JIT 佈建適用於 Team 方案、Enterprise 方案和 Console 組織。SCIM 佈建僅適用於 Enterprise 和 Console 組織。
本指南涵蓋如何為您的 Claude 或 Claude Console 組織設定使用者佈建和角色指派。
開始前:本指南假設您已完成設定單一登入 (SSO) 中的步驟,包括網域驗證和與身分識別提供者 (IdP) 的 SSO 設定,且您具有 Admin (Console) 或 Owner (Claude) 角色。
步驟 1:選擇您的佈建模式
設定 SSO 後,您需要決定使用者將如何佈建到您的組織。這由身分識別和存取設定中的佈建模式設定控制。
佈建選項
手動是預設值。使用者直接在 Claude 或 Console 設定中新增和移除。
JIT (Just-in-Time):指派給您 Anthropic IdP 應用程式的使用者在首次登入時會自動佈建。此選項適用於所有方案。
SCIM:使用者會根據您 IdP 中的指派自動佈建和取消佈建,無需他們先登入。SCIM 適用於 Enterprise 方案和具有自己的父組織或加入 Enterprise 父組織的 Console 組織。SCIM 不適用於 Team 方案或加入 Team 方案父組織的 Console 組織。
佈建行為概述
使用此表格幫助決定哪種佈建模式適合您的組織:
模式 | 佈建 | 角色和座位層級變更 | 移除 |
手動 | 使用者手動新增 | 角色和座位層級手動變更 | 使用者手動移除 |
JIT | 指派給您 IdP 應用程式的使用者在登入時以使用者角色佈建 | 角色和座位層級手動變更 | 需要手動移除:從您的 IdP 應用程式移除的使用者無法再登入,但在嘗試登入或被移除前仍保留在使用者清單中 |
JIT + 進階群組對應 | 至少在一個對應群組中的使用者在登入時以其群組成員資格中權限最高的角色佈建 | 角色和座位層級在下次登入時根據群組成員資格更新 | 沒有群組存取權的使用者無法登入,但在登入嘗試或手動移除前仍保留在清單中 |
SCIM | 指派給您 IdP 應用程式的使用者會自動佈建到加入您父組織的所有組織。 | 角色和座位層級手動變更 | 從您的 IdP 應用程式移除的使用者會自動移除 |
SCIM + 進階群組對應 | 至少在一個對應群組中的使用者會自動佈建並具有適當的角色 | 角色和座位層級變更會根據群組成員資格自動傳播 | 撤銷群組存取權時自動移除 |
JIT 和 SCIM 都可以與進階群組對應結合,以根據 IdP 群組成員資格控制角色或座位層級指派。
可用的角色和座位層級
產品 | 角色 | 座位層級 |
Claude (Team/Enterprise) | Owner、Admin、User | Premium、Standard |
Console | Admin、Developer、Billing、Claude Code User、User | — |
如需新增和移除成員的詳細說明,請參閱購買和管理座位。
步驟 2:設定 SCIM 目錄同步(如果使用 SCIM)
注意:如果您使用手動或 JIT 佈建,請跳過此步驟。
如果您選擇 SCIM 作為佈建模式,您需要在啟用前建立身分識別提供者與 Anthropic 之間的連線。
在 Claude (claude.ai/admin-settings/identity) 或 Console (platform.claude.com/settings/identity) 中導覽至您的身分識別和存取設定
在「全域 SSO 設定」部分中,按一下「目錄同步 (SCIM)」旁的「設定 SCIM」(或「管理 SCIM」)。
按照 WorkOS 設定指南在您的身分識別提供者中設定 SCIM。您需要將 WorkOS 中的值複製到您 IdP 的 Anthropic 應用程式中。
‼️ 當您到達 IdP 群組步驟時,暫停以檢閱本指南的步驟 3 和 4,以及其他指南。
