摘要:Claude 使用電子郵件作為主要識別符,以將 SSO 登入與已配置的座位相匹配。Ping Identity 產品(PingOne 和 PingFederate)具有靈活的分層屬性配置。當 SCIM 配置和 SAML/OIDC SSO 從不同的使用者屬性提取時,不匹配會阻止存取。
症狀
使用者在嘗試透過 SSO 存取 Claude for Enterprise 時,可能會遇到以下一個或多個情況:
「帳戶建立被阻止」— 使用者透過 SSO 進行身份驗證,但 Claude 找不到相符的已配置帳戶。
登入免費個人帳戶— 如果未限制組織建立,使用者會完全繞過企業組織。
「請確認您的電子郵件」不匹配— SSO 回呼顯示的電子郵件與使用者在登入時輸入的電子郵件不同。
Claude Code 身份驗證失敗— Claude Code CLI 在身份驗證流程中顯示電子郵件不匹配錯誤。
發生方式
Ping Identity 產品允許在多個層級進行細粒度屬性對應(目錄、IdP 配接器、SP 連接器、應用程式)。SCIM 和 SSO 可以各自透過這些層級的不同路徑,導致到達 Claude 的電子郵件值不同:
Ping 屬性 | 典型值 | 常用於 |
| 建議用於 SCIM 和 SAML/OIDC | |
|
| 預設登入識別符;可能與電子郵件不同 |
IdP 配接器屬性 (PingFederate) | 因配接器類型而異(LDAP、HTML 表單等) | PingFederate 身份來源 |
LDAP | PingFederate 中的目錄來源電子郵件 | |
LDAP | 可能是員工 ID 或簡短使用者名稱 | 有時被誤對應為電子郵件 |
自訂群體屬性 | 每個環境定義的自訂欄位 | 進階 PingOne 配置 |
Claude 要求 SCIM 配置的電子郵件與 SSO 聲稱的電子郵件之間完全字串相符。
PingFederate 注意:PingFederate 的屬性合約系統特別複雜 — 電子郵件可以通過多個層級(LDAP → IdP 配接器 → 配接器合約 → SP 連接器 → 聲稱)。任何層級的不匹配都會導致錯誤的值到達 Claude。端對端追蹤該值。
診斷步驟
步驟 1 — 確認不匹配 (PingOne)
檢查 SCIM 屬性對應:在 PingOne 管理員中,前往連線 → 應用程式 → [Claude 應用程式] → 屬性對應。找到對應至
emails[primary].value或email的屬性。記下用作來源的 PingOne 使用者屬性。檢查 SSO 屬性對應:在同一應用程式中,前往SAML 或 OIDC 標籤,找到對應至
email的屬性或聲稱。記下其來源屬性。如果 SCIM 和 SSO 參考不同的 PingOne 屬性,您已確認不匹配。
步驟 1(替代方案)— 確認不匹配 (PingFederate)
在 PingFederate 管理員主控台中,找到 Claude 的 SP 連線。
在屬性合約履行中,找到
email屬性,並將其來源追蹤回 IdP 配接器或 LDAP 資料存放區。分別檢查 Claude 的 SCIM 配置連接器或出站配置通道,並追蹤正在傳送的電子郵件屬性的來源。
如果兩個追蹤導向不同的目錄屬性,您已確認不匹配。
步驟 2 — 識別問題的範圍
確定這是影響一個使用者還是系統性問題:
如果大多數或所有已配置的使用者共享相同的電子郵件格式不匹配,這是系統性屬性對應問題。修復在您的 IdP 的 SCIM 屬性對應中。
如果只有一或兩個使用者受到影響,問題可能特定於這些使用者帳戶。直接檢查其使用者設定檔。
步驟 3 — 檢查特定使用者的屬性值
PingOne:前往身份 → 使用者 → [使用者],並比較
