Gestion des identités et des accès
Apprenez à configurer l’authentification des utilisateurs, l’autorisation et les contrôles d’accès pour Claude Code dans votre organisation.
Méthodes d’authentification
La configuration de Claude Code nécessite un accès aux modèles Anthropic. Pour les équipes, vous pouvez configurer l’accès à Claude Code de trois manières :
- API Anthropic via la Console Anthropic
- Amazon Bedrock
- Google Vertex AI
Authentification API Anthropic
Pour configurer l’accès à Claude Code pour votre équipe via l’API Anthropic :
- Utilisez votre compte Console Anthropic existant ou créez un nouveau compte Console Anthropic
- Vous pouvez ajouter des utilisateurs par l’une des méthodes ci-dessous :
- Inviter des utilisateurs en masse depuis la Console (Console -> Paramètres -> Membres -> Inviter)
- Configurer SSO
- Lors de l’invitation d’utilisateurs, ils ont besoin de l’un des rôles suivants :
- Le rôle “Claude Code” signifie que les utilisateurs ne peuvent créer que des clés API Claude Code
- Le rôle “Développeur” signifie que les utilisateurs peuvent créer tout type de clé API
- Chaque utilisateur invité doit compléter ces étapes :
- Accepter l’invitation à la Console
- Vérifier les exigences système
- Installer Claude Code
- Se connecter avec les identifiants du compte Console
Authentification du fournisseur cloud
Pour configurer l’accès à Claude Code pour votre équipe via Bedrock ou Vertex :
- Suivez la documentation Bedrock ou la documentation Vertex
- Distribuez les variables d’environnement et les instructions pour générer les identifiants cloud à vos utilisateurs. En savoir plus sur comment gérer la configuration ici.
- Les utilisateurs peuvent installer Claude Code
Contrôle d’accès et permissions
Nous prenons en charge les permissions granulaires afin que vous puissiez spécifier exactement ce que l’agent est autorisé à faire (par exemple, exécuter des tests, exécuter un linter) et ce qu’il n’est pas autorisé à faire (par exemple, mettre à jour l’infrastructure cloud). Ces paramètres de permission peuvent être intégrés au contrôle de version et distribués à tous les développeurs de votre organisation, ainsi que personnalisés par des développeurs individuels.
Système de permissions
Claude Code utilise un système de permissions à niveaux pour équilibrer puissance et sécurité :
| Type d’outil | Exemple | Approbation requise | Comportement “Oui, ne plus demander” |
|---|---|---|---|
| Lecture seule | Lectures de fichiers, LS, Grep | Non | N/A |
| Commandes Bash | Exécution shell | Oui | Définitivement par répertoire de projet et commande |
| Modification de fichier | Éditer/écrire des fichiers | Oui | Jusqu’à la fin de la session |
Configuration des permissions
Vous pouvez visualiser et gérer les permissions d’outils de Claude Code avec /permissions. Cette interface utilisateur liste toutes les règles de permission et le fichier settings.json dont elles proviennent.
- Les règles Autoriser permettront à Claude Code d’utiliser l’outil spécifié sans approbation manuelle supplémentaire.
- Les règles Refuser empêcheront Claude Code d’utiliser l’outil spécifié. Les règles de refus ont priorité sur les règles d’autorisation.
- Les répertoires supplémentaires étendent l’accès aux fichiers de Claude aux répertoires au-delà du répertoire de travail initial.
- Le mode par défaut contrôle le comportement de permission de Claude lors de nouvelles demandes.
Les règles de permission utilisent le format : Outil(spécificateur-optionnel)
Une règle qui est juste le nom de l’outil correspond à toute utilisation de cet outil. Par exemple, ajouter Bash à la liste des règles d’autorisation permettrait à Claude Code d’utiliser l’outil Bash sans nécessiter l’approbation de l’utilisateur.
Modes de permission
Claude Code prend en charge plusieurs modes de permission qui peuvent être définis comme defaultMode dans les fichiers de paramètres :
| Mode | Description |
|---|---|
default | Comportement standard - demande la permission lors de la première utilisation de chaque outil |
acceptEdits | Accepte automatiquement les permissions d’édition de fichier pour la session |
plan | Mode plan - Claude peut analyser mais pas modifier les fichiers ou exécuter des commandes |
bypassPermissions | Ignore toutes les demandes de permission (nécessite un environnement sûr - voir l’avertissement ci-dessous) |
Répertoires de travail
Par défaut, Claude a accès aux fichiers dans le répertoire où il a été lancé. Vous pouvez étendre cet accès :
- Lors du démarrage : Utilisez l’argument CLI
--add-dir <chemin> - Pendant la session : Utilisez la commande slash
/add-dir - Configuration persistante : Ajoutez à
additionalDirectoriesdans les fichiers de paramètres
Les fichiers dans les répertoires supplémentaires suivent les mêmes règles de permission que le répertoire de travail original - ils deviennent lisibles sans demandes, et les permissions d’édition de fichier suivent le mode de permission actuel.
