Manajemen Identitas dan Akses
Pelajari cara mengonfigurasi autentikasi pengguna, otorisasi, dan kontrol akses untuk Claude Code di organisasi Anda.
Metode autentikasi
Menyiapkan Claude Code memerlukan akses ke model Anthropic. Untuk tim, Anda dapat menyiapkan akses Claude Code dengan salah satu dari tiga cara:
- Anthropic API melalui Anthropic Console
- Amazon Bedrock
- Google Vertex AI
Autentikasi Anthropic API
Untuk menyiapkan akses Claude Code untuk tim Anda melalui Anthropic API:
- Gunakan akun Anthropic Console yang sudah ada atau buat akun Anthropic Console baru
- Anda dapat menambahkan pengguna melalui salah satu metode di bawah ini:
- Undang pengguna secara massal dari dalam Console (Console -> Settings -> Members -> Invite)
- Siapkan SSO
- Saat mengundang pengguna, mereka memerlukan salah satu peran berikut:
- Peran “Claude Code” berarti pengguna hanya dapat membuat kunci API Claude Code
- Peran “Developer” berarti pengguna dapat membuat jenis kunci API apa pun
- Setiap pengguna yang diundang perlu menyelesaikan langkah-langkah berikut:
- Terima undangan Console
- Periksa persyaratan sistem
- Instal Claude Code
- Login dengan kredensial akun Console
Autentikasi penyedia cloud
Untuk menyiapkan akses Claude Code untuk tim Anda melalui Bedrock atau Vertex:
- Ikuti dokumentasi Bedrock atau dokumentasi Vertex
- Distribusikan variabel lingkungan dan instruksi untuk menghasilkan kredensial cloud kepada pengguna Anda. Baca lebih lanjut tentang cara mengelola konfigurasi di sini.
- Pengguna dapat menginstal Claude Code
Kontrol akses dan izin
Kami mendukung izin yang terperinci sehingga Anda dapat menentukan dengan tepat apa yang diizinkan untuk dilakukan oleh agen (misalnya menjalankan tes, menjalankan linter) dan apa yang tidak diizinkan untuk dilakukan (misalnya memperbarui infrastruktur cloud). Pengaturan izin ini dapat dicek ke dalam kontrol versi dan didistribusikan ke semua pengembang di organisasi Anda, serta disesuaikan oleh pengembang individual.
Sistem izin
Claude Code menggunakan sistem izin bertingkat untuk menyeimbangkan kekuatan dan keamanan:
| Jenis Tool | Contoh | Persetujuan Diperlukan | Perilaku “Ya, jangan tanya lagi” |
|---|---|---|---|
| Hanya-baca | Baca file, LS, Grep | Tidak | N/A |
| Perintah Bash | Eksekusi shell | Ya | Permanen per direktori proyek dan perintah |
| Modifikasi File | Edit/tulis file | Ya | Sampai sesi berakhir |
Mengonfigurasi izin
Anda dapat melihat & mengelola izin tool Claude Code dengan /permissions. UI ini mencantumkan semua aturan izin dan file settings.json yang menjadi sumbernya.
- Aturan Allow akan memungkinkan Claude Code menggunakan tool yang ditentukan tanpa persetujuan manual lebih lanjut.
- Aturan Deny akan mencegah Claude Code menggunakan tool yang ditentukan. Aturan deny memiliki prioritas lebih tinggi daripada aturan allow.
- Direktori tambahan memperluas akses file Claude ke direktori di luar direktori kerja awal.
- Mode default mengontrol perilaku izin Claude saat menghadapi permintaan baru.
Aturan izin menggunakan format: Tool(optional-specifier)
Aturan yang hanya berupa nama tool cocok dengan penggunaan tool apa pun. Misalnya, menambahkan Bash ke daftar aturan allow akan memungkinkan Claude Code menggunakan tool Bash tanpa memerlukan persetujuan pengguna.
Mode izin
Claude Code mendukung beberapa mode izin yang dapat diatur sebagai defaultMode dalam file pengaturan:
| Mode | Deskripsi |
|---|---|
default | Perilaku standar - meminta izin pada penggunaan pertama setiap tool |
acceptEdits | Secara otomatis menerima izin edit file untuk sesi |
plan | Mode rencana - Claude dapat menganalisis tetapi tidak memodifikasi file atau menjalankan perintah |
bypassPermissions | Melewati semua prompt izin (memerlukan lingkungan yang aman - lihat peringatan di bawah) |
Direktori kerja
Secara default, Claude memiliki akses ke file dalam direktori tempat ia diluncurkan. Anda dapat memperluas akses ini:
- Selama startup: Gunakan argumen CLI
--add-dir <path> - Selama sesi: Gunakan perintah slash
/add-dir - Konfigurasi persisten: Tambahkan ke
additionalDirectoriesdalam file pengaturan
File dalam direktori tambahan mengikuti aturan izin yang sama dengan direktori kerja asli - mereka menjadi dapat dibaca tanpa prompt, dan izin edit file mengikuti mode izin saat ini.
