本指南涵蓋如何為您的 Claude 或 Claude Console 組織設定使用者佈建和角色指派。
JIT 佈建適用於 Team 方案、Enterprise 方案和 Console 組織。SCIM 佈建僅適用於 Enterprise 和 Console 組織。
開始前:本指南假設您已完成 設定單一登入 (SSO) 中的步驟,包括網域驗證和與身分識別提供者 (IdP) 的 SSO 設定,且您具有 Admin (Console) 或 Owner (Claude) 角色。
步驟 1:選擇您的佈建模式
SSO 設定完成後,您需要決定使用者將如何佈建到您的組織。這是透過 組織設定 > 組織和存取 中的 使用者佈建部分控制的。
佈建選項
僅限邀請是預設值。使用者直接在 Claude 或 Console 設定中新增和移除。
即時佈建 (JIT):指派給您 Anthropic IdP 應用程式的使用者在首次登入時會自動佈建。此選項適用於所有方案。
SCIM 目錄同步:使用者根據您 IdP 中的指派自動佈建和取消佈建,無需他們先登入。SCIM 適用於 Enterprise 方案和具有自己的父組織或加入 Enterprise 父組織的 Console 組織。SCIM 不適用於 Team 方案或加入 Team 方案父組織的 Console 組織。
佈建行為概覽
使用此表格幫助決定哪種佈建模式適合您的組織:
模式 | 佈建 | 角色和座位類型變更 | 移除 |
僅限邀請 | 使用者手動新增 | 角色和座位類型手動變更 | 使用者手動移除 |
即時佈建 (JIT) | 指派給您 IdP 應用程式的使用者在登入時以使用者角色佈建 | 角色和座位類型手動變更 | 需要手動移除:從您的 IdP 應用程式中移除的使用者無法再登入,但在嘗試登入或被移除前仍保留在使用者清單中 |
JIT + 群組對應 | 至少在一個對應群組中的使用者在登入時以其群組成員資格中權限最高的角色佈建 | 角色和座位類型在下次登入時根據群組成員資格更新 | 沒有群組存取權的使用者無法登入,但在登入嘗試或手動移除前仍保留在清單中 |
SCIM 目錄同步 | 指派給您 IdP 應用程式的使用者會自動佈建到加入您父組織的所有組織。 | 角色和座位類型手動變更 | 從您的 IdP 應用程式中移除的使用者會自動移除 |
SCIM + 群組對應 | 至少在一個對應群組中的使用者會自動佈建,具有適當角色,僅限於加入該群組所在父組織的組織。 | 角色和座位類型變更根據群組成員資格自動傳播 | 撤銷群組存取時自動移除 |
JIT 和 SCIM 都可以與啟用群組對應結合,以根據 IdP 群組成員資格控制角色或座位層級指派。如果您為佈建模式選擇這些選項中的任一個,啟用群組對應將出現在使用者佈建部分內:
可用角色和座位層級
產品 | 角色 | 座位類型 |
Team 方案 | Owner、Admin、User | Premium、Standard |
座位型 Enterprise 方案 | Owner、Admin、User、自訂角色 | Premium、Standard |
用量型 Enterprise 方案(具有兩種座位類型) | Owner、Admin、User、自訂角色 | 聊天、聊天 + Claude 程式碼 |
按使用量計費的企業方案(單一座位類型) | 擁有者、管理員、使用者、自訂角色 | 企業 |
主控台 | 管理員、開發人員、受限開發人員、帳單、Claude 程式碼使用者、使用者 | — |
步驟 2:設定 SCIM 目錄同步(如果使用 SCIM)
注意:如果您使用的是「僅限邀請」或 JIT 佈建,請跳過此步驟。
如果您選擇 SCIM 作為佈建模式,您需要在啟用前建立身分識別提供者與 Anthropic 之間的連線。
在 Claude 中瀏覽至您的組織和存取設定(claude.ai/admin-settings/organization),或在主控台中瀏覽至您的身分識別和存取設定(platform.claude.com/settings/identity)
在使用者佈建區段中,按一下「設定 SCIM」(或「管理 SCIM」),位於SCIM 目錄同步旁邊。
按照 WorkOS 設定指南在您的身分識別提供者中設定 SCIM。您需要將 WorkOS 中的值複製到您 IdP 的 Anthropic 應用程式中。
‼️ 當您到達 IdP 群組步驟時,暫停以檢閱本指南的步驟 3 和 4,以及其他指南。
