JIT 佈建適用於 Team 方案、Enterprise 方案和 Console 組織。SCIM 佈建僅適用於 Enterprise 和 Console 組織。
本指南涵蓋如何為您的 Claude 或 Claude Console 組織配置使用者佈建和角色指派。
開始前:本指南假設您已完成設定單一登入 (SSO) 中的步驟,包括網域驗證和與身分識別提供者 (IdP) 的 SSO 配置,且您具有 Admin (Console) 或 Owner (Claude) 角色。
步驟 1:選擇您的佈建模式
設定 SSO 後,您需要決定使用者將如何佈建到您的組織。這由組織設定 > 身分識別和存取中的佈建模式設定控制。
佈建選項
手動是預設值。使用者直接在 Claude 或 Console 設定中新增和移除。
JIT (Just-in-Time):指派給您 Anthropic IdP 應用程式的使用者在首次登入時會自動佈建。此選項適用於所有方案。
SCIM:使用者根據 IdP 中的指派自動佈建和取消佈建,無需他們先登入。SCIM 適用於 Enterprise 方案和具有自己的父組織或加入 Enterprise 父組織的 Console 組織。SCIM 不適用於 Team 方案或加入 Team 方案父組織的 Console 組織。
佈建行為概述
使用此表格幫助決定哪種佈建模式適合您的組織:
模式 | 佈建 | 角色和座位類型變更 | 移除 |
手動 | 使用者手動新增 | 角色和座位類型手動變更 | 使用者手動移除 |
JIT | 指派給您 IdP 應用程式的使用者在登入時以使用者角色佈建 | 角色和座位類型手動變更 | 需要手動移除:從您的 IdP 應用程式移除的使用者無法再登入,但在嘗試登入或被移除前仍保留在使用者清單中 |
JIT + 群組對應 | 至少在一個對應群組中的使用者在登入時以其群組成員資格中權限最高的角色佈建 | 角色和座位類型在下次登入時根據群組成員資格更新 | 沒有群組存取權的使用者無法登入,但在登入嘗試或手動移除前仍保留在清單中 |
SCIM | 指派給您 IdP 應用程式的使用者自動佈建到加入您父組織的所有組織。 | 角色和座位類型手動變更 | 從您的 IdP 應用程式移除的使用者會自動移除 |
SCIM + 群組對應 | 至少在一個對應群組中的使用者自動以適當角色佈建 | 角色和座位類型變更根據群組成員資格自動傳播 | 撤銷群組存取時自動移除 |
JIT 和 SCIM 都可以與啟用群組對應結合,以根據 IdP 群組成員資格控制角色或座位層級指派。
可用角色和座位層級
產品 | 角色 | 座位類型 |
Team 方案 / 座位型 Enterprise 方案 | Owner、Admin、User | Premium、Standard |
使用量型 Enterprise 方案(兩種座位類型) | Owner、Admin、User | Chat、Chat + Claude Code |
使用量型 Enterprise 方案(單一座位類型) | Owner、Admin、User | Enterprise |
Console | Admin、Developer、Billing、Claude Code User、User | — |
有關購買座位或調整您方案座位配置的資訊,請參閱我們的Team 方案和Enterprise 方案指南。
步驟 2:設定 SCIM 目錄同步(如果使用 SCIM)
注意:如果您使用手動或 JIT 佈建,請跳過此步驟。
如果您選擇 SCIM 作為佈建模式,您需要在啟用它之前建立身分識別提供者和 Anthropic 之間的連線。
在 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中導覽至您的身分識別和存取設定
在全域存取設定 / 組織存取部分,按一下目錄同步 (SCIM) 旁的「設定 SCIM」(或「管理 SCIM」)。
按照 WorkOS 設定指南在您的身分識別提供者中配置 SCIM。您需要將 WorkOS 中的值複製到您 IdP 的 Anthropic 應用程式中。
‼️ 當您到達 IdP 群組步驟時,暫停以檢查本指南的步驟 3 和 4,以及其他指南。
