Gestione dell'identità e degli accessi
Scopri come configurare l’autenticazione utente, l’autorizzazione e i controlli di accesso per Claude Code nella tua organizzazione.
Metodi di autenticazione
La configurazione di Claude Code richiede l’accesso ai modelli Anthropic. Per i team, puoi configurare l’accesso a Claude Code in uno di tre modi:
- API Anthropic tramite la Console Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticazione API Anthropic
Per configurare l’accesso a Claude Code per il tuo team tramite API Anthropic:
- Usa il tuo account Console Anthropic esistente o crea un nuovo account Console Anthropic
- Puoi aggiungere utenti attraverso uno dei metodi seguenti:
- Invita utenti in massa dalla Console (Console -> Impostazioni -> Membri -> Invita)
- Configura SSO
- Quando inviti utenti, hanno bisogno di uno dei seguenti ruoli:
- Il ruolo “Claude Code” significa che gli utenti possono creare solo chiavi API Claude Code
- Il ruolo “Developer” significa che gli utenti possono creare qualsiasi tipo di chiave API
- Ogni utente invitato deve completare questi passaggi:
- Accettare l’invito della Console
- Verificare i requisiti di sistema
- Installare Claude Code
- Accedere con le credenziali dell’account Console
Autenticazione del provider cloud
Per configurare l’accesso a Claude Code per il tuo team tramite Bedrock o Vertex:
- Segui la documentazione Bedrock o la documentazione Vertex
- Distribuisci le variabili d’ambiente e le istruzioni per generare le credenziali cloud ai tuoi utenti. Leggi di più su come gestire la configurazione qui.
- Gli utenti possono installare Claude Code
Controllo degli accessi e permessi
Supportiamo permessi granulari in modo che tu possa specificare esattamente cosa l’agente è autorizzato a fare (ad es. eseguire test, eseguire linter) e cosa non è autorizzato a fare (ad es. aggiornare l’infrastruttura cloud). Queste impostazioni dei permessi possono essere inserite nel controllo versione e distribuite a tutti gli sviluppatori della tua organizzazione, oltre ad essere personalizzate dai singoli sviluppatori.
Sistema di permessi
Claude Code utilizza un sistema di permessi a livelli per bilanciare potenza e sicurezza:
| Tipo di Strumento | Esempio | Approvazione Richiesta | Comportamento “Sì, non chiedere più” |
|---|---|---|---|
| Sola lettura | Lettura file, LS, Grep | No | N/A |
| Comandi Bash | Esecuzione shell | Sì | Permanentemente per directory del progetto e comando |
| Modifica File | Modifica/scrittura file | Sì | Fino alla fine della sessione |
Configurazione dei permessi
Puoi visualizzare e gestire i permessi degli strumenti di Claude Code con /permissions. Questa UI elenca tutte le regole di permesso e il file settings.json da cui provengono.
- Le regole Allow permetteranno a Claude Code di utilizzare lo strumento specificato senza ulteriore approvazione manuale.
- Le regole Deny impediranno a Claude Code di utilizzare lo strumento specificato. Le regole Deny hanno precedenza sulle regole Allow.
- Le Directory aggiuntive estendono l’accesso ai file di Claude alle directory oltre la directory di lavoro iniziale.
- La Modalità predefinita controlla il comportamento dei permessi di Claude quando incontra nuove richieste.
Le regole di permesso utilizzano il formato: Tool(specifier-opzionale)
Una regola che è solo il nome dello strumento corrisponde a qualsiasi uso di quello strumento. Ad esempio, aggiungere Bash alla lista delle regole allow permetterebbe a Claude Code di utilizzare lo strumento Bash senza richiedere l’approvazione dell’utente.
Modalità di permesso
Claude Code supporta diverse modalità di permesso che possono essere impostate come defaultMode nei file delle impostazioni:
| Modalità | Descrizione |
|---|---|
default | Comportamento standard - richiede il permesso al primo uso di ogni strumento |
acceptEdits | Accetta automaticamente i permessi di modifica file per la sessione |
plan | Modalità piano - Claude può analizzare ma non modificare file o eseguire comandi |
bypassPermissions | Salta tutti i prompt di permesso (richiede ambiente sicuro - vedi avviso sotto) |
Directory di lavoro
Per impostazione predefinita, Claude ha accesso ai file nella directory dove è stato lanciato. Puoi estendere questo accesso:
- Durante l’avvio: Usa l’argomento CLI
--add-dir <path> - Durante la sessione: Usa il comando slash
/add-dir - Configurazione persistente: Aggiungi a
additionalDirectoriesnei file delle impostazioni
I file nelle directory aggiuntive seguono le stesse regole di permesso della directory di lavoro originale - diventano leggibili senza prompt, e i permessi di modifica file seguono la modalità di permesso corrente.
