跳转到主要内容

在企业计划中设置基于角色的权限

更新于今天

本指南将引导您为企业组织设置基于角色的权限。这样您可以控制特定团队或成员组可以访问哪些功能,而不是给所有人相同的权限。

在开始之前,请确保您熟悉:

开始之前

您需要对企业组织拥有所有者或主要所有者访问权限。

检查在组织级别启用了哪些功能。转到组织设置并确保您知道成员当前可以访问哪些功能。对于由 RBAC 管理的设置,需要同时启用组织设置和角色设置,用户才能获得访问权限。

备份您的成员列表。在进行任何更改之前,从组织设置 > 成员导出当前成员的 CSV。如果迁移过程中出现问题,这可以让您参考以恢复访问权限。请参阅在团队和企业计划中管理成员

确定哪些团队或职能部门需要每项功能。例如,工程部门获得 Claude Code + 快速模式,市场部门获得协作 + 网络搜索。从这里定义您的自定义角色。

双座位计划。如果您的组织使用双座位企业计划(具有聊天和聊天 + Claude Code 座位),自定义角色不会覆盖座位级别的限制。分配给仅聊天座位的成员无法访问 Claude Code,即使其自定义角色授予了该权限。在规划角色结构时要考虑座位分配。

决定如何创建组。您可以在 Claude 中手动创建组,或通过 SCIM 从身份提供商 (IdP) 同步组。您也可以同时使用两种方法。如果您计划使用来自 Okta、Entra ID 或其他提供商的 IdP 组,请确保配置了 SCIM 目录同步。请参阅设置 JIT 或 SCIM 预配

规划您的角色结构

在创建任何内容之前,决定每个团队或成员组应该有权访问哪些功能。以下是三种常见模式:

基础加附加角色

这是大多数组织推荐的方法。为所有人创建一个"标准访问"角色,包含网络搜索、记忆和项目等常见功能。然后创建附加角色来授予特定功能 — 例如,一个"启用协作"角色,仅添加协作功能。通过"所有用户"组将所有成员分配给基础角色,并将特定成员添加到额外的组以分层添加功能。

这种模式很灵活,因为权限是附加的 — 将基础角色与附加角色组合可以干净地组合,不会产生冲突。

基于层级的角色

创建不同的层级:"完全访问"具有所有功能,"标准访问"具有大多数功能,"受限访问"具有最少功能。每个成员恰好进入一个分配给一个层级的组。

基于部门的角色

创建映射到部门的角色:"工程"具有协作、Claude Code 和代码执行;"研究"具有网络搜索、记忆和项目;"业务"仅具有网络搜索和项目。将每个部门组分配给其对应的角色。

步骤 1:审计您的当前设置

  1. 组织设置 > 功能中查看当前在组织级别启用或禁用了哪些功能。

  2. 转到组织设置 > 成员以导出或查看您的成员列表。

  3. 记下每个成员当前的内置角色(用户、管理员或所有者)。

  4. 对于每个团队或部门,决定他们需要访问哪些功能。

记住:您想要按组控制的任何功能都必须在组织级别启用。如果功能在组织级别被关闭,任何自定义角色都无法授予对其的访问权限。

重要:与具有用户角色的成员不同,分配给自定义角色的成员不会自动继承组织启用的功能。自定义角色成员需要的每项功能都必须由分配给其某个组的自定义角色明确授予。

步骤 2:创建自定义角色

在启用任何功能或迁移成员之前创建自定义角色。这确保您的角色已准备好在功能打开时立即强制执行访问。

  1. 导航到组织设置 > 自定义角色

  2. 点击"添加 角色"。

  3. 命名角色并切换适当的功能。

  4. 点击"添加角色"。

  5. 对计划中的每个角色重复此操作。

对自定义角色的更改最多需要五分钟才能传播。成员可能需要刷新浏览器以查看更新的访问权限。

有关可用功能的详细信息,请参阅在企业计划中管理自定义角色

步骤 3:创建组并分配角色

  1. 导航到组织设置 > 组

  2. 点击"添加组"为计划中的每个团队或层级创建一个组。

  3. 将成员添加到适当的组。

  4. 将每个组分配给您在步骤 2 中创建的自定义角色。

如果您使用 SCIM 目录同步,可以从身份提供商同步组,而不是手动创建组。有关 SCIM 组同步的详细信息,请参阅在企业计划中管理组和组支出限制

同一父组织下的多个组织:组在父组织级别进行管理,并传播到所有子组织。您可能会看到来自其他组织的成员列在一个组中 — 这并不意味着他们有权访问您的组织。分配给组的自定义角色仅向属于您特定组织的成员授予功能。

