摘要:Claude 使用电子邮件作为主要标识符来匹配 SSO 登录与已配置的席位。在 OneLogin 中,SCIM 配置和 SAML SSO 在应用的不同选项卡中配置,可能引用不同的用户配置文件字段,导致不匹配而阻止访问。
症状
用户在尝试通过 SSO 访问 Claude for Enterprise 时可能会遇到以下一个或多个问题:
"账户创建被阻止" — 用户通过 SSO 进行身份验证,但 Claude 找不到匹配的已配置账户。如果您的组织限制了组织创建(推荐),用户将被完全阻止,无法继续。
登陆到免费个人账户 — 如果未限制组织创建,用户将绕过企业组织,创建或登陆到免费个人账户,而不是他们的企业席位。
"请确认您的电子邮件"不匹配 — SSO 回调显示的电子邮件与用户在登录时输入的电子邮件不同。
Claude Code 身份验证失败 — Claude Code CLI 在身份验证流程中显示电子邮件不匹配错误。
这是如何发生的
OneLogin 用户配置文件包含用户名和电子邮件的不同字段,这些字段可能包含不同的值。SCIM 配置参数和 SAML 属性语句是独立配置的,每个都可以从不同的字段中提取:
OneLogin 字段 | 典型值 | 常见用途 |
|
| 有时在 SCIM |
| 建议用于 SCIM 和 SAML | |
| 如果 SSO 用于非电子邮件登录,可能与电子邮件不同 | 旧版或自定义配置 |
自定义用户字段 | 每个组织定义的自定义属性 | 高级属性映射 |
常见的不匹配:SCIM 参数选项卡将电子邮件属性映射到 Username(可能是员工 ID 或短名称),而 SAML 属性语句发送 Email 字段。Claude 需要完全字符串匹配。
常见混淆:OneLogin 的 SCIM 参数和 SAML 属性语句位于同一应用的不同选项卡中 — SCIM 使用参数选项卡,SSO 使用SSO(或带有 SAML 特定字段的参数)选项卡。两者都必须检查并对齐。
诊断步骤
步骤 1 — 确认不匹配
检查 SCIM 电子邮件:在 OneLogin 管理门户中,转到应用程序 → [Claude 应用] → 参数。找到映射到 Claude 接收的电子邮件的字段。注意 OneLogin 值列 — 这显示发送的是哪个用户字段。
检查 SAML 电子邮件:在同一应用中,转到 SSO 选项卡。点击更多操作 → 编辑 SAML 响应或检查 SAML 属性语句部分。找到
email属性并注意其源字段。检查特定用户:在用户 → [用户]中,比较用户的用户名和电子邮件字段。如果它们不同,使用其中一个的任何映射都会导致不匹配。
步骤 2 — 确定问题的范围
确定这是影响一个用户还是系统性问题:
如果大多数或所有已配置的用户共享相同的电子邮件格式不匹配,这是一个系统性属性映射问题,影响您的整个目录。修复方法在您的 IdP 的 SCIM 属性映射中。
如果只有一个或两个用户受影响,而其他用户工作正常,问题可能特定于这些用户账户。直接检查他们的用户配置文件。
步骤 3 — 审查用户字段值
转到用户 → [受影响的用户] → 用户信息。
检查用户名和电子邮件字段。
如果用户名的格式不是有效的电子邮件,SCIM 可能发送的是无效或不匹配的值。
解决方案
将两个映射对齐到电子邮件字段
OneLogin 的 Email 字段是 SCIM 和 SAML 最可靠的来源,因为它设计用来保存有效的电子邮件地址。
更新 SCIM 参数:在应用程序 → [Claude 应用] → 参数中,找到 Claude 接收的电子邮件属性所在的行。将值更改为电子邮件(OneLogin 用户电子邮件字段)。
更新 SAML 属性语句:在 SSO 选项卡(或 SAML 属性的参数)中,更新
email属性值以使用相同的电子邮件字段。点击保存。
触发完整重新同步
关键 — 需要完整同步:增量同步不会在您更改属性映射后更新现有用户。您必须触发配置周期的完整重启。
在应用的配置选项卡中,查找重新同步或同步全部选项并运行它。
要重新配置单个用户:转到用户 → [用户] → 应用程序,找到 Claude 应用,并使用重新配置。
检查 OneLogin 配置活动日志中的错误。
在要求用户重试登录之前,验证更新的电子邮件值是否出现在日志中。
修复后清理
在更正属性映射并完成完整同步后,根据您的情况,您可能需要进行额外的清理:
流氓免费账户:如果在修复之前未限制组织创建,某些用户可能无意中创建了免费个人 Claude 账户。联系 Anthropic 支持以删除这些账户。
幽灵账户(错误电子邮件席位):最初配置的账户(使用不正确的电子邮件)可能仍然存在于您的企业组织中,占用永远无法使用的席位。联系 Anthropic 支持以取消配置这些幽灵账户。
席位可用性:如果幽灵账户占用了所有合同席位,即使映射已修复,新登录也会因席位不足错误而失败。如果您遇到这种情况,请联系支持。
重新添加受影响的用户:删除幽灵账户后,具有更正电子邮件的用户可能需要重新邀请或重新配置。
防止未来发生:在您的企业设置中启用"限制组织创建"。
验证
完成修复和任何清理后,验证以下内容:
检查已配置用户的样本 — 确认他们在 IdP 配置日志中的电子邮件与 SSO 发送的电子邮件格式匹配。
要求受影响的用户清除
claude.ai的浏览器 Cookie,然后通过 SSO 登录。确认用户没有意外创建免费账户。
如果 Claude Code 受到影响,让用户重新运行
claude auth login --enterprise并确认电子邮件与他们的企业席位匹配。
常见陷阱
陷阱 | 解决方案 |
用户名字段包含短名称或员工 ID,而不是电子邮件 | 将 SCIM 切换为使用电子邮件字段。 |
SAML 属性已更新,但 SCIM 参数未更改 | 参数选项卡(用于 SCIM)和 SSO/SAML 属性都必须独立更新。 |
重新同步似乎没有触发 | 尝试从应用中删除并重新分配受影响的单个用户。 |
自定义用户字段已映射但某些用户为空 | 切换到标准电子邮件字段。 |
SCIM 中的电子邮件已更新,但用户仍无法登录 | 检查流氓免费组织或幽灵账户。清除浏览器 Cookie 并重试。 |
尝试重新添加用户时出现"邀请域不允许" | 您的组织域可能未在 Claude 中验证。联系 Anthropic 支持。 |
何时联系 Anthropic 支持
SCIM 和 SSO 属性看起来相同,但用户仍无法访问他们的席位。
您需要确认 Claude 在 SCIM 配置期间为特定用户记录的电子邮件。
您需要帮助清理幽灵账户或流氓免费组织。
用户遇到席位不足错误,尽管您的合同有可用席位。
联系 [email protected],并提供您的组织域、受影响用户的电子邮件地址以及您的属性映射的屏幕截图。