摘要:Claude 使用电子邮件作为主要标识符来匹配 SSO 登录和已配置的座位。在 Google Workspace 中,SCIM 自动配置和 SAML SSO 可能会发送不同的电子邮件值——尤其是当用户拥有电子邮件别名时——导致不匹配,从而阻止访问。
症状
用户在尝试通过 SSO 访问 Claude for Enterprise 时可能会遇到以下一种或多种情况:
"账户创建被阻止"——用户通过 SSO 进行身份验证,但 Claude 找不到匹配的已配置账户。如果您的组织限制了组织创建(推荐),用户将被完全阻止,无法继续。
登陆到免费个人账户——如果未限制组织创建,用户将绕过企业组织,创建或登陆到免费个人账户,而不是他们的企业座位。
"请确认您的电子邮件"不匹配——SSO 回调显示的电子邮件与用户在登录时输入的电子邮件不同。
Claude Code 身份验证失败——Claude Code CLI 在身份验证流程中显示电子邮件不匹配错误,阻止用户连接到企业组织。
这是如何发生的
Google Workspace 用户账户有一个主电子邮件,可能有多个别名。SCIM 配置和 SAML SSO 在 Google 管理控制台中分别配置,可以从不同的地址字段中提取:
Google 属性 | 典型值 | 常见用途 |
| 建议用于 SCIM 和 SAML | |
电子邮件别名 | 有时在 SCIM 中被错误映射 | |
自定义架构字段 | 按组织定义的自定义属性 | 高级属性映射 |
组织单位电子邮件 | OU 派生的地址变体 | 很少在复杂的组织结构中使用 |
最常见的不匹配:SCIM 配置为发送别名地址,而 SAML 发送主电子邮件(或反之)。由于别名和主电子邮件是不同的字符串,Claude 无法匹配它们。Claude 需要完全字符串匹配。
常见混淆:在 Google 管理控制台中,SCIM 自动配置设置和 SAML 属性映射位于同一应用程序内的不同选项卡上。管理员有时会更新其中一个而忽略另一个。请验证两个位置。
诊断步骤
步骤 1——确认不匹配
检查 SCIM 电子邮件:在 Google 管理控制台中,转到 应用 → Web 和移动应用 → [Claude 应用] → 自动配置。检查哪个属性映射到发送给 Claude 的电子邮件字段。
检查 SAML 电子邮件:在同一应用程序中,转到 SAML 属性映射部分。找到映射到
email的属性并记下其来源。检查特定用户:在 目录 → 用户 → [用户] 中,比较用户的主电子邮件与任何列出的别名电子邮件。
步骤 2——确定问题的范围
确定这是影响一个用户还是系统性问题:
如果大多数或所有已配置的用户共享相同的电子邮件格式不匹配,这是一个系统性属性映射问题。修复方案在您的 IdP 的 SCIM 属性映射中。
如果只有一两个用户受到影响,问题可能特定于这些用户账户。直接检查他们的用户配置文件。
步骤 3——检查 SAML 配置中的名称 ID
在应用设置中,转到 SAML → 服务提供商详情。
确认名称 ID设置为基本信息 → 主电子邮件。
如果名称 ID 设置为自定义架构字段或别名,它可能会发送与 SCIM 不同的值。
解决方案
将两个映射对齐到 primaryEmail
Google Workspace 的 primaryEmail 是 SCIM 和 SAML 最可靠的来源。
更新 SCIM 配置:在 应用 → Web 和移动应用 → [Claude 应用] → 自动配置 → 属性映射中,确保电子邮件属性映射到
primaryEmail。更新 SAML 名称 ID:在 SAML → 服务提供商详情中,将名称 ID设置为基本信息 → 主电子邮件。
更新 SAML 属性映射:在属性映射步骤中,确保
email属性映射到基本信息 → 主电子邮件。保存所有更改。
触发完整重新同步
关键——需要完整同步:增量同步不会在您更改属性映射后更新现有用户。您必须触发配置周期的完整重启。
在 Google 管理控制台中,转到应用的自动配置设置。
暂时暂停配置,然后重新启用它。这将触发所有已分配用户的完整同步。
或者,从应用分配中删除并重新添加受影响的用户,以强制重新配置他们的个人记录。
监控配置日志中的错误,并在要求用户重试之前确认用户电子邮件已更新以匹配 SAML 格式。
修复后清理
在更正属性映射并完成完整同步后,您可能需要进行额外的清理:
流氓免费账户:如果在修复之前未限制组织创建,某些用户可能无意中创建了免费个人 Claude 账户。联系 Anthropic 支持以删除这些账户。
幽灵账户(错误电子邮件座位):最初配置的账户(使用不正确的电子邮件)可能仍然存在于您的企业组织中,占用座位。联系 Anthropic 支持以取消配置这些幽灵账户。
座位可用性:如果幽灵账户占用了所有合同座位,新登录将失败并显示座位不足错误。取消配置幽灵账户可释放这些座位。
重新添加受影响的用户:删除幽灵账户后,具有更正电子邮件的用户可能需要重新邀请或重新配置。
防止未来发生:在您的企业设置中启用"限制组织创建"。这可防止尚未配置的用户意外创建免费个人账户。
验证
检查已配置用户的样本——确认他们在 IdP 配置日志中的电子邮件与 SSO 发送的电子邮件格式匹配。
要求受影响的用户清除
claude.ai的浏览器 Cookie,然后通过 SSO 登录。他们应该直接登陆到企业工作区,不会出现任何错误。确认用户没有意外创建免费账户——如果限制了组织创建,被阻止的用户将看到清晰的错误,而不是登陆到个人账户。
如果 Claude Code 受到影响,让用户重新运行
claude auth login --enterprise并确认电子邮件与他们的企业座位匹配。
常见陷阱
陷阱 | 解决方案 |
SCIM 发送别名,而 SAML 发送主电子邮件 | 始终对两者使用 |
未检查 SAML 设置中的名称 ID | 名称 ID 字段确定登录时发送的电子邮件。这与属性映射部分分开。检查两者。 |
自定义架构字段对某些用户为空 | 坚持使用标准 Google 属性,如 |
映射更改后重新配置不会自动触发 | 您可能需要手动暂停并重新启用配置以强制完整同步。 |
用户的主电子邮件已更改,但旧电子邮件仍显示在 Claude 中 | 主电子邮件更改后需要完整重新同步。 |
SCIM 中的电子邮件已更新,但用户仍无法登录 | 检查流氓免费组织或幽灵账户。清除浏览器 Cookie 并重试。 |
何时联系 Anthropic 支持
SCIM 和 SSO 属性看起来相同,但用户仍然无法访问他们的座位。
您需要确认 Claude 在 SCIM 配置期间为特定用户记录的电子邮件。
您需要帮助清理幽灵账户或流氓免费组织。
用户遇到座位不足错误,尽管您的合同有可用座位。
联系 [email protected],并提供您的组织域、受影响用户的电子邮件地址以及您的属性映射的屏幕截图。