使用者名稱和電子郵件欄位值。PingFederate 搭配 LDAP:檢查使用者的 LDAP 記錄,並比較
mail、userPrincipalName、sAMAccountName和您的配接器對應中使用的任何其他屬性。
解決方案
PingOne — 將兩個對應對齊至電子郵件屬性
在連線 → 應用程式 → [Claude 應用程式]中,開啟屬性對應。
對於 SCIM:確保
emails[primary].value對應至 PingOne 的電子郵件地址屬性。對於 SAML/OIDC:確保
email屬性或聲稱也對應至 PingOne 的電子郵件地址屬性。儲存變更。
PingFederate — 在所有層級對齊屬性合約
在 Claude 的 SP 連線中,前往屬性合約履行。
找到
email屬性。確保其來源與您的 SCIM 出站配置通道中使用的相同 LDAP 或資料存放區屬性相同。如果使用自訂 IdP 配接器,確保配接器的合約包含規範電子郵件屬性,並且它正確對應至 SP 連線。
更新 SCIM 配置以使用相同的來源屬性。
觸發完整重新同步
關鍵 — 需要完整同步:增量同步不會在您變更屬性對應後更新現有使用者。您必須觸發配置週期的完整重新啟動。
PingOne:在應用程式的配置設定中,觸發完整配置週期。您可能需要停用並重新啟用配置以強制完整重新推送所有使用者。
PingFederate:在您的出站配置通道中觸發完整同步。檢查您的配置日誌以確認更新的電子郵件值正在傳送。
在要求使用者重試登入之前,驗證更新的電子郵件值出現在配置日誌中。
修復後清理
在更正屬性對應並完成完整同步後,您可能需要額外的清理:
流氓免費帳戶:聯絡 Anthropic 支援以移除這些帳戶。
幽靈帳戶(錯誤電子郵件座位):聯絡 Anthropic 支援以取消配置這些幽靈帳戶。
座位可用性:如果幽靈帳戶佔用所有合約座位,新登入將失敗。聯絡支援。
重新新增受影響的使用者:移除幽靈帳戶後,使用者可能需要被重新邀請或重新配置。
防止未來發生:在您的企業設定中啟用「限制組織建立」。
驗證
檢查已配置使用者的樣本 — 確認其在您的 IdP 配置日誌中的電子郵件與 SSO 傳送的電子郵件格式相符。
要求受影響的使用者清除
claude.ai的瀏覽器 Cookie,然後透過 SSO 登入。確認使用者未意外建立免費帳戶。
如果 Claude Code 受到影響,讓使用者重新執行
claude auth login --enterprise,並確認電子郵件與其企業座位相符。
常見陷阱
陷阱 | 解決方案 |
使用 PingOne | 將 SCIM 對應切換至 PingOne 的電子郵件地址屬性。 |
PingFederate 屬性在合約層級之間不匹配 | 端對端追蹤電子郵件屬性:LDAP 來源 → IdP 配接器 → 配接器合約 → SP 連接器 → 聲稱。 |
LDAP | 改用 LDAP |
增量配置同步不更新現有使用者 | 變更屬性對應後需要完整重新同步。 |
屬性合約在 PingFederate 中更新但 SCIM 連接器未更新 | SP 連線和出站 SCIM 配置通道必須獨立更新。 |
電子郵件在 SCIM 中更新但使用者仍無法登入 | 檢查流氓免費組織或幽靈帳戶。清除瀏覽器 Cookie 並重試。 |
何時聯絡 Anthropic 支援
SCIM 和 SSO 屬性看起來相同,但使用者仍無法存取其座位。
您需要確認 Claude 在 SCIM 配置期間為特定使用者記錄的電子郵件。
您需要幫助清理幽靈帳戶或流氓免費組織。
使用者遇到座位不足錯誤,儘管您的合約有可用座位。
聯絡 [email protected],並提供您組織的網域、受影響使用者的電子郵件地址,以及您的屬性對應的螢幕截圖。