Gerenciamento de Identidade e Acesso
Aprenda como configurar autenticação de usuário, autorização e controles de acesso para Claude Code em sua organização.
Métodos de autenticação
Configurar o Claude Code requer acesso aos modelos Anthropic. Para equipes, você pode configurar o acesso ao Claude Code de uma das três maneiras:
- API Anthropic via Console Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticação da API Anthropic
Para configurar o acesso ao Claude Code para sua equipe via API Anthropic:
- Use sua conta existente do Console Anthropic ou crie uma nova conta do Console Anthropic
- Você pode adicionar usuários através de qualquer um dos métodos abaixo:
- Convide usuários em massa de dentro do Console (Console -> Configurações -> Membros -> Convidar)
- Configure SSO
- Ao convidar usuários, eles precisam de uma das seguintes funções:
- A função “Claude Code” significa que os usuários só podem criar chaves de API do Claude Code
- A função “Developer” significa que os usuários podem criar qualquer tipo de chave de API
- Cada usuário convidado precisa completar estas etapas:
- Aceitar o convite do Console
- Verificar requisitos do sistema
- Instalar Claude Code
- Fazer login com as credenciais da conta do Console
Autenticação do provedor de nuvem
Para configurar o acesso ao Claude Code para sua equipe via Bedrock ou Vertex:
- Siga a documentação do Bedrock ou documentação do Vertex
- Distribua as variáveis de ambiente e instruções para gerar credenciais de nuvem para seus usuários. Leia mais sobre como gerenciar configuração aqui.
- Os usuários podem instalar Claude Code
Controle de acesso e permissões
Suportamos permissões granulares para que você possa especificar exatamente o que o agente tem permissão para fazer (por exemplo, executar testes, executar linter) e o que não tem permissão para fazer (por exemplo, atualizar infraestrutura de nuvem). Essas configurações de permissão podem ser incluídas no controle de versão e distribuídas para todos os desenvolvedores em sua organização, bem como personalizadas por desenvolvedores individuais.
Sistema de permissões
Claude Code usa um sistema de permissões em camadas para equilibrar poder e segurança:
| Tipo de Ferramenta | Exemplo | Aprovação Necessária | Comportamento “Sim, não pergunte novamente” |
|---|---|---|---|
| Somente leitura | Leituras de arquivo, LS, Grep | Não | N/A |
| Comandos Bash | Execução de shell | Sim | Permanentemente por diretório de projeto e comando |
| Modificação de Arquivo | Editar/escrever arquivos | Sim | Até o fim da sessão |
Configurando permissões
Você pode visualizar e gerenciar as permissões de ferramentas do Claude Code com /permissions. Esta interface lista todas as regras de permissão e o arquivo settings.json de onde elas são originadas.
- Regras Allow permitirão que o Claude Code use a ferramenta especificada sem aprovação manual adicional.
- Regras Deny impedirão que o Claude Code use a ferramenta especificada. Regras de negação têm precedência sobre regras de permissão.
- Diretórios adicionais estendem o acesso de arquivo do Claude para diretórios além do diretório de trabalho inicial.
- Modo padrão controla o comportamento de permissão do Claude ao encontrar novas solicitações.
Regras de permissão usam o formato: Tool(especificador-opcional)
Uma regra que é apenas o nome da ferramenta corresponde a qualquer uso dessa ferramenta. Por exemplo, adicionar Bash à lista de regras de permissão permitiria que o Claude Code use a ferramenta Bash sem exigir aprovação do usuário.