Aturan izin khusus tool
Beberapa tool menggunakan specifier opsional untuk kontrol izin yang lebih terperinci. Misalnya, aturan allow dengan Bash(git diff:*) akan memungkinkan perintah Bash yang dimulai dengan git diff. Tool berikut mendukung aturan izin dengan specifier:
Bash
Bash(npm run build)Cocok dengan perintah Bash yang tepatnpm run buildBash(npm run test:*)Cocok dengan perintah Bash yang dimulai dengannpm run test.
Claude Code menyadari operator shell (seperti &&) sehingga aturan pencocokan awalan seperti Bash(safe-cmd:*) tidak akan memberinya izin untuk menjalankan perintah safe-cmd && other-cmd
Read & Edit
Aturan Edit berlaku untuk semua tool bawaan yang mengedit file. Claude akan melakukan upaya terbaik untuk menerapkan aturan Read ke semua tool bawaan yang membaca file seperti Grep, Glob, dan LS.
Aturan Read & Edit keduanya mengikuti spesifikasi gitignore. Pola diselesaikan relatif terhadap direktori yang berisi .claude/settings.json. Untuk mereferensikan jalur absolut, gunakan //. Untuk jalur relatif terhadap direktori home Anda, gunakan ~/.
Edit(docs/**)Cocok dengan edit file dalam direktoridocsproyek AndaRead(~/.zshrc)Cocok dengan pembacaan file~/.zshrcAndaEdit(//tmp/scratch.txt)Cocok dengan edit/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Cocok dengan permintaan fetch ke example.com
MCP
mcp__puppeteerCocok dengan tool apa pun yang disediakan oleh serverpuppeteer(nama dikonfigurasi dalam Claude Code)mcp__puppeteer__puppeteer_navigateCocok dengan toolpuppeteer_navigateyang disediakan oleh serverpuppeteer
Pengaturan kebijakan yang dikelola enterprise
Untuk deployment enterprise Claude Code, kami mendukung pengaturan kebijakan yang dikelola enterprise yang memiliki prioritas lebih tinggi daripada pengaturan pengguna dan proyek. Ini memungkinkan administrator sistem untuk menegakkan kebijakan keamanan yang tidak dapat diganti oleh pengguna.
Administrator sistem dapat menerapkan kebijakan ke:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux dan Windows (melalui WSL):
/etc/claude-code/managed-settings.json
File kebijakan ini mengikuti format yang sama dengan file pengaturan reguler tetapi tidak dapat diganti oleh pengaturan pengguna atau proyek. Ini memastikan kebijakan keamanan yang konsisten di seluruh organisasi Anda.
Prioritas pengaturan
Ketika beberapa sumber pengaturan ada, mereka diterapkan dalam urutan berikut (prioritas tertinggi ke terendah):
- Kebijakan enterprise
- Argumen baris perintah
- Pengaturan proyek lokal (
.claude/settings.local.json) - Pengaturan proyek bersama (
.claude/settings.json) - Pengaturan pengguna (
~/.claude/settings.json)
Hierarki ini memastikan bahwa kebijakan organisasi selalu ditegakkan sambil tetap memungkinkan fleksibilitas di tingkat proyek dan pengguna jika sesuai.
Kontrol izin tambahan dengan hooks
Claude Code hooks menyediakan cara untuk mendaftarkan perintah shell kustom untuk melakukan evaluasi izin pada runtime. Ketika Claude Code melakukan panggilan tool, hook PreToolUse berjalan sebelum sistem izin berjalan, dan output hook dapat menentukan apakah akan menyetujui atau menolak panggilan tool menggantikan sistem izin.
Manajemen kredensial
Claude Code mendukung autentikasi melalui kredensial Claude.ai, kredensial Anthropic API, Bedrock Auth, dan Vertex Auth. Pada macOS, kunci API, token OAuth, dan kredensial lainnya disimpan di macOS Keychain yang terenkripsi. Alternatifnya, pengaturan apiKeyHelper dapat diatur ke skrip shell yang mengembalikan kunci API. Secara default, helper ini dipanggil setelah 5 menit atau pada respons HTTP 401; menentukan variabel lingkungan CLAUDE_CODE_API_KEY_HELPER_TTL_MS mendefinisikan interval refresh kustom.