租戶限制適用於 Enterprise 計劃和 Console 組織的成員。
租戶限制使 Enterprise 計劃上的 IT 管理員能夠為 Claude 實施網絡級別的訪問控制。此功能確保公司網絡上的用戶只能訪問已批准的組織帳戶,防止未經授權使用個人帳戶。
工作原理
啟用後,您的網絡代理會將 HTTP 標頭注入到 Claude 的請求中。Anthropic 驗證此標頭並阻止不在允許列表中的任何組織的訪問。
支持的身份驗證方法:
網絡訪問 (claude.ai)
桌面/應用訪問
API 密鑰身份驗證
OAuth 令牌身份驗證
標頭格式
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
組織 UUID 的逗號分隔列表
值之間沒有空格
示例:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
配置步驟
1. 查找您的組織 UUID
Enterprise 計劃的成員可以在兩個不同的位置找到此信息:
Console 組織的成員可以在 設置 > 組織中找到此信息。
2. 配置您的網絡代理
配置您的代理以為 Claude 流量注入標頭:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. 測試您的配置
從受限網絡中,使用您組織的 API 密鑰進行測試:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-20250514","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
錯誤響應
當訪問被阻止時,用戶會收到以下錯誤:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
支持的代理平台
Zscaler ZIA (Cloud App Control 策略)
Palo Alto Prisma Access (SaaS 應用管理)
Cato Networks (租戶限制策略)
Netskope (標頭插入規則)
具有標頭注入功能的通用 HTTPS 代理
使用案例
場景 | 標頭值 |
單個組織 |
|
多個組織(合作夥伴) |
|
安全優勢
數據丟失防護:阻止從公司網絡使用個人帳戶。
合規性:強制執行數據駐留和訪問策略。
影子 IT 控制:防止未經授權的 Claude 使用。
審計跟蹤:完整的訪問嘗試可見性。
向後兼容性
對未配置租戶限制的網絡沒有影響。
未受管理網絡的標準身份驗證繼續進行。
現有 API 密鑰身份驗證保持不變。