本指南涵蓋的內容:Claude 使用電子郵件作為主要識別符,以將 SSO 登入與已佈建的座位相匹配。在 Microsoft Entra ID 中,SCIM 佈建和 SSO 驗證配置在不同的位置,可能從不同的使用者屬性提取電子郵件 — 導致不匹配,進而阻止存取。本指南將逐步說明如何識別問題、修復屬性對應,以及清理任何副作用。
症狀
使用者在嘗試透過 SSO 存取 Claude for Enterprise 時,可能會遇到以下一個或多個情況:
「帳戶建立已被封鎖」 — 使用者透過 SSO 進行驗證,但 Claude 找不到相符的已佈建帳戶。如果限制組織建立(建議做法),使用者將被完全封鎖。
登入免費個人帳戶 — 如果未限制組織建立,使用者將繞過企業組織,建立或登入免費個人帳戶。
「請確認您的電子郵件」不匹配 — SSO 回呼顯示的電子郵件與使用者在登入時輸入的電子郵件不同。
Claude Code 驗證失敗 — Claude Code CLI 在驗證流程中顯示電子郵件不匹配錯誤。
發生原因
Microsoft Entra ID 使用者帳戶有多個類似電子郵件的屬性,可能包含不同的值。SCIM 佈建和 SSO 驗證在不同的管理區域中配置,每個都可能從不同的屬性提取:
Entra 屬性 | 典型值 | 常見用途 |
userPrincipalName |
| 預設 SCIM userName 對應 |
| OIDC / SAML 電子郵件聲明 | |
proxyAddresses |
| Exchange / M365 主要地址 |
otherMails | 可能包含別名或次要地址 | 替代聯絡電子郵件 |
當 SCIM 從一個屬性提取電子郵件,而 SSO 從另一個屬性發送電子郵件時,就會發生不匹配。即使是細微的差異也會阻止存取 — Claude 需要完全相符的字串。
常見混淆:Entra 有兩個不同的管理區域。SCIM 佈建應用程式位於企業應用程式下。SSO/OIDC 應用程式位於應用程式註冊下。IT 管理員經常導航到錯誤的位置。
診斷步驟
步驟 1 — 確認不匹配
檢查 SCIM 電子郵件:在 Entra 管理中心 → 企業應用程式 → [Claude SCIM 應用程式] → 佈建 → 佈建日誌中,找到最近佈建的使用者並檢查修改的屬性。對應到
emails[type eq "work"].value的值是 SCIM 發送給 Claude 的內容。檢查 SSO 電子郵件:在企業應用程式 → [Claude 應用程式] → 單一登入 → 屬性和聲明中,找到電子郵件聲明。對於 OIDC 應用程式,檢查應用程式註冊 → [Claude 應用程式] → 權杖設定。
如果兩個來源屬性指向不同的欄位,您已確認不匹配。
步驟 2 — 識別範圍
如果大多數或所有已佈建的使用者共享相同的格式不匹配,這是一個系統性屬性對應問題。修復方案在 SCIM 屬性對應配置中。
如果只有一或兩個使用者受到影響,請直接在 Entra 中檢查他們的使用者設定檔。
步驟 3 — 檢查 OIDC 權杖聲明(僅限 OIDC 應用程式)
在 Entra 管理中心,前往應用程式註冊(不是企業應用程式)。
找到 Claude OIDC 應用程式並點擊權杖設定。
檢查
email選用聲明。與您的 SCIM 屬性對應進行交叉參考,以確認它們是否相符。
解決方案
修復 SCIM 屬性對應
導航到 SCIM 佈建應用程式 — 不是 SSO/OIDC 應用程式:
前往 Entra 管理中心 → 企業應用程式。
搜尋 Claude SCIM 應用程式。尋找具有佈建部分的應用程式。
點擊 佈建 → 編輯佈建 → 屬性對應。
找到 SCIM 屬性為
emails[type eq "work"].value的列。點擊它進行編輯。將來源屬性變更為與 SSO 發送的內容相符 — 通常為
mail。同時檢查
userName對應,如需要則更新。點擊儲存。
觸發完整佈建同步
需要完整同步 — 增量同步無法運作。您必須觸發佈建週期的完整重新啟動。
前往佈建概覽頁面。
點擊重新啟動佈建。
等待同步完成。
在佈建日誌中驗證使用者電子郵件已更新為正確的格式。