如果您请求将组织从一个父组织移动到另一个(这在实践中很少见),组和角色将变为未定义,您需要重新创建它们。

重要:如果您的组织使用仅邀请或 JIT 预配,您只能使用手动创建的组进行 RBAC。这些模式不支持 SCIM 同步的组。

步骤 4:验证组和角色分配

在将成员迁移到自定义角色之前,确认您计划迁移的每个成员都至少在一个分配给自定义角色的组中。在没有组或角色覆盖的情况下迁移的成员将失去对所有受管功能的访问权限。

  1. 导航到组织设置 > 成员

  2. 使用角色和组筛选器来识别未分配到任何组的成员。

  3. 或者,点击"导出 CSV"下载包含角色和组列的完整成员列表以供审查。

  4. 在继续之前,将任何未分配的成员添加到相应的组。

步骤 5:将成员迁移到自定义角色

要使自定义角色功能生效,成员必须将其角色设置为"自定义角色"。具有用户、管理员或所有者角色的成员直接从这些角色获取权限,而不是从自定义角色获取。

重要提示:仅在创建自定义角色、创建组并验证所有成员都已分配到组(步骤 2–4)之后才完成此步骤。在设置完成前移至自定义角色的成员将立即失去对所有受管功能的访问权限。

根据您的组织是否已启用组映射来选择迁移路径:

路径 A:启用组映射(仅在已使用时)

仅当您的组织已为角色分配启用了组映射时,才使用此路径。如果您还未使用此设置,请跳至路径 B。

  1. 导航到"组织设置">"身份和访问"。

  2. 在角色映射部分,将您希望由自定义角色管理的 IdP 组分配给自定义角色角色。

  3. 保存您的更改。这些 IdP 组中的成员将在下次同步时迁移到自定义角色。

映射到自定义角色的 IdP 组中的成员遵循分配给他们在 Claude 中的组的自定义角色的权限。映射到用户的 IdP 组中的成员遵循组织级功能设置。如果成员属于跨两个映射的组,自定义角色优先。

路径 B:批量分配工具

如果您的组织尚未启用组映射,请使用此路径。

警告:如果您尚未启用组映射,请勿在 RBAC 设置期间启用它。在未先将所有成员分配到映射组的情况下启用它可能导致成员失去对您的组织的访问权限。

  1. 导航到组织设置 > 成员

  2. 使用角色和组筛选器选择您想要迁移的成员。

  3. 使用成员表中的批量分配工具将所选成员的角色更改为自定义角色。

我们建议先迁移一个试点组(一个团队或部门),并在扩展到组织其余部分之前验证其访问权限是否正确。

逐步推出

无论您使用哪条路径,我们建议分阶段迁移:

  1. 从一个团队或部门的试点组开始。

  2. 迁移后,验证试点组根据其组和角色分配具有正确的功能访问权限。

  3. 如果出现问题,请在调整时将受影响的成员切换回其之前的角色。

  4. 确认设置有效后,扩展到更多成员。

步骤 6:在组织级别启用功能

仅在角色、组和成员迁移完成后才启用组织级功能。这确保自定义角色功能已就位,没有未授权成员可以访问功能的时间窗口。

对于您想要按组控制的任何功能:

  1. 导航到组织设置中的功能设置页面(例如,组织设置 > 协作)。

  2. 在组织级别启用该功能。

在组织级别启用功能并不意味着每个人都能获得它——自定义角色权限已就位以控制谁可以使用它。将组织级切换视为使功能"可用于基于角色的分配"而不是"对所有人开启"。

步骤 7:应用组支出限制(仅限基于使用情况的组织)

导航到"使用情况"页面,为任何组分配每用户每月支出限制。

请注意以下优先级规则:

