
对于 SCIM:要求另一位管理员或所有者在"Organization and access"设置中点击"Sync Now",或等待自动同步周期。