Gestione dell'identità e degli accessi
Scopri come configurare l’autenticazione utente, l’autorizzazione e i controlli di accesso per Claude Code nella tua organizzazione.
Metodi di autenticazione
La configurazione di Claude Code richiede l’accesso ai modelli Anthropic. Per i team, puoi configurare l’accesso a Claude Code in uno di tre modi:
- API Anthropic tramite la Console Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticazione API Anthropic
Per configurare l’accesso a Claude Code per il tuo team tramite API Anthropic:
- Usa il tuo account Console Anthropic esistente o crea un nuovo account Console Anthropic
- Puoi aggiungere utenti attraverso uno dei metodi seguenti:
- Invita utenti in blocco dall’interno della Console (Console -> Impostazioni -> Membri -> Invita)
- Configura SSO
- Quando inviti utenti, hanno bisogno di uno dei seguenti ruoli:
- Il ruolo “Claude Code” significa che gli utenti possono creare solo chiavi API Claude Code
- Il ruolo “Developer” significa che gli utenti possono creare qualsiasi tipo di chiave API
- Ogni utente invitato deve completare questi passaggi:
- Accettare l’invito della Console
- Verificare i requisiti di sistema
- Installare Claude Code
- Accedere con le credenziali dell’account Console
Autenticazione del provider cloud
Per configurare l’accesso a Claude Code per il tuo team tramite Bedrock o Vertex:
- Segui la documentazione Bedrock o la documentazione Vertex
- Distribuisci le variabili d’ambiente e le istruzioni per generare le credenziali cloud ai tuoi utenti. Leggi di più su come gestire la configurazione qui.
- Gli utenti possono installare Claude Code
Controllo degli accessi e permessi
Supportiamo permessi granulari in modo che tu possa specificare esattamente cosa l’agente è autorizzato a fare (ad esempio eseguire test, eseguire linter) e cosa non è autorizzato a fare (ad esempio aggiornare l’infrastruttura cloud). Queste impostazioni dei permessi possono essere inserite nel controllo versione e distribuite a tutti gli sviluppatori della tua organizzazione, oltre ad essere personalizzate dai singoli sviluppatori.
Sistema di permessi
Claude Code utilizza un sistema di permessi a livelli per bilanciare potenza e sicurezza:
| Tipo di Strumento | Esempio | Approvazione Richiesta | Comportamento “Sì, non chiedere più” |
|---|---|---|---|
| Solo lettura | Letture file, LS, Grep | No | N/A |
| Comandi Bash | Esecuzione shell | Sì | Permanentemente per directory progetto e comando |
| Modifica File | Modifica/scrittura file | Sì | Fino alla fine della sessione |
Configurazione dei permessi
Puoi visualizzare e gestire i permessi degli strumenti di Claude Code con /permissions. Questa UI elenca tutte le regole di permesso e il file settings.json da cui provengono.
- Le regole Allow permetteranno a Claude Code di utilizzare lo strumento specificato senza ulteriore approvazione manuale.
- Le regole Deny impediranno a Claude Code di utilizzare lo strumento specificato. Le regole Deny hanno precedenza sulle regole Allow.
Le regole di permesso utilizzano il formato: Tool(specifier-opzionale)
Una regola che è solo il nome dello strumento corrisponde a qualsiasi uso di quello strumento. Ad esempio, aggiungere Bash all’elenco delle regole allow permetterebbe a Claude Code di utilizzare lo strumento Bash senza richiedere l’approvazione dell’utente.
Regole di permesso specifiche per strumento
Alcuni strumenti utilizzano lo specifier opzionale per controlli di permesso più granulari. Ad esempio, una regola allow con Bash(git diff:*) permetterebbe comandi Bash che iniziano con git diff. I seguenti strumenti supportano regole di permesso con specifier:
Bash
Bash(npm run build)Corrisponde al comando Bash esattonpm run buildBash(npm run test:*)Corrisponde ai comandi Bash che iniziano connpm run test.
Claude Code è consapevole degli operatori shell (come &&) quindi una regola di corrispondenza prefisso come Bash(safe-cmd:*) non gli darà il permesso di eseguire il comando safe-cmd && other-cmd
Read & Edit
Le regole Edit si applicano a tutti gli strumenti integrati che modificano i file. Claude farà un tentativo di buona fede per applicare le regole Read a tutti gli strumenti integrati che leggono file come Grep, Glob e LS.
Le regole Read & Edit seguono entrambe la specifica gitignore. I pattern sono risolti relativamente alla directory contenente .claude/settings.json. Per riferirsi a un percorso assoluto, usa //. Per un percorso relativo alla tua directory home, usa ~/.
Edit(docs/**)Corrisponde alle modifiche ai file nella directorydocsdel tuo progettoRead(~/.zshrc)Corrisponde alle letture del tuo file~/.zshrcEdit(//tmp/scratch.txt)Corrisponde alle modifiche a/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Corrisponde alle richieste fetch a example.com
MCP
mcp__puppeteerCorrisponde a qualsiasi strumento fornito dal serverpuppeteer(nome configurato in Claude Code)mcp__puppeteer__puppeteer_navigateCorrisponde allo strumentopuppeteer_navigatefornito dal serverpuppeteer
Impostazioni di policy gestite dall’azienda
Per le distribuzioni aziendali di Claude Code, supportiamo impostazioni di policy gestite dall’azienda che hanno precedenza sulle impostazioni utente e progetto. Questo permette agli amministratori di sistema di applicare policy di sicurezza che gli utenti non possono sovrascrivere.
Gli amministratori di sistema possono distribuire policy a:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux e Windows (tramite WSL):
/etc/claude-code/policies.json
Questi file di policy seguono lo stesso formato dei normali file di impostazioni ma non possono essere sovrascritti dalle impostazioni utente o progetto. Questo garantisce policy di sicurezza coerenti in tutta la tua organizzazione.
Precedenza delle impostazioni
Quando esistono più fonti di impostazioni, vengono applicate nel seguente ordine (dalla precedenza più alta alla più bassa):
- Policy aziendali
- Argomenti della riga di comando
- Impostazioni progetto locali (
.claude/settings.local.json) - Impostazioni progetto condivise (
.claude/settings.json) - Impostazioni utente (
~/.claude/settings.json)
Questa gerarchia garantisce che le policy organizzative siano sempre applicate pur consentendo flessibilità a livello di progetto e utente dove appropriato.
Gestione delle credenziali
Claude Code supporta l’autenticazione tramite credenziali Claude.ai, credenziali API Anthropic, Bedrock Auth e Vertex Auth. Su macOS, le chiavi API, i token OAuth e altre credenziali sono memorizzati nel Keychain macOS crittografato. In alternativa, l’impostazione apiKeyHelper può essere impostata su uno script shell che restituisce una chiave API. Per impostazione predefinita, questo helper viene chiamato dopo 5 minuti o su risposta HTTP 401; specificando la variabile d’ambiente CLAUDE_CODE_API_KEY_HELPER_TTL_MS si definisce un intervallo di aggiornamento personalizzato.