有關 IdP 特定的 JIT / SCIM 設定說明,請參閱:
查看其他 IdP 此處
連線您的 IdP 後,繼續進行步驟 3。
步驟 3:配置佈建模式並啟用群組對應
在您身分識別和存取設定的全域存取設定 / 組織存取部分中,找到佈建模式。
從下拉式清單中選擇您選擇的選項(「Just in time (JIT)」或「Directory sync (SCIM)」)。
如果使用,請切換啟用群組對應。
重要:不要點擊「儲存變更」。您必須先確保所有使用者都指派給您 IdP 中的 Anthropic 應用程式。啟用群組對應時,使用者也必須指派給適當的群組(步驟 4 和 5)。在使用者未正確指派前儲存將導致這些使用者從組織中取消佈建。
如果您不使用群組對應:確保所有使用者都指派給您 IdP 中的 Anthropic 應用程式以進行 SCIM 佈建,然後按一下「儲存變更」以完成您的設定。
步驟 4:在您的身分識別提供者中配置群組並為群組對應指派使用者
在您的 IdP 中為您想要指派的每個角色建立群組。除非您使用單一座位 Enterprise 方案,否則也為每個座位類型建立群組。
雖然這些群組不再有命名要求,但我們建議在群組名稱中包含某些內容(例如
anthropic-claude-或anthropic-console-),以便更容易識別。
將使用者新增到您建立的群組,確保至少一個使用者(包括您自己)在將對應到 Admin (Console) 或 Owner (Claude) 角色的群組中。
重要:所有需要存取的使用者必須在您在下一步中儲存群組對應配置之前指派給適當的群組。這些使用者應該已在您啟用 SSO 時指派給您 IdP 中的 Anthropic 應用程式。
步驟 5:將群組對應到角色和座位類型
返回 Claude 或 Console 中的身分識別和存取設定,並切換啟用群組對應(如果尚未啟用)。
在啟用群組對應部分中,按一下每個角色旁的「新增」,並從下拉式清單中選擇您 IdP 中的對應群組。
對於除單一座位 Enterprise 外的所有方案:在將座位層級指派給 IdP 群組部分中,按一下每個座位類型旁的「新增」,並從下拉式清單中選擇您 IdP 中的對應群組。如果使用者未指派給座位類型群組,他們將預設指派給最高可用類型。
對於單一座位 Enterprise:座位類型對應不適用。所有佈建的使用者會自動指派 Enterprise 座位,前提是您的組織中有可用的座位。
驗證所有必要的群組都對應到適當的角色和座位類型。
按一下「儲存變更」。
注意:Microsoft Entra 每 40 分鐘才推送一次 SCIM 變更,因此變更可能需要一段時間才會出現。
疑難排解
使用者指派正確並顯示在目錄中,但未作為成員新增到 Claude?
驗證您已購買並有足夠的座位可用於將成員新增到您的組織。
檢查組織設定 > 帳單中顯示的可用座位數,並在需要時購買額外座位(請參閱我們的Team 方案和Enterprise 方案指南)。
一旦您有可用的座位,返回身分識別和存取頁面,並按一下目錄同步 (SCIM) 旁的「立即同步」。這將觸發同步以為尚未新增為成員的使用者佈建帳戶。
使用者未以正確角色佈建
驗證使用者在您的 IdP 中指派給正確的群組。
驗證群組在您的身分識別和存取設定中對應到正確的角色。
對於 JIT:使用者需要登出並重新登入以使角色變更生效。
對於 SCIM:按一下「立即同步」以提示立即同步,或等待自動同步週期。
啟用群組對應後我失去了 Admin/Owner 存取權
當配置群組對應的人員未指派給對應到 Admin 或 Owner 角色的群組時,就會發生這種情況,導致其權限被降級為使用者。
若要修正此問題:
選項 1:讓另一個 Admin/Owner 恢復您的角色
聯絡您組織的另一個 Admin 或 Owner。
要求他們將您的角色變更回 Admin 或 Owner。
選項 2:透過您的身分識別提供者修正
在您的 IdP 中,將自己指派給具有正確前綴的群組,該群組對應到 Admin 或 Owner 角色。
對於 JIT:登出並重新登入以重新獲得存取權。
對於 SCIM:要求另一個 Admin 或 Owner 在身分識別和存取設定中按一下「立即同步」,或等待自動同步週期。