  • 个人限制始终覆盖组限制,无论哪个更高。

  • 如果用户属于具有不同限制的多个组,组织可以应用最低或最高支出限制。使用"支出默认值"下的下拉菜单确定您想要应用的优先级。

  • 组织范围的限制仍然是硬上限。

成员资格更改会自动生效——用户在其组成员资格更改时立即继承或失去限制。仅与基于使用情况的计费组织相关。

步骤 8:验证和监控

  1. 抽查访问权限:检查每个组中的几个成员,以确认他们看到正确的功能。

  2. 测试受限状态:以不应该拥有协作等功能的成员身份登录(或询问)。他们应该看到它呈灰色显示,并显示消息"请联系您的管理员以请求访问此功能"。

  3. 测试授予状态:确认应该拥有该功能的成员看到它正常工作。

  4. 检查边界情况:测试属于多个组的成员、没有组的成员以及通过 SSO 加入的新成员。

权限更改最多需要五分钟才能在整个平台上完全同步。成员可能需要刷新浏览器以查看更新的访问权限。

将 SCIM 与基于角色的功能结合使用

SCIM 通过两个协同工作的机制连接到您的基于角色的功能。

IdP 组到角色的映射

这控制成员在配置时获得的内置角色。将您的 IdP 组映射到"自定义角色",以便新成员的访问权限自动由自定义角色功能管理。

  1. 导航到组织设置 > 身份和访问

  2. 在角色映射表中,将您的 IdP 组映射到"自定义角色"。

组同步

这会将您的 IdP 组拉入 Claude,以便将其分配给自定义角色。

  1. 导航至 组织设置 > 组

  2. SCIM 同步部分中点击"检查更新"。

  3. 当系统提示同步组、成员或两者时,仅选择组。同步成员可能会影响配置和成员访问权限。

  4. 您的 IdP 组在列表中显示为 SCIM 源组。

  5. 将 SCIM 组分配给自定义角色,就像手动创建的组一样。

  6. 在您的 IdP 中,仅推送您实际打算用于 RBAC 或支出限制的组。同步所有 IdP 组可能会减慢"组"部分中的页面加载速度。

注意:自定义角色权限仅适用于在 组织设置 > 成员中选择了"自定义角色"的成员。如果您通过组到角色的映射将 IdP 组映射到不同的角色(如用户),但将同一 SCIM 组分配给自定义角色,则自定义角色的权限无效——成员从其分配的角色获得权限。要使用自定义角色,请确保 IdP 组映射到"自定义角色"。

使用 SCIM 进行持续管理

  • 要授予成员对功能的访问权限,请将其添加到相应的 IdP 组。在下次同步时,他们将获得分配给该组的自定义角色。

  • 要撤销访问权限,请将其从 IdP 组中删除。在下次同步时,权限将被移除。

  • 在"组"部分中点击"SCIM 同步"以强制立即同步,而不是等待下次计划的同步。

回滚计划

如果您在迁移后发现角色结构配置错误:

  1. 关闭作为迁移一部分启用的任何组织级功能。

  2. 将受影响的成员改回其之前的内置角色(例如,用户)。

  3. 他们立即恢复该角色的静态权限,自定义角色权限停止应用。

  4. 根据需要调整角色和组,然后重新迁移。

如果您在设置期间启用了组映射并失去了管理员访问权限,请按照 设置 JIT 或 SCIM 配置中"启用组映射后失去管理员/所有者访问权限"下的恢复步骤进行操作。

常见问题

如果我只想让某些成员拥有某项功能,是否需要在组织级别启用它?

是的。必须打开组织级别的切换开关,自定义角色才能控制每个成员的访问权限。如果功能在组织级别关闭,无论其角色如何,任何人都无法访问它。可以将其视为主开关——自定义角色控制谁可以在其下方获得访问权限。

如果设置为"自定义角色"的成员不在任何组中会怎样?

他们没有自定义角色权限,因此所有需要权限的功能都会灰显或隐藏。确保每个设置为"自定义角色"的成员至少在一个分配给自定义角色的组中。

我可以同时使用内置角色和自定义角色吗?

可以。具有用户、管理员或所有者角色的成员不受自定义角色权限的影响,因为他们直接从这些角色获得权限。只有设置为自定义角色的成员由组和角色系统控制。这允许逐步迁移。

如果成员在两个具有不同角色的组中会怎样?

权限是累加的。如果成员链中的任何角色授予某项功能,他们就拥有它。您不能使用一个角色来移除另一个角色授予的权限。

我可以同时使用 SCIM 组和手动组吗?

可以。两种类型都可以分配给自定义角色。区别在于 SCIM 组成员身份在您的身份提供商中管理,而手动组成员身份在 Claude 的组织设置中管理。

所有者和主要所有者是否受自定义角色权限的影响?

否。所有者和主要所有者始终拥有对所有功能的完全访问权限。

这在父组织和子组织之间如何工作?

组和 SCIM 同步在父组织级别进行管理,并在所有子组织之间共享。角色和支出限制分配在每个子组织中独立配置——一个子组织中的更改不会影响其他组织。组成员身份更改和 SCIM 重新同步会在同一父组织下的所有子组织中传播。

相关文章
角色和权限
Claude 控制台角色和权限
设置 JIT 或 SCIM 预配
在企业计划中管理自定义角色
在 Claude for Government 中设置 SCIM
这是否解答了您的问题?