Gestion des identités et des accès
Apprenez à configurer l’authentification des utilisateurs, l’autorisation et les contrôles d’accès pour Claude Code dans votre organisation.
Méthodes d’authentification
La configuration de Claude Code nécessite un accès aux modèles Anthropic. Pour les équipes, vous pouvez configurer l’accès à Claude Code de trois manières :
- API Anthropic via la Console Anthropic
- Amazon Bedrock
- Google Vertex AI
Authentification API Anthropic
Pour configurer l’accès à Claude Code pour votre équipe via l’API Anthropic :
- Utilisez votre compte Console Anthropic existant ou créez un nouveau compte Console Anthropic
- Vous pouvez ajouter des utilisateurs par l’une des méthodes ci-dessous :
- Inviter des utilisateurs en masse depuis la Console (Console -> Paramètres -> Membres -> Inviter)
- Configurer SSO
- Lors de l’invitation d’utilisateurs, ils ont besoin de l’un des rôles suivants :
- Le rôle “Claude Code” signifie que les utilisateurs ne peuvent créer que des clés API Claude Code
- Le rôle “Développeur” signifie que les utilisateurs peuvent créer tout type de clé API
- Chaque utilisateur invité doit compléter ces étapes :
- Accepter l’invitation de la Console
- Vérifier les exigences système
- Installer Claude Code
- Se connecter avec les identifiants du compte Console
Authentification du fournisseur cloud
Pour configurer l’accès à Claude Code pour votre équipe via Bedrock ou Vertex :
- Suivez la documentation Bedrock ou la documentation Vertex
- Distribuez les variables d’environnement et les instructions pour générer les identifiants cloud à vos utilisateurs. En savoir plus sur la façon de gérer la configuration ici.
- Les utilisateurs peuvent installer Claude Code
Contrôle d’accès et permissions
Nous prenons en charge des permissions granulaires afin que vous puissiez spécifier exactement ce que l’agent est autorisé à faire (par exemple, exécuter des tests, exécuter un linter) et ce qu’il n’est pas autorisé à faire (par exemple, mettre à jour l’infrastructure cloud). Ces paramètres de permission peuvent être intégrés dans le contrôle de version et distribués à tous les développeurs de votre organisation, ainsi que personnalisés par des développeurs individuels.
Système de permissions
Claude Code utilise un système de permissions à niveaux pour équilibrer puissance et sécurité :
Type d’outil | Exemple | Approbation requise | Comportement “Oui, ne plus demander” |
---|---|---|---|
Lecture seule | Lectures de fichiers, LS, Grep | Non | N/A |
Commandes Bash | Exécution shell | Oui | Définitivement par répertoire de projet et commande |
Modification de fichier | Éditer/écrire des fichiers | Oui | Jusqu’à la fin de la session |
Configuration des permissions
Vous pouvez visualiser et gérer les permissions d’outils de Claude Code avec /permissions
. Cette interface utilisateur liste toutes les règles de permission et le fichier settings.json dont elles proviennent.
- Les règles Autoriser permettront à Claude Code d’utiliser l’outil spécifié sans approbation manuelle supplémentaire.
- Les règles Demander demanderont confirmation à l’utilisateur chaque fois que Claude Code essaie d’utiliser l’outil spécifié. Les règles de demande prennent le pas sur les règles d’autorisation.
- Les règles Refuser empêcheront Claude Code d’utiliser l’outil spécifié. Les règles de refus prennent le pas sur les règles d’autorisation et de demande.
- Les répertoires supplémentaires étendent l’accès aux fichiers de Claude aux répertoires au-delà du répertoire de travail initial.
- Le mode par défaut contrôle le comportement de permission de Claude lors de nouvelles demandes.
Les règles de permission utilisent le format : Outil
ou Outil(spécificateur-optionnel)
Une règle qui est juste le nom de l’outil correspond à toute utilisation de cet outil. Par exemple, ajouter Bash
à la liste des règles d’autorisation permettrait à Claude Code d’utiliser l’outil Bash sans nécessiter l’approbation de l’utilisateur.
Modes de permission
Claude Code prend en charge plusieurs modes de permission qui peuvent être définis comme defaultMode
dans les fichiers de paramètres :
Mode | Description |
---|---|
default | Comportement standard - demande la permission lors de la première utilisation de chaque outil |
acceptEdits | Accepte automatiquement les permissions d’édition de fichiers pour la session |
plan | Mode plan - Claude peut analyser mais ne peut pas modifier les fichiers ou exécuter des commandes |
bypassPermissions | Ignore toutes les demandes de permission (nécessite un environnement sûr - voir l’avertissement ci-dessous) |
Répertoires de travail
Par défaut, Claude a accès aux fichiers dans le répertoire où il a été lancé. Vous pouvez étendre cet accès :
- Au démarrage : Utilisez l’argument CLI
--add-dir <chemin>
- Pendant la session : Utilisez la commande slash
/add-dir
- Configuration persistante : Ajoutez à
additionalDirectories
dans les fichiers de paramètres
Les fichiers dans les répertoires supplémentaires suivent les mêmes règles de permission que le répertoire de travail original - ils deviennent lisibles sans demandes, et les permissions d’édition de fichiers suivent le mode de permission actuel.
