JIT 配置适用于 Team 计划、Enterprise 计划和 Console 组织。SCIM 配置仅适用于 Enterprise 和 Console 组织。
本指南介绍如何为您的 Claude 或 Claude Console 组织配置用户配置和角色分配。
开始前:本指南假设您已完成设置单点登录 (SSO) 中的步骤,包括域验证和与身份提供商 (IdP) 的 SSO 配置,并且您拥有 Admin (Console) 或 Owner (Claude) 角色。
步骤 1:选择您的配置模式
配置 SSO 后,您需要决定如何将用户配置到您的组织。这由身份和访问设置中的配置模式设置控制。
配置选项
手动是默认选项。用户直接在 Claude 或 Console 设置中添加和删除。
JIT(即时配置):分配给您的 Anthropic IdP 应用的用户在首次登录时自动配置。此选项适用于所有计划。
SCIM:用户根据 IdP 中的分配自动配置和取消配置,无需他们首先登录。SCIM 适用于 Enterprise 计划和拥有自己的父组织或加入 Enterprise 父组织的 Console 组织。SCIM 不适用于 Team 计划或加入 Team 计划父组织的 Console 组织。
配置行为概览
使用此表格帮助决定哪种配置模式适合您的组织:
模式 | 配置 | 角色和座位层级变更 | 移除 |
手动 | 用户手动添加 | 角色和座位层级手动更改 | 用户手动移除 |
JIT | 分配给您的 IdP 应用的用户在登录时以用户角色配置 | 角色和座位层级手动更改 | 需要手动移除:从您的 IdP 应用中移除的用户无法再登录,但在尝试登录或被移除之前仍保留在用户列表中 |
JIT + 高级组映射 | 至少在一个映射组中的用户在登录时以其组成员身份中权限最高的角色配置 | 角色和座位层级在下次登录时根据组成员身份更新 | 没有组访问权限的用户无法登录,但在登录尝试或手动移除之前仍保留在列表中 |
SCIM | 分配给您的 IdP 应用的用户自动配置到加入您的父组织的所有组织。 | 角色和座位层级手动更改 | 从您的 IdP 应用中移除的用户自动移除 |
SCIM + 高级组映射 | 至少在一个映射组中的用户自动配置为适当的角色 | 角色和座位层级变更根据组成员身份自动传播 | 撤销组访问权限时自动移除 |
JIT 和 SCIM 都可以与高级组映射结合使用,以根据 IdP 组成员身份控制角色或座位层级分配。
可用角色和座位层级
产品 | 角色 | 座位层级 |
Claude (Team/Enterprise) | Owner、Admin、User | Premium、Standard |
Console | Admin、Developer、Billing、Claude Code User、User | — |
有关添加和移除成员的详细说明,请参阅购买和管理座位。
步骤 2:设置 SCIM 目录同步(如果使用 SCIM)
注意:如果您使用手动或 JIT 配置,请跳过此步骤。
如果您选择 SCIM 作为配置模式,您需要在启用之前建立身份提供商和 Anthropic 之间的连接。
在 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中导航到您的身份和访问设置
在"全局 SSO 配置"部分中,点击"目录同步 (SCIM)"旁边的"设置 SCIM"(或"管理 SCIM")。
按照 WorkOS 设置指南在您的身份提供商中配置 SCIM。您需要将 WorkOS 中的值复制到您的 IdP 的 Anthropic 应用中。
‼️ 当您到达 IdP 组步骤时,暂停以查看本指南的步骤 3 和 4,以及其他指南。
有关 IdP 特定的 JIT / SCIM 设置说明,请参阅:
查看其他 IdP 此处
连接 IdP 后,继续执行步骤 3。
步骤 3:配置配置模式和高级组映射
在身份和访问设置的组织 SSO 配置部分中,找到配置模式。
从下拉菜单中选择您选择的选项("即时 (JIT)"或"目录同步 (SCIM)")。
如果使用高级组映射,请打开高级组映射。
重要:不要点击"保存更改"。您必须首先确保所有用户都分配给您的 IdP 中的 Anthropic 应用。对于高级组映射,用户还必须分配给适当的组(步骤 4 和 5)。在用户正确分配之前保存将导致这些用户从组织中取消配置。
如果您不使用高级组映射:确保所有用户都分配给您的 IdP 中的 Anthropic 应用以进行 SCIM 配置,然后点击"保存更改"以完成您的设置。
步骤 4:在您的身份提供商中配置组并为高级组映射分配用户
在您的 IdP 中为您想要分配的每个角色和座位层级创建组。
虽然这些组不再有命名要求,但我们建议在组名中包含一些内容(例如
anthropic-claude-或anthropic-console-)以便更容易识别。
将用户添加到您创建的组中,确保至少有一个用户(包括您自己)在将映射到 Admin (Console) 或 Owner (Claude) 角色的组中。
重要:所有需要访问权限的用户必须在下一步中保存高级组映射配置之前分配给适当的组。这些用户应该已经在启用 SSO 时分配给您的 IdP 中的 Anthropic 应用。
步骤 5:将组映射到角色和座位层级
返回到 Claude 或 Console 中的身份和访问设置,并打开高级组映射(如果尚未打开)。
在角色映射部分中,点击每个角色旁边的"添加",并从下拉菜单中选择您的 IdP 中的相应组。
对于 Claude 组织:在座位层级映射部分中,点击每个层级(Premium、Standard)旁边的"添加",并选择相应的组。如果用户未分配给座位层级组,他们将默认分配给最高可用层级。
验证所有必要的组都映射到适当的角色和座位层级。
点击"保存更改"。
注意:Microsoft Entra 每 40 分钟推送一次 SCIM 更改,因此更改可能需要一段时间才能显示。
故障排除
用户分配正确并显示在目录中,但未作为成员添加到 Claude?
验证您是否购买了足够的座位并且有可用座位来将成员添加到您的组织。
检查组织页面上显示的"总座位数",如果需要,购买额外座位。
一旦您有可用座位,返回身份和访问页面,点击目录同步 (SCIM)旁边的"立即同步"。这将触发同步以为那些尚未添加为成员的用户配置帐户。
用户未以正确的角色配置
验证用户在您的 IdP 中分配给正确的组。
验证该组在您的身份和访问设置中映射到正确的角色。
对于 JIT:用户需要注销并重新登录以使角色更改生效。
对于 SCIM:点击"立即同步"以提示立即同步,或等待自动同步周期。
启用高级组映射后我失去了 Admin/Owner 访问权限
当配置高级组映射的人员未分配给映射到 Admin 或 Owner 角色的组时,会发生这种情况,导致其权限被降级为用户。要修复此问题:
选项 1:让另一个 Admin/Owner 恢复您的角色
选项 2:通过您的身份提供商修复
在您的 IdP 中,将自己分配给具有正确前缀的组,该组映射到 Admin 或 Owner 角色。
对于 JIT:注销并重新登录以恢复访问权限。
对于 SCIM:要求另一个 Admin 或 Owner 在身份和访问设置中点击"立即同步",或等待自动同步周期。