摘要:Claude 使用電子郵件作為主要識別符,以將 SSO 登入與已配置的座位相匹配。在 OneLogin 中,SCIM 配置和 SAML SSO 在應用程式的不同標籤中配置,可能參考不同的使用者設定檔欄位,導致不匹配而阻止存取。
症狀
使用者在嘗試透過 SSO 存取 Claude for Enterprise 時,可能會遇到以下一個或多個情況:
「帳戶建立已被阻止」— 使用者透過 SSO 進行身份驗證,但 Claude 找不到相符的已配置帳戶。如果您的組織已限制組織建立(建議),使用者將被完全阻止,無法繼續。
登入免費個人帳戶— 如果未限制組織建立,使用者將繞過企業組織,改為建立或登入免費個人帳戶,而不是其企業座位。
「請確認您的電子郵件」不匹配— SSO 回呼顯示的電子郵件與使用者在登入時輸入的電子郵件不同。
Claude Code 身份驗證失敗— Claude Code CLI 在身份驗證流程中顯示電子郵件不匹配錯誤。
發生原因
OneLogin 使用者設定檔包含用於使用者名稱和電子郵件的不同欄位,可能包含不同的值。SCIM 配置參數和 SAML 屬性陳述式是獨立配置的,每個都可以從不同的欄位提取:
OneLogin 欄位 | 典型值 | 常見用途 |
|
| 有時用於 SCIM |
| 建議用於 SCIM 和 SAML | |
| 如果 SSO 用於非電子郵件登入,可能與電子郵件不同 | 舊版或自訂配置 |
自訂使用者欄位 | 每個組織定義的自訂屬性 | 進階屬性對應 |
常見的不匹配:SCIM 參數標籤將電子郵件屬性對應到 Username(可能是員工 ID 或簡稱),而 SAML 屬性陳述式發送 Email 欄位。Claude 需要完全相符的字串。
常見混淆:OneLogin 的 SCIM 參數和 SAML 屬性陳述式位於同一應用程式的不同標籤中 — SCIM 使用參數,SSO 使用SSO(或包含 SAML 特定欄位的參數)。兩者都必須檢查並對齊。
診斷步驟
步驟 1 — 確認不匹配
檢查 SCIM 電子郵件:在 OneLogin 管理入口網站中,前往應用程式 → [Claude 應用程式] → 參數。找到對應到 Claude 接收的電子郵件的欄位。注意 OneLogin 值欄 — 這顯示發送的是哪個使用者欄位。
檢查 SAML 電子郵件:在同一應用程式中,前往 SSO 標籤。按一下更多操作 → 編輯 SAML 回應或檢查 SAML 屬性陳述式部分。找到
email屬性並注意其來源欄位。檢查特定使用者:在使用者 → [使用者]中,比較使用者的使用者名稱和電子郵件欄位。如果它們不同,使用其中一個的任何對應都會導致不匹配。
步驟 2 — 確定問題的範圍
確定這是影響一個使用者還是系統性問題:
如果大多數或所有已配置的使用者共享相同的電子郵件格式不匹配,這是系統性屬性對應問題,影響您的整個目錄。修復方案在您的 IdP 的 SCIM 屬性對應中。
如果只有一個或兩個使用者受影響,而其他使用者正常工作,問題可能特定於這些使用者帳戶。直接檢查其使用者設定檔。
步驟 3 — 檢查使用者欄位值
前往使用者 → [受影響的使用者] → 使用者資訊。
檢查使用者名稱和電子郵件欄位。
如果使用者名稱的格式不符合有效的電子郵件,SCIM 可能發送無效或不相符的值。
解決方案
將兩個對應都對齊到電子郵件欄位
OneLogin 的 Email 欄位是 SCIM 和 SAML 最可靠的來源,因為它設計用來保存有效的電子郵件地址。
更新 SCIM 參數:在應用程式 → [Claude 應用程式] → 參數中,找到 Claude 接收的電子郵件屬性的列。將值變更為電子郵件(OneLogin 使用者電子郵件欄位)。
更新 SAML 屬性陳述式:在 SSO 標籤(或 SAML 屬性的參數)中,更新
email屬性值以使用相同的電子郵件欄位。按一下儲存。
觸發完整重新同步
重要 — 需要完整同步:變更屬性對應後,增量同步不會更新現有使用者。您必須觸發配置週期的完整重新啟動。
在應用程式的配置標籤中,尋找重新同步或全部同步選項並執行它。
若要重新配置個別使用者:前往使用者 → [使用者] → 應用程式,找到 Claude 應用程式,並使用重新配置。
檢查 OneLogin 配置活動日誌中的錯誤。
在要求使用者重試登入之前,驗證更新的電子郵件值是否出現在日誌中。
修復後清理
在更正屬性對應並完成完整同步後,根據您的情況,您可能需要進行額外的清理:
流氓免費帳戶:如果在修復前未限制組織建立,某些使用者可能無意中建立了免費個人 Claude 帳戶。聯絡 Anthropic 支援以移除這些帳戶。
幽靈帳戶(錯誤電子郵件座位):原始配置的帳戶(使用不正確的電子郵件)可能仍存在於您的企業組織中,佔用永遠無法使用的座位。聯絡 Anthropic 支援以取消配置這些幽靈帳戶。
座位可用性:如果幽靈帳戶佔用了所有合約座位,即使對應已修復,新登入也會因座位不足錯誤而失敗。如果您遇到此情況,請聯絡支援。
重新新增受影響的使用者:移除幽靈帳戶後,具有更正電子郵件的使用者可能需要重新邀請或重新配置。
防止未來發生:在您的企業設定中啟用「限制組織建立」。
驗證
完成修復和任何清理後,驗證以下內容:
檢查已配置使用者的樣本 — 確認其在 IdP 配置日誌中的電子郵件與 SSO 發送的電子郵件格式相符。
要求受影響的使用者清除
claude.ai的瀏覽器 Cookie,然後透過 SSO 登入。確認使用者不會意外建立免費帳戶。
如果 Claude Code 受到影響,讓使用者重新執行
claude auth login --enterprise並確認電子郵件與其企業座位相符。
常見陷阱
陷阱 | 解決方案 |
使用者名稱欄位包含簡稱或員工 ID,而不是電子郵件 | 將 SCIM 切換為使用電子郵件欄位。 |
SAML 屬性已更新,但 SCIM 參數未變更 | 參數標籤(用於 SCIM)和 SSO/SAML 屬性都必須獨立更新。 |
重新同步似乎未觸發 | 嘗試從應用程式中移除並重新指派個別受影響的使用者。 |
自訂使用者欄位已對應但某些使用者為空白 | 切換到標準電子郵件欄位。 |
SCIM 中的電子郵件已更新,但使用者仍無法登入 | 檢查流氓免費組織或幽靈帳戶。清除瀏覽器 Cookie 並重試。 |
嘗試重新新增使用者時出現「邀請網域不允許」 | 您的組織網域可能未在 Claude 中驗證。聯絡 Anthropic 支援。 |
何時聯絡 Anthropic 支援
SCIM 和 SSO 屬性看起來相同,但使用者仍無法存取其座位。
您需要確認 Claude 在 SCIM 配置期間為特定使用者記錄的電子郵件。
您需要幫助清理幽靈帳戶或流氓免費組織。
使用者遇到座位不足錯誤,儘管您的合約有可用座位。
聯絡[email protected],並提供您的組織網域、受影響使用者的電子郵件地址以及您的屬性對應的螢幕截圖。