摘要:Claude 使用電子郵件作為主要識別符,以將 SSO 登入與已配置的座位相匹配。在 Okta 中,SCIM 配置和 SSO 在應用程式的不同部分進行配置,並且可以從不同的 Okta 使用者設定檔欄位提取電子郵件。本指南說明如何識別和修復不匹配的問題。
症狀
使用者在嘗試透過 SSO 存取 Claude for Enterprise 時,可能會遇到以下一個或多個問題:
「帳戶建立已被阻止」— 使用者透過 SSO 進行身份驗證,但 Claude 找不到相符的已配置帳戶。
登入免費個人帳戶— 如果未限制組織建立,使用者會繞過企業組織。
「請確認您的電子郵件」不匹配— SSO 回呼顯示的電子郵件與使用者在登入時輸入的電子郵件不同。
Claude Code 身份驗證失敗— Claude Code CLI 顯示電子郵件不匹配錯誤。
發生原因
Okta 使用者設定檔包含多個代表身份的欄位。SCIM 配置(在配置 → 至應用程式下)和 SAML/OIDC SSO(在登入下)是獨立配置的:
Okta 屬性 | 典型值 | 常用於 |
|
| 預設 SCIM userName 對應;有時為 NameID |
| SAML/OIDC 電子郵件聲明(建議) | |
| 使用者電子郵件的應用程式級別覆蓋 | 自訂應用程式級別屬性對應 |
常見的不匹配:SCIM 使用 user.login,而 SAML 發送 user.email。Claude 需要完全相符的字串。
常見的混淆:Okta 的 SCIM 屬性對應和 SAML 屬性陳述位於兩個不同的標籤中 — SCIM 的配置 → 至應用程式和 SSO 的登入。您必須驗證兩者。
診斷步驟
步驟 1 — 確認不匹配
檢查 SCIM 電子郵件:在 Okta 管理員主控台中,前往應用程式 → [Claude 應用程式] → 配置 → 至應用程式 → 屬性對應。找到
email(或userName,如果該項在 Claude 端對應到電子郵件)的列。值欄顯示正在發送的 Okta 運算式或欄位。檢查 SSO 電子郵件 (SAML):前往應用程式 → [Claude 應用程式] → 登入 → SAML 設定 → 編輯 → 屬性陳述。找到名為
email的屬性。值欄顯示在登入時判斷的 Okta 欄位。檢查 SSO 電子郵件 (OIDC):前往應用程式 → [Claude 應用程式] → 登入 → OpenID Connect ID Token,並檢查聲明部分中的電子郵件聲明。
如果 SCIM 和 SSO 值參考不同的 Okta 欄位,您已確認不匹配。
步驟 2 — 確定問題的範圍
確定這是影響一個使用者還是系統性問題:
如果大多數或所有已配置的使用者共享相同的電子郵件格式不匹配,這是影響整個目錄的系統性屬性對應問題。修復方案在您的 IdP 的 SCIM 屬性對應中。
如果只有一個或兩個使用者受到影響,而其他使用者工作正常,問題可能特定於這些使用者帳戶。直接檢查其使用者設定檔。
步驟 3 — 直接驗證 Okta 使用者設定檔
對於受影響的個別使用者,檢查其實際欄位值:
前往目錄 → 人員 → [使用者] → 設定檔。
比較
登入和電子郵件欄位值。如果它們不同,任何使用登入與電子郵件的對應都會產生不匹配。
解決方案
將兩個對應對齊到相同的 Okta 欄位
最安全的修復方案是對 SCIM 和 SSO 都使用 user.email,因為此欄位在 Okta 中包含規範電子郵件地址。
更新 SCIM 對應:在配置 → 至應用程式 → 屬性對應中,將
email(或userName)來源變更為user.email。更新 SSO 聲明 (SAML):在登入 → SAML 設定 → 屬性陳述中,將
email屬性值變更為user.email。更新 SSO 聲明 (OIDC):在登入 → OpenID Connect ID Token → 聲明中,更新電子郵件聲明以對應到
user.email。按一下儲存。
強制完整重新同步
重要 — 需要完整同步:增量同步不會在您變更屬性對應後更新現有使用者。您必須觸發配置週期的完整重新啟動。
在配置 → 至應用程式中,按一下強制同步以觸發所有已指派使用者的完整重新評估。
或者,針對特定使用者:配置 → 推送使用者 → 選擇受影響的使用者 → 立即推送。
檢查 Okta 系統日誌(報告 → 系統日誌)以查看任何配置錯誤。
驗證更新的電子郵件值出現在配置日誌中,然後再要求使用者重試登入。
修復後清理
在更正屬性對應並完成完整同步後,根據您的情況,您可能需要進行額外的清理:
流氓免費帳戶:如果在修復前未限制組織建立,某些使用者可能會無意中建立免費個人 Claude 帳戶。聯絡 Anthropic 支援以移除這些帳戶。
幽靈帳戶(錯誤電子郵件座位):原始配置的帳戶(具有不正確的電子郵件)可能仍然存在於您的企業組織中,佔用永遠無法使用的座位。聯絡 Anthropic 支援以取消配置這些幽靈帳戶。
座位可用性:如果幽靈帳戶佔用所有合約座位,即使在修復對應後,新登入也會因座位不足錯誤而失敗。如果您遇到此問題,請聯絡支援。
重新新增受影響的使用者:移除幽靈帳戶後,具有更正電子郵件的使用者可能需要重新邀請或重新配置。
防止未來發生:在企業設定中啟用「限制組織建立」。這可防止尚未配置的使用者意外建立免費個人帳戶。
驗證
完成修復和任何清理後,驗證以下內容:
檢查已配置使用者的樣本 — 確認其在 IdP 配置日誌中的電子郵件與 SSO 發送的電子郵件格式相符。
要求受影響的使用者清除
claude.ai的瀏覽器 Cookie,然後透過 SSO 登入。他們應該直接登入企業工作區,不會出現任何錯誤。確認使用者不會意外建立免費帳戶 — 如果限制了組織建立,被阻止的使用者將看到清晰的錯誤,而不是登入個人帳戶。
如果 Claude Code 受到影響,讓使用者重新執行
claude auth login --enterprise,並確認電子郵件與其企業座位相符。
常見陷阱
陷阱 | 解決方案 |
管理員更新 SAML 聲明但忘記 SCIM 屬性對應(或反之) | 兩者都必須更新。SCIM 對應在配置 → 至應用程式下;SAML 聲明在登入 → SAML 設定下。 |
| 將兩者切換為 |
增量同步執行但電子郵件未更新 | 在屬性對應變更後需要強制同步或推送使用者。 |
應用程式級別設定檔屬性 ( | 檢查應用程式級別屬性對應是否覆蓋使用者設定檔值。 |
電子郵件已更新但使用者仍無法登入 | 尋找流氓免費組織或幽靈帳戶。清除瀏覽器 Cookie 並重試。如果問題仍然存在,請聯絡 Anthropic 支援。 |
OIDC 和 SAML 應用程式是 Claude 的獨立 Okta 應用程式 | 某些組織會配置兩者。確保在兩個應用程式中都檢查屬性對齊。 |
何時聯絡 Anthropic 支援
SCIM 和 SSO 屬性看起來相同,但使用者仍無法存取其座位。
您需要確認 Claude 在 SCIM 配置期間為特定使用者記錄的電子郵件。
您需要幫助清理幽靈帳戶或流氓免費組織。
使用者遇到座位不足錯誤,儘管您的合約有可用座位。
聯絡 [email protected],並提供您組織的網域、受影響使用者的電子郵件地址以及您的屬性對應的螢幕截圖。