Méthodes d’authentification

La configuration de Claude Code nécessite un accès aux modèles Anthropic. Pour les équipes, vous pouvez configurer l’accès à Claude Code de trois manières :

  • API Anthropic via la Console Anthropic
  • Amazon Bedrock
  • Google Vertex AI

Authentification API Anthropic

Pour configurer l’accès à Claude Code pour votre équipe via l’API Anthropic :

  1. Utilisez votre compte Console Anthropic existant ou créez un nouveau compte Console Anthropic
  2. Vous pouvez ajouter des utilisateurs par l’une des méthodes ci-dessous :
    • Inviter des utilisateurs en masse depuis la Console (Console -> Paramètres -> Membres -> Inviter)
    • Configurer SSO
  3. Lors de l’invitation des utilisateurs, ils ont besoin de l’un des rôles suivants :
    • Le rôle “Claude Code” signifie que les utilisateurs ne peuvent créer que des clés API Claude Code
    • Le rôle “Développeur” signifie que les utilisateurs peuvent créer tout type de clé API
  4. Chaque utilisateur invité doit effectuer ces étapes :

Authentification du fournisseur cloud

Pour configurer l’accès à Claude Code pour votre équipe via Bedrock ou Vertex :

  1. Suivez la documentation Bedrock ou la documentation Vertex
  2. Distribuez les variables d’environnement et les instructions pour générer les identifiants cloud à vos utilisateurs. En savoir plus sur la façon de gérer la configuration ici.
  3. Les utilisateurs peuvent installer Claude Code

Contrôle d’accès et permissions

Nous prenons en charge les permissions granulaires afin que vous puissiez spécifier exactement ce que l’agent est autorisé à faire (par exemple, exécuter des tests, exécuter un linter) et ce qu’il n’est pas autorisé à faire (par exemple, mettre à jour l’infrastructure cloud). Ces paramètres de permission peuvent être intégrés dans le contrôle de version et distribués à tous les développeurs de votre organisation, ainsi que personnalisés par des développeurs individuels.

Système de permissions

Claude Code utilise un système de permissions à niveaux pour équilibrer puissance et sécurité :

Type d’outilExempleApprobation requiseComportement “Oui, ne plus demander”
Lecture seuleLectures de fichiers, LS, GrepNonN/A
Commandes BashExécution shellOuiDéfinitivement par répertoire de projet et commande
Modification de fichierÉditer/écrire des fichiersOuiJusqu’à la fin de la session

Configuration des permissions

Vous pouvez visualiser et gérer les permissions d’outils de Claude Code avec /permissions. Cette interface utilisateur liste toutes les règles de permission et le fichier settings.json dont elles proviennent.

  • Les règles Autoriser permettront à Claude Code d’utiliser l’outil spécifié sans approbation manuelle supplémentaire.
  • Les règles Refuser empêcheront Claude Code d’utiliser l’outil spécifié. Les règles de refus ont la priorité sur les règles d’autorisation.

Les règles de permission utilisent le format : Outil(spécificateur-optionnel)

Une règle qui est juste le nom de l’outil correspond à toute utilisation de cet outil. Par exemple, ajouter Bash à la liste des règles d’autorisation permettrait à Claude Code d’utiliser l’outil Bash sans nécessiter l’approbation de l’utilisateur.

Règles de permission spécifiques aux outils

Certains outils utilisent le spécificateur optionnel pour des contrôles de permission plus granulaires. Par exemple, une règle d’autorisation avec Bash(git diff:*) autoriserait les commandes Bash qui commencent par git diff. Les outils suivants prennent en charge les règles de permission avec des spécificateurs :

Bash

  • Bash(npm run build) Correspond exactement à la commande Bash npm run build
  • Bash(npm run test:*) Correspond aux commandes Bash commençant par npm run test.

Claude Code est conscient des opérateurs shell (comme &&) donc une règle de correspondance de préfixe comme Bash(safe-cmd:*) ne lui donnera pas la permission d’exécuter la commande safe-cmd && other-cmd

Read & Edit

Les règles Edit s’appliquent à tous les outils intégrés qui éditent des fichiers. Claude fera un effort de bonne foi pour appliquer les règles Read à tous les outils intégrés qui lisent des fichiers comme Grep, Glob et LS.

Les règles Read & Edit suivent toutes deux la spécification gitignore. Les motifs sont résolus relativement au répertoire contenant .claude/settings.json. Pour référencer un chemin absolu, utilisez //. Pour un chemin relatif à votre répertoire personnel, utilisez ~/.

  • Edit(docs/**) Correspond aux modifications de fichiers dans le répertoire docs de votre projet
  • Read(~/.zshrc) Correspond aux lectures de votre fichier ~/.zshrc
  • Edit(//tmp/scratch.txt) Correspond aux modifications de /tmp/scratch.txt

WebFetch

  • WebFetch(domain:example.com) Correspond aux requêtes de récupération vers example.com

MCP

  • mcp__puppeteer Correspond à tout outil fourni par le serveur puppeteer (nom configuré dans Claude Code)
  • mcp__puppeteer__puppeteer_navigate Correspond à l’outil puppeteer_navigate fourni par le serveur puppeteer

Paramètres de politique gérée d’entreprise

Pour les déploiements d’entreprise de Claude Code, nous prenons en charge les paramètres de politique gérée d’entreprise qui ont la priorité sur les paramètres utilisateur et projet. Cela permet aux administrateurs système d’appliquer des politiques de sécurité que les utilisateurs ne peuvent pas outrepasser.

Les administrateurs système peuvent déployer des politiques vers :

  • macOS : /Library/Application Support/ClaudeCode/policies.json
  • Linux et Windows (via WSL) : /etc/claude-code/policies.json

Ces fichiers de politique suivent le même format que les fichiers de paramètres réguliers mais ne peuvent pas être outrepassés par les paramètres utilisateur ou projet. Cela garantit des politiques de sécurité cohérentes dans votre organisation.

Précédence des paramètres

Lorsque plusieurs sources de paramètres existent, elles sont appliquées dans l’ordre suivant (de la plus haute à la plus basse précédence) :

  1. Politiques d’entreprise
  2. Arguments de ligne de commande
  3. Paramètres de projet local (.claude/settings.local.json)
  4. Paramètres de projet partagé (.claude/settings.json)
  5. Paramètres utilisateur (~/.claude/settings.json)

Cette hiérarchie garantit que les politiques organisationnelles sont toujours appliquées tout en permettant encore de la flexibilité aux niveaux projet et utilisateur lorsque approprié.

Gestion des identifiants

Claude Code prend en charge l’authentification via les identifiants Claude.ai, les identifiants API Anthropic, l’authentification Bedrock et l’authentification Vertex. Sur macOS, les clés API, les jetons OAuth et autres identifiants sont stockés sur le trousseau macOS chiffré. Alternativement, le paramètre apiKeyHelper peut être défini sur un script shell qui retourne une clé API. Par défaut, cet assistant est appelé après 5 minutes ou sur une réponse HTTP 401 ; spécifier la variable d’environnement CLAUDE_CODE_API_KEY_HELPER_TTL_MS définit un intervalle de rafraîchissement personnalisé.