Manajemen Identitas dan Akses
Pelajari cara mengonfigurasi autentikasi pengguna, otorisasi, dan kontrol akses untuk Claude Code di organisasi Anda.
Metode autentikasi
Menyiapkan Claude Code memerlukan akses ke model Anthropic. Untuk tim, Anda dapat menyiapkan akses Claude Code dengan salah satu dari tiga cara:
- Anthropic API melalui Anthropic Console
- Amazon Bedrock
- Google Vertex AI
Autentikasi Anthropic API
Untuk menyiapkan akses Claude Code untuk tim Anda melalui Anthropic API:
- Gunakan akun Anthropic Console yang sudah ada atau buat akun Anthropic Console baru
- Anda dapat menambahkan pengguna melalui salah satu metode di bawah ini:
- Undang pengguna secara massal dari dalam Console (Console -> Settings -> Members -> Invite)
- Siapkan SSO
- Saat mengundang pengguna, mereka memerlukan salah satu peran berikut:
- Peran “Claude Code” berarti pengguna hanya dapat membuat kunci API Claude Code
- Peran “Developer” berarti pengguna dapat membuat jenis kunci API apa pun
- Setiap pengguna yang diundang perlu menyelesaikan langkah-langkah berikut:
- Terima undangan Console
- Periksa persyaratan sistem
- Instal Claude Code
- Login dengan kredensial akun Console
Autentikasi penyedia cloud
Untuk menyiapkan akses Claude Code untuk tim Anda melalui Bedrock atau Vertex:
- Ikuti dokumentasi Bedrock atau dokumentasi Vertex
- Distribusikan variabel lingkungan dan instruksi untuk menghasilkan kredensial cloud kepada pengguna Anda. Baca lebih lanjut tentang cara mengelola konfigurasi di sini.
- Pengguna dapat menginstal Claude Code
Kontrol akses dan izin
Kami mendukung izin yang terperinci sehingga Anda dapat menentukan dengan tepat apa yang diizinkan untuk dilakukan oleh agen (misalnya menjalankan tes, menjalankan linter) dan apa yang tidak diizinkan untuk dilakukan (misalnya memperbarui infrastruktur cloud). Pengaturan izin ini dapat dicek ke dalam kontrol versi dan didistribusikan ke semua pengembang di organisasi Anda, serta disesuaikan oleh pengembang individual.
Sistem izin
Claude Code menggunakan sistem izin bertingkat untuk menyeimbangkan kekuatan dan keamanan:
| Jenis Alat | Contoh | Persetujuan Diperlukan | Perilaku “Ya, jangan tanya lagi” |
|---|---|---|---|
| Hanya-baca | Baca file, LS, Grep | Tidak | N/A |
| Perintah Bash | Eksekusi shell | Ya | Permanen per direktori proyek dan perintah |
| Modifikasi File | Edit/tulis file | Ya | Sampai akhir sesi |
Mengonfigurasi izin
Anda dapat melihat & mengelola izin alat Claude Code dengan /permissions. UI ini mencantumkan semua aturan izin dan file settings.json yang menjadi sumbernya.
- Aturan Allow akan memungkinkan Claude Code menggunakan alat yang ditentukan tanpa persetujuan manual lebih lanjut.
- Aturan Deny akan mencegah Claude Code menggunakan alat yang ditentukan. Aturan deny memiliki prioritas lebih tinggi daripada aturan allow.
Aturan izin menggunakan format: Tool(optional-specifier)
Aturan yang hanya berupa nama alat cocok dengan penggunaan alat apa pun. Misalnya, menambahkan Bash ke daftar aturan allow akan memungkinkan Claude Code menggunakan alat Bash tanpa memerlukan persetujuan pengguna.
Aturan izin khusus alat
Beberapa alat menggunakan spesifier opsional untuk kontrol izin yang lebih terperinci. Misalnya, aturan allow dengan Bash(git diff:*) akan memungkinkan perintah Bash yang dimulai dengan git diff. Alat-alat berikut mendukung aturan izin dengan spesifier:
Bash
Bash(npm run build)Cocok dengan perintah Bash yang tepatnpm run buildBash(npm run test:*)Cocok dengan perintah Bash yang dimulai dengannpm run test.
Claude Code menyadari operator shell (seperti &&) sehingga aturan pencocokan awalan seperti Bash(safe-cmd:*) tidak akan memberinya izin untuk menjalankan perintah safe-cmd && other-cmd
Read & Edit
Aturan Edit berlaku untuk semua alat bawaan yang mengedit file. Claude akan melakukan upaya terbaik untuk menerapkan aturan Read ke semua alat bawaan yang membaca file seperti Grep, Glob, dan LS.
Aturan Read & Edit keduanya mengikuti spesifikasi gitignore. Pola diselesaikan relatif terhadap direktori yang berisi .claude/settings.json. Untuk mereferensikan jalur absolut, gunakan //. Untuk jalur relatif terhadap direktori home Anda, gunakan ~/.
Edit(docs/**)Cocok dengan edit ke file di direktoridocsproyek AndaRead(~/.zshrc)Cocok dengan pembacaan ke file~/.zshrcAndaEdit(//tmp/scratch.txt)Cocok dengan edit ke/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Cocok dengan permintaan fetch ke example.com
MCP
mcp__puppeteerCocok dengan alat apa pun yang disediakan oleh serverpuppeteer(nama dikonfigurasi di Claude Code)mcp__puppeteer__puppeteer_navigateCocok dengan alatpuppeteer_navigateyang disediakan oleh serverpuppeteer
Pengaturan kebijakan yang dikelola enterprise
Untuk deployment enterprise Claude Code, kami mendukung pengaturan kebijakan yang dikelola enterprise yang memiliki prioritas lebih tinggi daripada pengaturan pengguna dan proyek. Ini memungkinkan administrator sistem untuk menegakkan kebijakan keamanan yang tidak dapat diganti oleh pengguna.
Administrator sistem dapat menerapkan kebijakan ke:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux dan Windows (melalui WSL):
/etc/claude-code/policies.json
File kebijakan ini mengikuti format yang sama dengan file pengaturan biasa tetapi tidak dapat diganti oleh pengaturan pengguna atau proyek. Ini memastikan kebijakan keamanan yang konsisten di seluruh organisasi Anda.
Prioritas pengaturan
Ketika beberapa sumber pengaturan ada, mereka diterapkan dalam urutan berikut (prioritas tertinggi ke terendah):
- Kebijakan enterprise
- Argumen baris perintah
- Pengaturan proyek lokal (
.claude/settings.local.json) - Pengaturan proyek bersama (
.claude/settings.json) - Pengaturan pengguna (
~/.claude/settings.json)
Hierarki ini memastikan bahwa kebijakan organisasi selalu ditegakkan sambil tetap memungkinkan fleksibilitas di tingkat proyek dan pengguna jika sesuai.
Manajemen kredensial
Claude Code mendukung autentikasi melalui kredensial Claude.ai, kredensial Anthropic API, Bedrock Auth, dan Vertex Auth. Di macOS, kunci API, token OAuth, dan kredensial lainnya disimpan di macOS Keychain yang terenkripsi. Alternatifnya, pengaturan apiKeyHelper dapat diatur ke skrip shell yang mengembalikan kunci API. Secara default, helper ini dipanggil setelah 5 menit atau pada respons HTTP 401; menentukan variabel lingkungan CLAUDE_CODE_API_KEY_HELPER_TTL_MS mendefinisikan interval refresh khusus.