JIT 预配适用于 Team 计划、Enterprise 计划和 Console 组织。SCIM 预配仅适用于 Enterprise 和 Console 组织。
本指南介绍如何为您的 Claude 或 Claude Console 组织配置用户预配和角色分配。
开始前:本指南假设您已完成设置单点登录 (SSO) 中的步骤,包括域验证和与身份提供商 (IdP) 的 SSO 配置,并且您拥有 Admin (Console) 或 Owner (Claude) 角色。
步骤 1:选择您的预配模式
配置 SSO 后,您需要决定如何将用户预配到您的组织。这由组织设置 > 身份和访问中的预配模式设置控制。
预配选项
仅邀请是默认选项。用户直接在 Claude 或 Console 设置中添加和删除。
自动批准 (JIT):分配给您的 Anthropic IdP 应用的用户在首次登录时会自动预配。此选项适用于所有计划。
与 SCIM 同步:用户根据 IdP 中的分配自动预配和取消预配,无需他们首先登录。SCIM 适用于 Enterprise 计划和拥有自己的父组织或加入 Enterprise 父组织的 Console 组织。SCIM 不适用于 Team 计划或加入 Team 计划父组织的 Console 组织。
预配行为概览
使用此表格帮助决定哪种预配模式适合您的组织:
模式 | 预配 | 角色和座位类型更改 | 删除 |
仅邀请 | 用户手动添加 | 角色和座位类型手动更改 | 用户手动删除 |
自动批准 (JIT) | 分配给您的 IdP 应用的用户在登录时以用户角色预配 | 角色和座位类型手动更改 | 需要手动删除:从您的 IdP 应用中删除的用户无法再登录,但在尝试登录或被删除之前仍保留在用户列表中 |
JIT + 组映射 | 至少在一个映射组中的用户在登录时以其组成员身份中权限最高的角色预配 | 角色和座位类型在下次登录时根据组成员身份更新 | 没有组访问权限的用户无法登录,但在登录尝试或手动删除之前仍保留在列表中 |
与 SCIM 同步 | 分配给您的 IdP 应用的用户自动预配到加入您的父组织的所有组织。 | 角色和座位类型手动更改 | 从您的 IdP 应用中删除的用户会自动删除 |
SCIM + 组映射 | 至少在一个映射组中的用户自动预配(具有适当的角色)到仅加入该组所在的父组织的组织。 | 角色和座位类型更改根据组成员身份自动传播 | 撤销组访问权限时自动删除 |
JIT 和 SCIM 都可以与启用组映射结合使用,以根据 IdP 组成员身份控制角色或座位层级分配。如果您为预配模式选择这些选项之一,启用组映射将在该部分中显示:
可用角色和座位层级
产品 | 角色 | 座位类型 |
Team 计划 / 基于座位的 Enterprise 计划 | Owner、Admin、User | Premium、Standard |
基于使用量的 Enterprise 计划(两种座位类型) | Owner、Admin、User | Chat、Chat + Claude Code |
基于使用量的 Enterprise 计划(单一座位类型) | Owner、Admin、User | 企业版 |
控制台 | 管理员、开发者、账单、Claude Code 用户、用户 | — |
步骤 2:设置 SCIM 目录同步(如果使用 SCIM)
注意:如果您使用的是"仅邀请"或 JIT 预配,请跳过此步骤。
如果您选择 SCIM 作为预配模式,需要在启用前建立身份提供商与 Anthropic 之间的连接。
在 Claude 中导航到您的身份和访问设置(claude.ai/admin-settings/identity)或控制台(platform.claude.com/settings/identity)
在全局访问设置部分,点击目录同步 (SCIM)旁边的"设置 SCIM"(或"管理 SCIM")。
按照 WorkOS 设置指南在您的身份提供商中配置 SCIM。您需要将 WorkOS 中的值复制到您的 IdP 的 Anthropic 应用程序中。
‼️ 当您到达 IdP 组步骤时,暂停以查看本指南的步骤 3 和 4,以及其他指南。