Regole di permesso specifiche per strumento
Alcuni strumenti utilizzano lo specifier opzionale per controlli di permesso più granulari. Ad esempio, una regola allow con Bash(git diff:*) permetterebbe comandi Bash che iniziano con git diff. I seguenti strumenti supportano regole di permesso con specifier:
Bash
Bash(npm run build)Corrisponde esattamente al comando Bashnpm run buildBash(npm run test:*)Corrisponde ai comandi Bash che iniziano connpm run test.
Claude Code è consapevole degli operatori shell (come &&) quindi una regola di corrispondenza prefisso come Bash(safe-cmd:*) non gli darà il permesso di eseguire il comando safe-cmd && other-cmd
Read & Edit
Le regole Edit si applicano a tutti gli strumenti integrati che modificano i file. Claude farà un tentativo di buona fede per applicare le regole Read a tutti gli strumenti integrati che leggono file come Grep, Glob e LS.
Le regole Read & Edit seguono entrambe la specifica gitignore. I pattern sono risolti relativamente alla directory contenente .claude/settings.json. Per riferirsi a un percorso assoluto, usa //. Per un percorso relativo alla tua directory home, usa ~/.
Edit(docs/**)Corrisponde alle modifiche ai file nella directorydocsdel tuo progettoRead(~/.zshrc)Corrisponde alle letture del tuo file~/.zshrcEdit(//tmp/scratch.txt)Corrisponde alle modifiche a/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Corrisponde alle richieste di fetch a example.com
MCP
mcp__puppeteerCorrisponde a qualsiasi strumento fornito dal serverpuppeteer(nome configurato in Claude Code)mcp__puppeteer__puppeteer_navigateCorrisponde allo strumentopuppeteer_navigatefornito dal serverpuppeteer
Impostazioni di policy gestite dall’enterprise
Per le distribuzioni enterprise di Claude Code, supportiamo impostazioni di policy gestite dall’enterprise che hanno precedenza sulle impostazioni utente e di progetto. Questo permette agli amministratori di sistema di applicare policy di sicurezza che gli utenti non possono sovrascrivere.
Gli amministratori di sistema possono distribuire policy a:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux e Windows (tramite WSL):
/etc/claude-code/managed-settings.json
Questi file di policy seguono lo stesso formato dei file delle impostazioni regolari ma non possono essere sovrascritti dalle impostazioni utente o di progetto. Questo assicura policy di sicurezza coerenti in tutta la tua organizzazione.
Precedenza delle impostazioni
Quando esistono più fonti di impostazioni, vengono applicate nel seguente ordine (dalla precedenza più alta alla più bassa):
- Policy enterprise
- Argomenti della riga di comando
- Impostazioni locali del progetto (
.claude/settings.local.json) - Impostazioni condivise del progetto (
.claude/settings.json) - Impostazioni utente (
~/.claude/settings.json)
Questa gerarchia assicura che le policy organizzative siano sempre applicate pur permettendo flessibilità a livello di progetto e utente dove appropriato.
Controllo aggiuntivo dei permessi con hook
Gli hook di Claude Code forniscono un modo per registrare comandi shell personalizzati per eseguire la valutazione dei permessi a runtime. Quando Claude Code effettua una chiamata strumento, gli hook PreToolUse vengono eseguiti prima che il sistema di permessi venga eseguito, e l’output dell’hook può determinare se approvare o negare la chiamata strumento al posto del sistema di permessi.
Gestione delle credenziali
Claude Code supporta l’autenticazione tramite credenziali Claude.ai, credenziali API Anthropic, Bedrock Auth e Vertex Auth. Su macOS, le chiavi API, i token OAuth e altre credenziali sono memorizzate nel Keychain macOS crittografato. In alternativa, l’impostazione apiKeyHelper può essere impostata su uno script shell che restituisce una chiave API. Per impostazione predefinita, questo helper viene chiamato dopo 5 minuti o su risposta HTTP 401; specificando la variabile d’ambiente CLAUDE_CODE_API_KEY_HELPER_TTL_MS si definisce un intervallo di aggiornamento personalizzato.