租户限制适用于企业计划和控制台组织的成员。
租户限制使企业计划上的IT管理员能够为Claude强制执行网络级访问控制。此功能确保公司网络上的用户只能访问已批准的组织账户,防止个人账户的未授权使用。
工作原理
启用后,您的网络代理会将HTTP标头注入到Claude的请求中。Anthropic验证此标头,并阻止来自不在允许列表中的任何组织的访问。
支持的身份验证方法:
网络访问(claude.ai)
桌面/应用访问
API密钥身份验证
OAuth令牌身份验证
标头格式
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
组织UUID的逗号分隔列表
值之间没有空格
示例:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
将大型允许列表分散到多个标头中
如果您的允许列表对于代理平台上的单个标头行来说太长,请将其分散到编号的延续标头中。将;n=K附加到基础标头以声明标头行的总数,然后在标头anthropic-allowed-org-ids1到anthropic-allowed-org-ids{K-1}中添加剩余的UUID。
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
最多10个标头行(
K≤ 10)所有行中最多500个组织UUID
您的代理必须发送每个声明的插槽。如果您设置
;n=3,所有三个标头都必须在请求中出现。配置您的代理以在每个请求上覆盖这些标头,而不是仅在不存在时添加它们。
配置步骤
1. 查找您的组织UUID
企业计划的成员可以在两个不同的位置找到此信息:
控制台组织的成员可以在设置 > 组织中找到此信息。
2. 配置您的网络代理
配置您的代理以为Claude流量注入标头:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. 测试您的配置
从受限网络中,使用您的组织API密钥进行测试:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
错误响应
访问被阻止
当用户的组织不在允许列表中时,他们会收到403错误:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
标头配置错误
如果您的代理错误地发送标头,请求将失败,状态为400,并显示以下消息之一:
多个
anthropic-allowed-org-ids标头:同一请求上出现了多次标头名称。配置您的代理以覆盖每个标头,而不是附加重复项。格式错误的
anthropic-allowed-org-ids标头:;n=K值无效,声明的延续插槽缺失或额外,或总允许列表超过500个UUID。
支持的代理平台
Zscaler ZIA(云应用控制策略)
Palo Alto Prisma Access(SaaS应用管理)
Cato Networks(租户限制策略)
Netskope(标头插入规则)
具有标头注入功能的通用HTTPS代理
用例
场景 | 标头值 |
单个组织 |
|
多个组织(合作伙伴) |
|
安全优势
数据丢失防护:阻止来自公司网络的个人账户使用。
合规性:强制执行数据驻留和访问策略。
影子IT控制:防止未授权的Claude使用。
审计跟踪:完整的访问尝试可见性。
向后兼容性
对未配置租户限制的网络没有影响。
标准身份验证继续用于非托管网络。
现有API密钥身份验证保持不变。
