Identitäts- und Zugriffsverwaltung
Erfahren Sie, wie Sie Benutzerauthentifizierung, Autorisierung und Zugriffskontrollen für Claude Code in Ihrer Organisation konfigurieren.
Authentifizierungsmethoden
Die Einrichtung von Claude Code erfordert Zugriff auf Anthropic-Modelle. Für Teams können Sie den Claude Code-Zugriff auf eine von drei Arten einrichten:
- Anthropic API über die Anthropic Console
- Amazon Bedrock
- Google Vertex AI
Anthropic API-Authentifizierung
So richten Sie Claude Code-Zugriff für Ihr Team über die Anthropic API ein:
- Verwenden Sie Ihr bestehendes Anthropic Console-Konto oder erstellen Sie ein neues Anthropic Console-Konto
- Sie können Benutzer über eine der folgenden Methoden hinzufügen:
- Masseneinladung von Benutzern aus der Console heraus (Console -> Settings -> Members -> Invite)
- SSO einrichten
- Beim Einladen von Benutzern benötigen diese eine der folgenden Rollen:
- Die Rolle “Claude Code” bedeutet, dass Benutzer nur Claude Code API-Schlüssel erstellen können
- Die Rolle “Developer” bedeutet, dass Benutzer jede Art von API-Schlüssel erstellen können
- Jeder eingeladene Benutzer muss diese Schritte ausführen:
- Die Console-Einladung annehmen
- Systemanforderungen überprüfen
- Claude Code installieren
- Mit Console-Kontoanmeldedaten anmelden
Cloud-Anbieter-Authentifizierung
So richten Sie Claude Code-Zugriff für Ihr Team über Bedrock oder Vertex ein:
- Folgen Sie der Bedrock-Dokumentation oder Vertex-Dokumentation
- Verteilen Sie die Umgebungsvariablen und Anweisungen zur Generierung von Cloud-Anmeldedaten an Ihre Benutzer. Lesen Sie mehr darüber, wie Sie die Konfiguration hier verwalten.
- Benutzer können Claude Code installieren
Zugriffskontrolle und Berechtigungen
Wir unterstützen feingliedrige Berechtigungen, sodass Sie genau spezifizieren können, was der Agent tun darf (z.B. Tests ausführen, Linter ausführen) und was er nicht tun darf (z.B. Cloud-Infrastruktur aktualisieren). Diese Berechtigungseinstellungen können in die Versionskontrolle eingecheckt und an alle Entwickler in Ihrer Organisation verteilt sowie von einzelnen Entwicklern angepasst werden.
Berechtigungssystem
Claude Code verwendet ein gestuftes Berechtigungssystem, um Macht und Sicherheit auszubalancieren:
| Tool-Typ | Beispiel | Genehmigung erforderlich | ”Ja, nicht mehr fragen”-Verhalten |
|---|---|---|---|
| Nur-Lesen | Datei-Lesevorgänge, LS, Grep | Nein | N/A |
| Bash-Befehle | Shell-Ausführung | Ja | Dauerhaft pro Projektverzeichnis und Befehl |
| Dateiänderung | Dateien bearbeiten/schreiben | Ja | Bis zum Sitzungsende |
Berechtigungen konfigurieren
Sie können die Tool-Berechtigungen von Claude Code mit /permissions anzeigen und verwalten. Diese Benutzeroberfläche listet alle Berechtigungsregeln und die settings.json-Datei auf, aus der sie stammen.
- Allow-Regeln erlauben es Claude Code, das spezifizierte Tool ohne weitere manuelle Genehmigung zu verwenden.
- Deny-Regeln verhindern, dass Claude Code das spezifizierte Tool verwendet. Deny-Regeln haben Vorrang vor Allow-Regeln.
Berechtigungsregeln verwenden das Format: Tool(optionaler-Spezifizierer)
Eine Regel, die nur der Tool-Name ist, passt zu jeder Verwendung dieses Tools. Zum Beispiel würde das Hinzufügen von Bash zur Liste der Allow-Regeln es Claude Code erlauben, das Bash-Tool ohne Benutzergenehmigung zu verwenden.