有关 IdP 特定的 JIT / SCIM 设置说明,请参阅:
查看其他 IdP 此处
IdP 连接后,继续进行步骤 3。
步骤 3:配置预配模式并启用组映射
在您的身份和访问设置的全局访问设置部分中,找到预配模式。
从下拉菜单中选择您选择的选项:
仅邀请:新成员只能通过现有成员的手动邀请加入。仅 SSO 访问不会将他们添加到您的组织。
自动批准 (JIT):允许具有 SSO 访问权限的人员在首次登录时加入。每个新成员使用您可用席位中的一个。
与 SCIM 同步:当您的目录更改时自动添加或删除成员。您的组织始终保持最新。
如果您选择了"自动批准 (JIT)"或"与 SCIM 同步",请勿立即点击"保存更改"。您必须首先确保所有用户都已分配到您的 IdP 中的 Anthropic 应用程序。
确认所有用户都已在您的 IdP 中分配后,您可以:
点击"保存更改"以完成设置并触发初始预配,或
打开启用组映射并转到步骤 4。
重要:在用户未正确分配的情况下保存将导致这些用户从组织中被取消预配。
步骤 4:在您的身份提供商中配置组,并将组映射到角色和席位类型
在您的 IdP 中为您想要分配的每个角色创建组。除非您使用的是单席位企业计划,否则也为每个席位类型创建组。
虽然这些组不再有命名要求,但我们建议在组名中包含一些内容(例如
anthropic-claude-或anthropic-console-),以便更容易识别。
将用户添加到您创建的组中,确保至少一个用户(包括您自己)在将映射到管理员 (Console) 或所有者 (Claude) 角色的组中。
返回到 Claude 或控制台中的身份和访问设置,并找到预配模式。
打开启用组映射(如果尚未打开):
在启用组映射部分中,点击每个角色旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。
注意:使用组映射时,您必须将所有用户分配到基于角色的组,以确保为他们预配帐户。将用户分配到基于席位层的组是可选的。
对于除单席位企业外的所有计划:在将席位层分配给 IdP 组部分(可选)中,点击每个席位类型旁边的"添加",并从您的 IdP 中选择相应的组。如果用户未分配到席位类型组,默认情况下将分配给最高可用类型。
对于单席位企业:席位类型映射不适用。所有预配的用户都会自动分配一个企业席位,前提是您的组织中有可用的席位。
验证所有必要的组都映射到相应的角色和席位类型。
点击"保存更改"。
注意:Microsoft Entra 每 40 分钟才推送一次 SCIM 更改,因此更改可能需要一段时间才能显示。您可以通过点击"管理 SCIM"并查看目录来检查从您的 IdP 同步的用户。目录中的这些用户将被预配到 Claude / 控制台。
重要:在保存组映射配置之前,需要访问的所有用户都必须分配到相应的组。这些用户应该已经在启用 SSO 时分配到您的 IdP 中的 Anthropic 应用程序。
故障排除
用户分配正确并显示在目录中,但未被添加到 Claude 作为成员?
验证您有足够的席位已购买且可用于将成员添加到您的组织。
获得可用席位后,返回身份和访问页面,点击目录同步 (SCIM)旁边的"立即同步"。这将触发同步以为尚未添加为成员的用户预配帐户。
用户未被配置正确的角色
验证用户在您的身份提供商中被分配到正确的组。
验证该组在您的身份和访问设置中映射到正确的角色。
对于 JIT:用户需要注销并重新登录以使角色更改生效。
对于 SCIM:点击"立即同步"以触发立即同步,或等待自动同步周期。
启用组映射后,我失去了管理员/所有者访问权限
当配置组映射的人员未被分配到映射到管理员或所有者角色的组时,会发生这种情况,导致其权限被降级为用户。
要解决此问题:
选项 1:让另一位管理员/所有者恢复您的角色
选项 2:通过您的身份提供商修复
在您的身份提供商中,将自己分配到具有正确前缀的组,该组映射到管理员或所有者角色。
对于 JIT:注销并重新登录以恢复访问权限。
对于 SCIM:要求另一位管理员或所有者在身份和访问设置中点击"立即同步",或等待自动同步周期。