租户限制适用于 Enterprise 计划和 Console 组织的成员。
租户限制使 Enterprise 计划上的 IT 管理员能够为 Claude 实施网络级访问控制。此功能确保公司网络上的用户只能访问已批准的组织账户,防止个人账户的未授权使用。
工作原理
启用后,您的网络代理会将 HTTP 标头注入到 Claude 的请求中。Anthropic 验证此标头,并阻止来自不在允许列表中的任何组织的访问。
支持的身份验证方法:
Web 访问 (claude.ai)
桌面/应用访问
API 密钥身份验证
OAuth 令牌身份验证
标头格式
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
组织 UUID 的逗号分隔列表
值之间没有空格
示例:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
配置步骤
1. 查找您的组织 UUID
Enterprise 计划的成员可以在两个不同的位置找到此信息:
Console 组织的成员可以在设置 > 组织中找到此信息。
2. 配置您的网络代理
配置您的代理以为 Claude 流量注入标头:
规则:Claude 租户限制
应用程序:claude.ai, api.anthropic.com
操作:注入标头
标头名称:anthropic-allowed-org-ids
标头值:
TLS 检查:必需
3. 测试您的配置
从受限网络中,使用您组织的 API 密钥进行测试:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-20250514","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
错误响应
当访问被阻止时,用户会收到以下错误:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
支持的代理平台
Zscaler ZIA(云应用控制策略)
Palo Alto Prisma Access(SaaS 应用管理)
Cato Networks(租户限制策略)
Netskope(标头插入规则)
具有标头注入功能的通用 HTTPS 代理
用例
场景 | 标头值 |
单个组织 |
|
多个组织(合作伙伴) |
|
安全优势
数据丢失防护:阻止从公司网络使用个人账户。
合规性:强制执行数据驻留和访问策略。
影子 IT 控制:防止未授权的 Claude 使用。
审计跟踪:完整的访问尝试可见性。
向后兼容性
对未配置租户限制的网络没有影响。
非托管网络继续进行标准身份验证。
现有 API 密钥身份验证保持不变。