Règles de permission spécifiques aux outils
Certains outils utilisent le spécificateur optionnel pour des contrôles de permission plus granulaires. Par exemple, une règle d’autorisation avec Bash(git diff:*) permettrait les commandes Bash qui commencent par git diff. Les outils suivants prennent en charge les règles de permission avec spécificateurs :
Bash
Bash(npm run build)Correspond exactement à la commande Bashnpm run buildBash(npm run test:*)Correspond aux commandes Bash commençant parnpm run test.
Claude Code est conscient des opérateurs shell (comme &&) donc une règle de correspondance de préfixe comme Bash(safe-cmd:*) ne lui donnera pas la permission d’exécuter la commande safe-cmd && other-cmd
Read & Edit
Les règles Edit s’appliquent à tous les outils intégrés qui éditent des fichiers. Claude fera un effort de bonne foi pour appliquer les règles Read à tous les outils intégrés qui lisent des fichiers comme Grep, Glob, et LS.
Les règles Read & Edit suivent toutes deux la spécification gitignore. Les motifs sont résolus relativement au répertoire contenant .claude/settings.json. Pour référencer un chemin absolu, utilisez //. Pour un chemin relatif à votre répertoire personnel, utilisez ~/.
Edit(docs/**)Correspond aux éditions de fichiers dans le répertoiredocsde votre projetRead(~/.zshrc)Correspond aux lectures de votre fichier~/.zshrcEdit(//tmp/scratch.txt)Correspond aux éditions de/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Correspond aux demandes de récupération vers example.com
MCP
mcp__puppeteerCorrespond à tout outil fourni par le serveurpuppeteer(nom configuré dans Claude Code)mcp__puppeteer__puppeteer_navigateCorrespond à l’outilpuppeteer_navigatefourni par le serveurpuppeteer
Paramètres de politique gérée d’entreprise
Pour les déploiements d’entreprise de Claude Code, nous prenons en charge les paramètres de politique gérée d’entreprise qui ont priorité sur les paramètres utilisateur et projet. Cela permet aux administrateurs système d’appliquer des politiques de sécurité que les utilisateurs ne peuvent pas outrepasser.
Les administrateurs système peuvent déployer des politiques vers :
- macOS :
/Library/Application Support/ClaudeCode/managed-settings.json - Linux et Windows (via WSL) :
/etc/claude-code/managed-settings.json
Ces fichiers de politique suivent le même format que les fichiers de paramètres réguliers mais ne peuvent pas être outrepassés par les paramètres utilisateur ou projet. Cela garantit des politiques de sécurité cohérentes dans votre organisation.
Priorité des paramètres
Lorsque plusieurs sources de paramètres existent, elles sont appliquées dans l’ordre suivant (priorité la plus élevée à la plus faible) :
- Politiques d’entreprise
- Arguments de ligne de commande
- Paramètres de projet local (
.claude/settings.local.json) - Paramètres de projet partagé (
.claude/settings.json) - Paramètres utilisateur (
~/.claude/settings.json)
Cette hiérarchie garantit que les politiques organisationnelles sont toujours appliquées tout en permettant encore de la flexibilité aux niveaux projet et utilisateur lorsque approprié.
Contrôle de permission supplémentaire avec les hooks
Les hooks Claude Code fournissent un moyen d’enregistrer des commandes shell personnalisées pour effectuer l’évaluation de permission à l’exécution. Lorsque Claude Code fait un appel d’outil, les hooks PreToolUse s’exécutent avant que le système de permission ne s’exécute, et la sortie du hook peut déterminer s’il faut approuver ou refuser l’appel d’outil à la place du système de permission.
Gestion des identifiants
Claude Code prend en charge l’authentification via les identifiants Claude.ai, les identifiants API Anthropic, l’authentification Bedrock, et l’authentification Vertex. Sur macOS, les clés API, les jetons OAuth, et autres identifiants sont stockés sur le trousseau macOS chiffré. Alternativement, le paramètre apiKeyHelper peut être défini sur un script shell qui retourne une clé API. Par défaut, cet assistant est appelé après 5 minutes ou sur une réponse HTTP 401 ; spécifier la variable d’environnement CLAUDE_CODE_API_KEY_HELPER_TTL_MS définit un intervalle de rafraîchissement personnalisé.