本指南涵盖的内容:Claude 使用电子邮件作为主要标识符来匹配 SSO 登录与已配置的席位。在 Microsoft Entra ID 中,SCIM 配置和 SSO 身份验证配置在不同的位置,可能从不同的用户属性中提取电子邮件——导致不匹配,从而阻止访问。本指南将介绍如何识别问题、修复属性映射以及清理任何副作用。
症状
用户在尝试通过 SSO 访问 Claude for Enterprise 时可能会遇到以下一个或多个问题:
"账户创建被阻止"——用户通过 SSO 进行身份验证,但 Claude 找不到匹配的已配置账户。如果限制了组织创建(推荐),用户将被完全阻止。
登陆到免费个人账户——如果未限制组织创建,用户将绕过企业组织,创建或登陆到免费个人账户。
"请确认您的电子邮件"不匹配——SSO 回调显示的电子邮件与用户在登录时输入的电子邮件不同。
Claude Code 身份验证失败——Claude Code CLI 在身份验证流程中显示电子邮件不匹配错误。
发生原因
Microsoft Entra ID 用户账户有多个类似电子邮件的属性,可以保存不同的值。SCIM 配置和 SSO 身份验证在不同的管理区域中配置,每个都可以从不同的属性中提取:
Entra 属性 | 典型值 | 常见用途 |
userPrincipalName |
| 默认 SCIM userName 映射 |
| OIDC / SAML 电子邮件声明 | |
proxyAddresses |
| Exchange / M365 主地址 |
otherMails | 可能包含别名或辅助地址 | 替代联系电子邮件 |
当 SCIM 从一个属性提取电子邮件,而 SSO 从另一个属性发送电子邮件时,就会发生不匹配。即使是细微的差异也会阻止访问——Claude 需要完全字符串匹配。
常见混淆:Entra 有两个独立的管理区域。SCIM 配置应用位于企业应用程序下。SSO/OIDC 应用位于应用注册下。IT 管理员经常导航到错误的位置。
诊断步骤
步骤 1——确认不匹配
检查 SCIM 电子邮件:在 Entra 管理中心 → 企业应用程序 → [Claude SCIM 应用] → 配置 → 配置日志中,找到最近配置的用户并检查修改的属性。映射到
emails[type eq "work"].value的值是 SCIM 发送给 Claude 的内容。检查 SSO 电子邮件:在企业应用程序 → [Claude 应用] → 单一登录 → 属性和声明中,找到电子邮件声明。对于 OIDC 应用,检查应用注册 → [Claude 应用] → 令牌配置。
如果两个源属性指向不同的字段,您已确认了不匹配。
步骤 2——确定范围
如果大多数或所有已配置的用户共享相同的格式不匹配,这是一个系统性属性映射问题。修复方案在 SCIM 属性映射配置中。
如果只有一两个用户受影响,请直接在 Entra 中检查他们的用户配置文件。
步骤 3——检查 OIDC 令牌声明(仅限 OIDC 应用)
在 Entra 管理中心,转到应用注册(不是企业应用程序)。
找到 Claude OIDC 应用并点击令牌配置。
检查
email可选声明。与您的 SCIM 属性映射交叉参考,以确认它们是否匹配。
解决方案
修复 SCIM 属性映射
导航到 SCIM 配置应用——不是 SSO/OIDC 应用:
转到Entra 管理中心 → 企业应用程序。
搜索 Claude SCIM 应用。查找具有配置部分的应用。
点击配置 → 编辑配置 → 属性映射。
找到 SCIM 属性为
emails[type eq "work"].value的行。点击它进行编辑。将源属性更改为与 SSO 发送的内容匹配——通常是
mail。同时检查
userName映射,如果需要则更新。点击保存。
触发完整配置同步
需要完整同步——增量同步不起作用。您必须触发配置周期的完整重启。
转到配置概览页面。
点击重启配置。
等待同步完成。
在配置日志中验证用户电子邮件已更新为正确的格式。