租戶限制適用於企業方案和 Console 組織的成員。
租戶限制使企業方案上的 IT 管理員能夠為 Claude 強制執行網路層級存取控制。此功能確保公司網路上的使用者只能存取已批准的組織帳戶,防止未經授權使用個人帳戶。
運作方式
啟用後,您的網路代理會將 HTTP 標頭注入到 Claude 的請求中。Anthropic 驗證此標頭並阻止來自不在允許清單中的任何組織的存取。
支援的驗證方法:
網路存取 (claude.ai)
桌面 / 應用程式存取
API 金鑰驗證
OAuth 權杖驗證
標頭格式
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
以逗號分隔的組織 UUID 清單
值之間沒有空格
範例:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
將大型允許清單分割到多個標頭
如果您的允許清單對於代理平台上的單一標頭行來說太長,請將其分割到編號的延續標頭。將 ;n=K 附加到基本標頭以宣告標頭行的總數,然後在標頭 anthropic-allowed-org-ids1 到 anthropic-allowed-org-ids{K-1} 中新增其餘的 UUID。
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
最多 10 個標頭行 (
K≤ 10)所有行中最多 500 個組織 UUID
您的代理必須傳送每個宣告的位置。如果您設定
;n=3,所有三個標頭都必須出現在請求中。設定您的代理以在每個請求上覆寫這些標頭,而不是僅在不存在時新增。
設定步驟
1. 尋找您的組織 UUID
企業方案的成員可以在兩個不同的位置找到此資訊:
Console 組織的成員可以在 設定 > 組織中找到此資訊。
2. 設定您的網路代理
設定您的代理以為 Claude 流量注入標頭:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. 測試您的設定
從受限網路,使用您的組織 API 金鑰進行測試:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
錯誤回應
存取被阻止
當使用者的組織不在允許清單上時,他們會收到 403 錯誤:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
標頭設定錯誤
如果您的代理傳送標頭不正確,請求會失敗,狀態為 400,並顯示以下其中一則訊息:
多個
anthropic-allowed-org-ids標頭:標頭名稱在同一請求上出現多次。設定您的代理以覆寫每個標頭,而不是附加重複項。格式不正確的
anthropic-allowed-org-ids標頭:;n=K值無效、宣告的延續位置遺失或額外,或允許清單總數超過 500 個 UUID。
支援的代理平台
Zscaler ZIA (Cloud App Control 原則)
Palo Alto Prisma Access (SaaS 應用程式管理)
Cato Networks (租戶限制原則)
Netskope (標頭插入規則)
具有標頭注入功能的通用 HTTPS 代理
使用案例
情境 | 標頭值 |
單一組織 |
|
多個組織 (合作夥伴) |
|
安全性優勢
資料遺失防止:阻止從公司網路使用個人帳戶。
合規性:強制執行資料駐留和存取原則。
影子 IT 控制:防止未經授權的 Claude 使用。
稽核軌跡:完整的存取嘗試可見性。
向後相容性
對未設定租戶限制的網路沒有影響。
未受管理網路的標準驗證繼續進行。
現有的 API 金鑰驗證保持不變。
