摘要:Claude 使用電子郵件作為主要識別符,以將 SSO 登入與已佈建的座位相匹配。在 Google Workspace 中,SCIM 自動佈建和 SAML SSO 可能會發送不同的電子郵件值 — 特別是當使用者擁有電子郵件別名時 — 導致不匹配,進而阻止存取。
症狀
使用者在嘗試透過 SSO 存取 Claude for Enterprise 時,可能會遇到以下一個或多個情況:
「帳戶建立已被阻止」 — 使用者透過 SSO 進行驗證,但 Claude 找不到相符的已佈建帳戶。如果您的組織已限制組織建立(建議),使用者將被完全阻止,無法繼續。
登入免費個人帳戶 — 如果未限制組織建立,使用者會繞過企業組織,改為建立或登入免費個人帳戶,而不是其企業座位。
「請確認您的電子郵件」不匹配 — SSO 回呼顯示的電子郵件與使用者在登入時輸入的電子郵件不同。
Claude Code 驗證失敗 — Claude Code CLI 在驗證流程中顯示電子郵件不匹配錯誤,導致使用者無法連接到企業組織。
發生原因
Google Workspace 使用者帳戶有一個主要電子郵件,可能有多個別名。SCIM 佈建和 SAML SSO 在 Google 管理控制台中分別設定,可以從不同的地址欄位提取:
Google 屬性 | 典型值 | 常見用途 |
| 建議用於 SCIM 和 SAML | |
電子郵件別名 | 有時在 SCIM 中被誤對應 | |
自訂結構描述欄位 | 每個組織定義的自訂屬性 | 進階屬性對應 |
組織單位電子郵件 | OU 衍生的地址變體 | 很少在複雜的組織結構中使用 |
最常見的不匹配:SCIM 設定為發送別名地址,而 SAML 發送主要電子郵件(或反之)。由於別名和主要電子郵件是不同的字串,Claude 無法匹配它們。Claude 需要完全字串匹配。
常見混淆:在 Google 管理控制台中,SCIM 自動佈建設定和 SAML 屬性對應位於同一應用程式內的不同標籤上。管理員有時會更新其中一個而遺漏另一個。請驗證兩個位置。
診斷步驟
步驟 1 — 確認不匹配
檢查 SCIM 電子郵件:在 Google 管理控制台中,前往 應用程式 → 網路和行動應用程式 → [Claude 應用程式] → 自動佈建。檢查哪個屬性對應到發送給 Claude 的電子郵件欄位。
檢查 SAML 電子郵件:在同一應用程式中,前往 SAML 屬性對應部分。找到對應到
email的屬性並記下其來源。檢查特定使用者:在 目錄 → 使用者 → [使用者] 中,比較使用者的主要電子郵件與任何列出的別名電子郵件。
步驟 2 — 確定問題的範圍
確定這是影響一個使用者還是系統性問題:
如果大多數或所有已佈建的使用者共享相同的電子郵件格式不匹配,這是系統性屬性對應問題。修復方案在您的 IdP 的 SCIM 屬性對應中。
如果只有一或兩個使用者受到影響,問題可能特定於這些使用者帳戶。直接檢查其使用者設定檔。
步驟 3 — 檢查 SAML 設定中的名稱 ID
在應用程式設定中,前往 SAML → 服務提供者詳細資訊。
確認名稱 ID 設定為 基本資訊 → 主要電子郵件。
如果名稱 ID 設定為自訂結構描述欄位或別名,它可能會發送與 SCIM 不同的值。
解決方案
將兩個對應都對齊到 primaryEmail
Google Workspace 的 primaryEmail 是 SCIM 和 SAML 最可靠的來源。
更新 SCIM 佈建:在 應用程式 → 網路和行動應用程式 → [Claude 應用程式] → 自動佈建 → 屬性對應中,確保電子郵件屬性對應到
primaryEmail。更新 SAML 名稱 ID:在 SAML → 服務提供者詳細資訊中,將名稱 ID 設定為 基本資訊 → 主要電子郵件。
更新 SAML 屬性對應:在屬性對應步驟中,確保
email屬性對應到基本資訊 → 主要電子郵件。儲存所有變更。
觸發完整重新同步
重要 — 需要完整同步:增量同步不會在您變更屬性對應後更新現有使用者。您必須觸發佈建週期的完整重新啟動。
在 Google 管理控制台中,前往應用程式的自動佈建設定。
暫時暫停佈建,然後重新啟用。這會觸發所有已指派使用者的完整同步。
或者,從應用程式指派中移除並重新新增受影響的使用者,以強制重新佈建其個別記錄。
監控佈建日誌中的錯誤,並確認使用者電子郵件已更新以符合 SAML 格式,然後再要求使用者重試。
修復後清理
在更正屬性對應並完成完整同步後,您可能需要進行額外的清理:
流氓免費帳戶:如果在修復前未限制組織建立,某些使用者可能已無意中建立了免費個人 Claude 帳戶。請聯絡 Anthropic 支援以移除這些帳戶。
幽靈帳戶(錯誤電子郵件座位):原始佈建的帳戶(使用不正確的電子郵件)可能仍存在於您的企業組織中,佔用座位。請聯絡 Anthropic 支援以取消佈建這些幽靈帳戶。
座位可用性:如果幽靈帳戶佔用了所有合約座位,新登入將失敗並出現座位不足錯誤。取消佈建幽靈帳戶會釋放這些座位。
重新新增受影響的使用者:移除幽靈帳戶後,具有更正電子郵件的使用者可能需要重新邀請或重新佈建。
防止未來發生:在您的企業設定中啟用「限制組織建立」。這可防止尚未佈建的使用者意外建立免費個人帳戶。
驗證
檢查已佈建使用者的樣本 — 確認其在 IdP 佈建日誌中的電子郵件與 SSO 發送的電子郵件格式相符。
要求受影響的使用者清除
claude.ai的瀏覽器 Cookie,然後透過 SSO 登入。他們應該直接登入企業工作區,不會出現任何錯誤。確認使用者未意外建立免費帳戶 — 如果限制了組織建立,被阻止的使用者將看到清晰的錯誤,而不是登入個人帳戶。
如果 Claude Code 受到影響,讓使用者重新執行
claude auth login --enterprise並確認電子郵件與其企業座位相符。
常見陷阱
陷阱 | 解決方案 |
SCIM 發送別名,而 SAML 發送主要電子郵件 | 始終為兩者使用 |
未檢查 SAML 設定中的名稱 ID | 名稱 ID 欄位決定登入時發送的電子郵件。這與屬性對應部分分開。檢查兩者。 |
自訂結構描述欄位對某些使用者為空白 | 堅持使用標準 Google 屬性,如 |
對應變更後重新佈建不會自動觸發 | 您可能需要手動暫停並重新啟用佈建以強制完整同步。 |
使用者的主要電子郵件已變更,但舊電子郵件仍出現在 Claude 中 | 主要電子郵件變更後需要完整重新同步。 |
SCIM 中的電子郵件已更新,但使用者仍無法登入 | 檢查流氓免費組織或幽靈帳戶。清除瀏覽器 Cookie 並重試。 |
何時聯絡 Anthropic 支援
SCIM 和 SSO 屬性看起來相同,但使用者仍無法存取其座位。
您需要確認 Claude 在 SCIM 佈建期間為特定使用者記錄的電子郵件。
您需要幫助清理幽靈帳戶或流氓免費組織。
使用者遇到座位不足錯誤,儘管您的合約有可用座位。
請聯絡 [email protected],並提供您組織的網域、受影響使用者的電子郵件地址以及您的屬性對應的螢幕截圖。