Règles de permission spécifiques aux outils
Certains outils prennent en charge des contrôles de permission plus granulaires :
Bash
Bash(npm run build)
Correspond exactement à la commande Bashnpm run build
Bash(npm run test:*)
Correspond aux commandes Bash commençant parnpm run test
.
Claude Code est conscient des opérateurs shell (comme &&
) donc une règle de correspondance de préfixe comme Bash(safe-cmd:*)
ne lui donnera pas la permission d’exécuter la commande safe-cmd && other-cmd
Read & Edit
Les règles Edit
s’appliquent à tous les outils intégrés qui éditent des fichiers. Claude fera un effort de bonne foi pour appliquer les règles Read
à tous les outils intégrés qui lisent des fichiers comme Grep, Glob et LS.
Les règles Read & Edit suivent toutes deux la spécification gitignore. Les motifs sont résolus relativement au répertoire contenant .claude/settings.json
. Pour référencer un chemin absolu, utilisez //
. Pour un chemin relatif à votre répertoire personnel, utilisez ~/
.
Edit(docs/**)
Correspond aux éditions de fichiers dans le répertoiredocs
de votre projetRead(~/.zshrc)
Correspond aux lectures de votre fichier~/.zshrc
Edit(//tmp/scratch.txt)
Correspond aux éditions de/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)
Correspond aux demandes de récupération vers example.com
MCP
mcp__puppeteer
Correspond à tout outil fourni par le serveurpuppeteer
(nom configuré dans Claude Code)mcp__puppeteer__puppeteer_navigate
Correspond à l’outilpuppeteer_navigate
fourni par le serveurpuppeteer
Contrairement aux autres types de permissions, les permissions MCP ne prennent PAS en charge les caractères génériques (*
).
Pour approuver tous les outils d’un serveur MCP :
- ✅ Utilisez :
mcp__github
(approuve TOUS les outils GitHub) - ❌ N’utilisez pas :
mcp__github__*
(les caractères génériques ne sont pas pris en charge)
Pour approuver uniquement des outils spécifiques, listez chacun d’eux :
- ✅ Utilisez :
mcp__github__get_issue
- ✅ Utilisez :
mcp__github__list_issues
Contrôle de permission supplémentaire avec les hooks
Les hooks Claude Code fournissent un moyen d’enregistrer des commandes shell personnalisées pour effectuer une évaluation de permission à l’exécution. Lorsque Claude Code fait un appel d’outil, les hooks PreToolUse s’exécutent avant que le système de permissions ne s’exécute, et la sortie du hook peut déterminer s’il faut approuver ou refuser l’appel d’outil à la place du système de permissions.
Paramètres de politique gérée d’entreprise
Pour les déploiements d’entreprise de Claude Code, nous prenons en charge les paramètres de politique gérée d’entreprise qui prennent le pas sur les paramètres utilisateur et projet. Cela permet aux administrateurs système d’appliquer des politiques de sécurité que les utilisateurs ne peuvent pas outrepasser.
Les administrateurs système peuvent déployer des politiques vers :
- macOS :
/Library/Application Support/ClaudeCode/managed-settings.json
- Linux et WSL :
/etc/claude-code/managed-settings.json
- Windows :
C:\ProgramData\ClaudeCode\managed-settings.json
Ces fichiers de politique suivent le même format que les fichiers de paramètres réguliers mais ne peuvent pas être outrepassés par les paramètres utilisateur ou projet. Cela garantit des politiques de sécurité cohérentes dans votre organisation.
Précédence des paramètres
Lorsque plusieurs sources de paramètres existent, elles sont appliquées dans l’ordre suivant (de la plus haute à la plus basse précédence) :
- Politiques d’entreprise
- Arguments de ligne de commande
- Paramètres de projet locaux (
.claude/settings.local.json
) - Paramètres de projet partagés (
.claude/settings.json
) - Paramètres utilisateur (
~/.claude/settings.json
)
Cette hiérarchie garantit que les politiques organisationnelles sont toujours appliquées tout en permettant encore de la flexibilité aux niveaux projet et utilisateur lorsque approprié.
Gestion des identifiants
Claude Code gère de manière sécurisée vos identifiants d’authentification :
- Emplacement de stockage : Sur macOS, les clés API, les jetons OAuth et autres identifiants sont stockés dans le Trousseau macOS chiffré.
- Types d’authentification pris en charge : Identifiants Claude.ai, identifiants API Anthropic, Auth Bedrock et Auth Vertex.
- Scripts d’identifiants personnalisés : Le paramètre
apiKeyHelper
peut être configuré pour exécuter un script shell qui retourne une clé API. - Intervalles de rafraîchissement : Par défaut,
apiKeyHelper
est appelé après 5 minutes ou sur une réponse HTTP 401. Définissez la variable d’environnementCLAUDE_CODE_API_KEY_HELPER_TTL_MS
pour des intervalles de rafraîchissement personnalisés.