如需 IdP 特定的 JIT / SCIM 設定說明,請參閱:
查看其他 IdP 此處
連線您的 IdP 後,繼續進行步驟 3。
步驟 3:設定佈建模式和進階群組對應
在您身分識別和存取設定的組織 SSO 設定部分中,找到佈建模式。
從下拉式清單中選擇您選擇的選項(「Just in time (JIT)」或「Directory sync (SCIM)」)。
如果使用進階群組對應,請開啟進階群組對應。
重要:暫時不要按一下「儲存變更」。您必須先確保所有使用者都指派給您 IdP 中的 Anthropic 應用程式。對於進階群組對應,使用者也必須指派給適當的群組(步驟 4 和 5)。在使用者正確指派前儲存將導致這些使用者從組織中取消佈建。
如果您不使用進階群組對應:確保所有使用者都指派給您 IdP 中的 Anthropic 應用程式以進行 SCIM 佈建,然後按一下「儲存變更」以完成您的設定。
步驟 4:在您的身分識別提供者中設定群組並為進階群組對應指派使用者
在您的 IdP 中為您想要指派的每個角色和座位層級建立群組。
雖然這些群組不再有命名要求,但我們建議在群組名稱中包含某些內容(例如
anthropic-claude-或anthropic-console-),以便更容易識別。
將使用者新增到您建立的群組,確保至少一個使用者(包括您自己)在將對應到 Admin (Console) 或 Owner (Claude) 角色的群組中。
重要:所有需要存取權的使用者必須在下一步中儲存進階群組對應設定前指派給適當的群組。這些使用者應該已在啟用 SSO 時指派給您 IdP 中的 Anthropic 應用程式。
步驟 5:將群組對應到角色和座位層級
返回 Claude 或 Console 中的身分識別和存取設定,並開啟進階群組對應(如果尚未開啟)。
在角色對應部分中,按一下每個角色旁的「新增」,並從下拉式清單中選擇您 IdP 中的對應群組。
對於 Claude 組織:在座位層級對應部分中,按一下每個層級 (Premium、Standard) 旁的「新增」,並選擇對應的群組。如果使用者未指派給座位層級群組,預設情況下他們將被指派給最高可用層級。
驗證所有必要的群組都對應到適當的角色和座位層級。
按一下「儲存變更」。
注意:Microsoft Entra 每 40 分鐘才推送一次 SCIM 變更,因此變更可能需要一段時間才會出現。
疑難排解
使用者指派正確並顯示在目錄中,但未作為成員新增到 Claude?
驗證您已購買足夠的座位並可用於將成員新增到您的組織。
檢查組織頁面上顯示的「總座位數」,如需要,購買額外座位。
一旦您有可用座位,返回身分識別和存取頁面,並按一下目錄同步 (SCIM) 旁的「立即同步」。這將觸發同步以為尚未新增為成員的使用者佈建帳戶。
使用者未以正確的角色佈建
驗證使用者在您的 IdP 中指派給正確的群組。
驗證群組在您的身分識別和存取設定中對應到正確的角色。
對於 JIT:使用者需要登出並重新登入以使角色變更生效。
對於 SCIM:按一下「立即同步」以提示立即同步,或等待自動同步週期。
啟用進階群組對應後我失去了 Admin/Owner 存取權
當設定進階群組對應的人員未指派給對應到 Admin 或 Owner 角色的群組時,就會發生這種情況,導致其權限被降級為使用者。若要修正此問題:
選項 1:讓另一個 Admin/Owner 恢復您的角色
聯絡您組織的另一個 Admin 或 Owner。
要求他們將您的角色變更回 Admin 或 Owner。
選項 2:透過您的身分識別提供者修正
在您的 IdP 中,將自己指派給具有正確前綴的群組,該群組對應到 Admin 或 Owner 角色。
對於 JIT:登出並重新登入以恢復存取權。
對於 SCIM:要求另一個 Admin 或 Owner 在身分識別和存取設定中按一下「立即同步」,或等待自動同步週期。