Tool-spezifische Berechtigungsregeln
Einige Tools verwenden den optionalen Spezifizierer für feingliedrigere Berechtigungskontrollen. Zum Beispiel würde eine Allow-Regel mit Bash(git diff:*) Bash-Befehle erlauben, die mit git diff beginnen. Die folgenden Tools unterstützen Berechtigungsregeln mit Spezifizierern:
Bash
Bash(npm run build)Passt genau zum Bash-Befehlnpm run buildBash(npm run test:*)Passt zu Bash-Befehlen, die mitnpm run testbeginnen.
Claude Code ist sich Shell-Operatoren (wie &&) bewusst, sodass eine Präfix-Match-Regel wie Bash(safe-cmd:*) ihm keine Berechtigung gibt, den Befehl safe-cmd && other-cmd auszuführen
Read & Edit
Edit-Regeln gelten für alle eingebauten Tools, die Dateien bearbeiten. Claude wird einen Best-Effort-Versuch unternehmen, Read-Regeln auf alle eingebauten Tools anzuwenden, die Dateien lesen, wie Grep, Glob und LS.
Read- und Edit-Regeln folgen beide der gitignore-Spezifikation. Muster werden relativ zum Verzeichnis aufgelöst, das .claude/settings.json enthält. Um auf einen absoluten Pfad zu verweisen, verwenden Sie //. Für einen Pfad relativ zu Ihrem Home-Verzeichnis verwenden Sie ~/.
Edit(docs/**)Passt zu Bearbeitungen von Dateien imdocs-Verzeichnis Ihres ProjektsRead(~/.zshrc)Passt zu Lesevorgängen Ihrer~/.zshrc-DateiEdit(//tmp/scratch.txt)Passt zu Bearbeitungen von/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Passt zu Fetch-Anfragen an example.com
MCP
mcp__puppeteerPasst zu jedem Tool, das vompuppeteer-Server bereitgestellt wird (Name in Claude Code konfiguriert)mcp__puppeteer__puppeteer_navigatePasst zumpuppeteer_navigate-Tool, das vompuppeteer-Server bereitgestellt wird
Unternehmens-verwaltete Richtlinieneinstellungen
Für Unternehmensbereitstellungen von Claude Code unterstützen wir unternehmens-verwaltete Richtlinieneinstellungen, die Vorrang vor Benutzer- und Projekteinstellungen haben. Dies ermöglicht es Systemadministratoren, Sicherheitsrichtlinien durchzusetzen, die Benutzer nicht überschreiben können.
Systemadministratoren können Richtlinien bereitstellen für:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux und Windows (über WSL):
/etc/claude-code/policies.json
Diese Richtliniendateien folgen demselben Format wie reguläre Einstellungsdateien, können aber nicht von Benutzer- oder Projekteinstellungen überschrieben werden. Dies gewährleistet konsistente Sicherheitsrichtlinien in Ihrer Organisation.
Einstellungsrangfolge
Wenn mehrere Einstellungsquellen existieren, werden sie in der folgenden Reihenfolge angewendet (höchste zu niedrigste Priorität):
- Unternehmensrichtlinien
- Befehlszeilenargumente
- Lokale Projekteinstellungen (
.claude/settings.local.json) - Geteilte Projekteinstellungen (
.claude/settings.json) - Benutzereinstellungen (
~/.claude/settings.json)
Diese Hierarchie stellt sicher, dass Organisationsrichtlinien immer durchgesetzt werden, während gleichzeitig Flexibilität auf Projekt- und Benutzerebene ermöglicht wird, wo angemessen.
Anmeldedatenverwaltung
Claude Code unterstützt Authentifizierung über Claude.ai-Anmeldedaten, Anthropic API-Anmeldedaten, Bedrock Auth und Vertex Auth. Auf macOS werden die API-Schlüssel, OAuth-Token und andere Anmeldedaten im verschlüsselten macOS Keychain gespeichert. Alternativ kann die Einstellung apiKeyHelper auf ein Shell-Skript gesetzt werden, das einen API-Schlüssel zurückgibt. Standardmäßig wird dieser Helper nach 5 Minuten oder bei einer HTTP 401-Antwort aufgerufen; die Angabe der Umgebungsvariable CLAUDE_CODE_API_KEY_HELPER_TTL_MS definiert ein benutzerdefiniertes Aktualisierungsintervall.