JIT 佈建適用於 Team 方案、Enterprise 方案和 Console 組織。SCIM 佈建僅適用於 Enterprise 和 Console 組織。
本指南涵蓋如何為您的 Claude 或 Claude Console 組織配置使用者佈建和角色指派。
開始前:本指南假設您已完成設定單一登入 (SSO) 中的步驟,包括網域驗證和與身份提供者 (IdP) 的 SSO 配置,且您擁有 Admin (Console) 或 Owner (Claude) 角色。
步驟 1:選擇您的佈建模式
SSO 配置完成後,您需要決定使用者將如何佈建到您的組織。這由身份和存取設定中的佈建模式設定控制。
佈建選項
手動是預設值。使用者直接在 Claude 或 Console 設定中新增和移除。
JIT (Just-in-Time):指派給您 Anthropic IdP 應用程式的使用者在首次登入時會自動佈建。此選項適用於所有方案。
SCIM:使用者根據 IdP 中的指派自動佈建和取消佈建,無需他們先登入。SCIM 適用於 Enterprise 方案和擁有自己的父組織或加入 Enterprise 父組織的 Console 組織。SCIM 不適用於 Team 方案或加入 Team 方案父組織的 Console 組織。
佈建行為概述
使用此表格幫助決定哪種佈建模式適合您的組織:
模式 | 佈建 | 角色和座位層級變更 | 移除 |
手動 | 使用者手動新增 | 角色和座位層級手動變更 | 使用者手動移除 |
JIT | 指派給您 IdP 應用程式的使用者在登入時以使用者角色佈建 | 角色和座位層級手動變更 | 需要手動移除:從您的 IdP 應用程式移除的使用者無法再登入,但在嘗試登入或被移除前仍保留在使用者清單中 |
JIT + 進階群組對應 | 至少在一個對應群組中的使用者在登入時以其群組成員資格中權限最高的角色佈建 | 角色和座位層級在下次登入時根據群組成員資格更新 | 沒有群組存取權的使用者無法登入,但在登入嘗試或手動移除前仍保留在清單中 |
SCIM | 指派給您 IdP 應用程式的使用者自動佈建到加入您父組織的所有組織。 | 角色和座位層級手動變更 | 從您的 IdP 應用程式移除的使用者會自動移除 |
SCIM + 進階群組對應 | 至少在一個對應群組中的使用者自動佈建並具有適當的角色 | 角色和座位層級變更根據群組成員資格自動傳播 | 撤銷群組存取權時自動移除 |
JIT 和 SCIM 都可以與進階群組對應結合,以根據 IdP 群組成員資格控制角色或座位層級指派。
可用的角色和座位層級
產品 | 角色 | 座位層級 |
Claude (Team/Enterprise) | Owner、Admin、User | Premium、Standard |
Console | Admin、Developer、Billing、Claude Code User、User | — |
如需新增和移除成員的詳細說明,請參閱購買和管理座位。
步驟 2:設定 SCIM 目錄同步(如果使用 SCIM)
注意:如果您使用手動或 JIT 佈建,請跳過此步驟。
如果您選擇 SCIM 作為佈建模式,您需要在啟用前建立身份提供者與 Anthropic 之間的連線。
在 Claude ((claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中導覽至您的身份和存取設定
在「全域 SSO 配置」部分中,按一下「目錄同步 (SCIM)」旁的「設定 SCIM」(或「管理 SCIM」)。
按照 WorkOS 設定指南在您的身份提供者中配置 SCIM。您需要將 WorkOS 中的值複製到您 IdP 的 Anthropic 應用程式中。
‼️當您到達 IdP 群組步驟時,暫停以檢閱本指南的步驟 3 和 4,以及其他