跳转到主要内容

使用租户限制强制执行网络级访问控制

租户限制适用于企业计划和控制台组织的成员。

租户限制使企业计划上的IT管理员能够为Claude强制执行网络级访问控制。此功能确保公司网络上的用户只能访问已批准的组织账户,防止个人账户的未授权使用。

工作原理

启用后,您的网络代理会将HTTP标头注入到Claude的请求中。Anthropic验证此标头,并阻止来自不在允许列表中的任何组织的访问。

支持的身份验证方法:

  • 网络访问(claude.ai

  • 桌面/应用访问

  • API密钥身份验证

  • OAuth令牌身份验证

标头格式

anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
  • 组织UUID的逗号分隔列表

  • 值之间没有空格

示例:

anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8

将大型允许列表分散到多个标头中

如果您的允许列表对于代理平台上的单个标头行来说太长,请将其分散到编号的延续标头中。将;n=K附加到基础标头以声明标头行的总数,然后在标头anthropic-allowed-org-ids1anthropic-allowed-org-ids{K-1}中添加剩余的UUID。

anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
  • 最多10个标头行(K ≤ 10)

  • 所有行中最多500个组织UUID

  • 您的代理必须发送每个声明的插槽。如果您设置;n=3,所有三个标头都必须在请求中出现。

  • 配置您的代理以在每个请求上覆盖这些标头,而不是仅在不存在时添加它们。


配置步骤

1. 查找您的组织UUID

企业计划的成员可以在两个不同的位置找到此信息:

  1. 导航到设置 > 账户并找到组织ID

  2. 导航到组织设置 > 组织并向下滚动到页面底部以找到组织ID

控制台组织的成员可以在设置 > 组织中找到此信息。

2. 配置您的网络代理

配置您的代理以为Claude流量注入标头:

Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required

3. 测试您的配置

从受限网络中,使用您的组织API密钥进行测试:

curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'


错误响应

访问被阻止

当用户的组织不在允许列表中时,他们会收到403错误:

{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}

标头配置错误

如果您的代理错误地发送标头,请求将失败,状态为400,并显示以下消息之一:

  • 多个anthropic-allowed-org-ids标头:同一请求上出现了多次标头名称。配置您的代理以覆盖每个标头,而不是附加重复项。

  • 格式错误的anthropic-allowed-org-ids标头:;n=K值无效,声明的延续插槽缺失或额外,或总允许列表超过500个UUID。

支持的代理平台

  • Zscaler ZIA(云应用控制策略)

  • Palo Alto Prisma Access(SaaS应用管理)

  • Cato Networks(租户限制策略)

  • Netskope(标头插入规则)

  • 具有标头注入功能的通用HTTPS代理

用例

场景

标头值

单个组织

<your-org-uuid>

多个组织(合作伙伴)

<org-uuid-1>,<org-uuid-2>

安全优势

  • 数据丢失防护:阻止来自公司网络的个人账户使用。

  • 合规性:强制执行数据驻留和访问策略。

  • 影子IT控制:防止未授权的Claude使用。

  • 审计跟踪:完整的访问尝试可见性。

向后兼容性

  • 对未配置租户限制的网络没有影响。

  • 标准身份验证继续用于非托管网络。

  • 现有API密钥身份验证保持不变。

这是否解答了您的问题?