如需 IdP 特定的 JIT / SCIM 設定說明,請參閱:
查看其他 IdP 此處
IdP 連線後,繼續進行步驟 3。
步驟 3:設定佈建模式並啟用群組對應
找到您設定的使用者佈建區段。
選擇您選擇的選項:
僅限邀請:新成員只能在現有成員手動邀請時加入。單獨的 SSO 存取不會將他們新增到您的組織。
即時 (JIT):允許具有 SSO 存取權的人員在首次登入時加入。每個新成員使用您可用座位中的一個。
SCIM 目錄同步:當您的目錄變更時自動新增或移除成員。您的組織始終保持最新狀態。
如果您選擇「即時 (JIT)」或「SCIM 目錄同步」,請勿立即按一下「儲存變更」。您必須先確保所有使用者都已指派到您 IdP 中的 Anthropic 應用程式。
確認所有使用者都已在您的 IdP 中指派後,您可以:
按一下「儲存變更」以完成設定並觸發初始佈建,或
開啟啟用群組對應並移至步驟 4。
重要:在使用者未正確指派的情況下儲存將導致這些使用者從組織中被取消佈建。
步驟 4:在您的身分識別提供者中設定群組,並將群組對應到角色和座位類型
在您的 IdP 中為您想要指派的每個角色建立群組。除非您使用的是單一座位企業方案,否則也為每個座位類型建立群組。
雖然這些群組不再有命名要求,但我們建議在群組名稱中包含某些內容(例如
anthropic-claude-或anthropic-console-),以便更容易識別。
將使用者新增到您建立的群組,確保至少一個使用者(包括您自己)位於將對應到管理員 (主控台) 或擁有者 (Claude) 角色的群組中。
返回 Claude 或主控台中的組織和存取或身分識別和存取設定,並找到使用者佈建。
開啟啟用群組對應(如果尚未開啟):
在啟用群組對應區段中,按一下每個角色旁邊的「新增」,並從下拉式清單中選擇您 IdP 中的對應群組。
使用群組對應時,您必須將所有使用者指派到角色型群組,以確保他們已佈建帳戶。將使用者指派到座位層級群組是選擇性的。
您可以將 IdP 群組對應到「自訂角色」角色。指派此角色的成員沒有預設權限,其存取權完全由指派給他們在 Claude 中的群組的自訂角色決定。
適用於除單一座位企業以外的所有方案:在將座位層級指派給 IdP 群組區段(選擇性)中,按一下每個座位類型旁邊的「新增」,並從您的 IdP 選擇對應的群組。如果使用者未指派到座位類型群組,預設情況下他們將被指派到最高可用類型。
適用於單一座位企業:座位類型對應不適用。所有已佈建的使用者都會自動指派企業座位,前提是您的組織中有可用的座位。
驗證所有必要的群組都已對應到適當的角色和座位類型。
按一下「儲存變更」。
注意:Microsoft Entra 每 40 分鐘才推送一次 SCIM 變更,因此變更可能需要一段時間才會出現。您可以按一下「管理 SCIM」並檢視目錄,以檢查從您的 IdP 同步的使用者。目錄中的這些使用者將被佈建到 Claude / 主控台。
重要:所有需要存取權的使用者都必須在您儲存群組對應設定前指派到適當的群組。這些使用者應該已在您啟用 SSO 時指派到您 IdP 中的 Anthropic 應用程式。
疑難排解
使用者已正確分配並顯示在目錄中,但未被新增為 Claude 的成員?
驗證您已購買足夠的席位,且有可用席位可將成員新增至您的組織。
檢查組織設定 > 組織和存取中顯示的可用席位數量,如需要請購買額外席位(請參閱我們的團隊方案和企業方案指南)。
擁有可用席位後,返回「組織和存取」頁面,並點擊目錄同步 (SCIM)旁的「立即同步」。這將觸發同步以為尚未新增為成員的使用者佈建帳戶。
使用者未以正確的角色進行佈建
驗證使用者已在您的身分提供者中分配至正確的群組。
驗證群組已在您的組織和存取設定中對應至正確的角色。
針對 JIT:使用者需要登出並重新登入,角色變更才會生效。
針對 SCIM:點擊「同步」以提示立即同步,或等待自動同步週期:
啟用群組對應後失去管理員/擁有者存取權
當設定群組對應的人員未被分配至對應至管理員或擁有者角色的群組時,就會發生此情況,導致其權限被降級為使用者。
若要修正此問題:
選項 1:由另一位管理員/擁有者恢復您的角色
選項 2:透過您的身分提供者修正
在您的身分提供者中,將自己分配至具有正確前置詞的群組,該群組對應至管理員或擁有者角色。
針對 JIT:登出並重新登入以重新取得存取權。
針對 SCIM:要求另一位管理員或擁有者在組織和存取設定中點擊「同步」,或等待自動同步週期。