Modos de permissão
Claude Code suporta vários modos de permissão que podem ser definidos como defaultMode em arquivos de configurações:
| Modo | Descrição |
|---|---|
default | Comportamento padrão - solicita permissão no primeiro uso de cada ferramenta |
acceptEdits | Aceita automaticamente permissões de edição de arquivo para a sessão |
plan | Modo de planejamento - Claude pode analisar mas não modificar arquivos ou executar comandos |
bypassPermissions | Pula todos os prompts de permissão (requer ambiente seguro - veja aviso abaixo) |
Diretórios de trabalho
Por padrão, Claude tem acesso a arquivos no diretório onde foi lançado. Você pode estender este acesso:
- Durante a inicialização: Use o argumento CLI
--add-dir <path> - Durante a sessão: Use o comando slash
/add-dir - Configuração persistente: Adicione a
additionalDirectoriesem arquivos de configurações
Arquivos em diretórios adicionais seguem as mesmas regras de permissão que o diretório de trabalho original - eles se tornam legíveis sem prompts, e permissões de edição de arquivo seguem o modo de permissão atual.
Regras de permissão específicas de ferramenta
Algumas ferramentas usam o especificador opcional para controles de permissão mais granulares. Por exemplo, uma regra de permissão com Bash(git diff:*) permitiria comandos Bash que começam com git diff. As seguintes ferramentas suportam regras de permissão com especificadores:
Bash
Bash(npm run build)Corresponde ao comando Bash exatonpm run buildBash(npm run test:*)Corresponde a comandos Bash que começam comnpm run test.
Claude Code está ciente de operadores de shell (como &&) então uma regra de correspondência de prefixo como Bash(safe-cmd:*) não dará permissão para executar o comando safe-cmd && other-cmd
Read & Edit
Regras Edit se aplicam a todas as ferramentas integradas que editam arquivos. Claude fará um esforço de melhor tentativa para aplicar regras Read a todas as ferramentas integradas que leem arquivos como Grep, Glob e LS.
Regras Read & Edit seguem a especificação gitignore. Padrões são resolvidos relativos ao diretório contendo .claude/settings.json. Para referenciar um caminho absoluto, use //. Para um caminho relativo ao seu diretório home, use ~/.
Edit(docs/**)Corresponde a edições de arquivos no diretóriodocsdo seu projetoRead(~/.zshrc)Corresponde a leituras do seu arquivo~/.zshrcEdit(//tmp/scratch.txt)Corresponde a edições de/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Corresponde a solicitações de busca para example.com
MCP
mcp__puppeteerCorresponde a qualquer ferramenta fornecida pelo servidorpuppeteer(nome configurado no Claude Code)mcp__puppeteer__puppeteer_navigateCorresponde à ferramentapuppeteer_navigatefornecida pelo servidorpuppeteer
Configurações de política gerenciada empresarial
Para implantações empresariais do Claude Code, suportamos configurações de política gerenciada empresarial que têm precedência sobre configurações de usuário e projeto. Isso permite que administradores de sistema apliquem políticas de segurança que os usuários não podem sobrescrever.
Administradores de sistema podem implantar políticas para:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux e Windows (via WSL):
/etc/claude-code/managed-settings.json
Esses arquivos de política seguem o mesmo formato que arquivos de configurações regulares, mas não podem ser sobrescritos por configurações de usuário ou projeto. Isso garante políticas de segurança consistentes em toda sua organização.
Precedência de configurações
Quando múltiplas fontes de configurações existem, elas são aplicadas na seguinte ordem (maior para menor precedência):
- Políticas empresariais
- Argumentos de linha de comando
- Configurações de projeto local (
.claude/settings.local.json) - Configurações de projeto compartilhado (
.claude/settings.json) - Configurações de usuário (
~/.claude/settings.json)
Esta hierarquia garante que políticas organizacionais sejam sempre aplicadas enquanto ainda permite flexibilidade nos níveis de projeto e usuário onde apropriado.
Controle de permissão adicional com hooks
Hooks do Claude Code fornecem uma maneira de registrar comandos de shell personalizados para realizar avaliação de permissão em tempo de execução. Quando Claude Code faz uma chamada de ferramenta, hooks PreToolUse executam antes do sistema de permissão executar, e a saída do hook pode determinar se deve aprovar ou negar a chamada da ferramenta no lugar do sistema de permissão.
Gerenciamento de credenciais
Claude Code suporta autenticação via credenciais Claude.ai, credenciais da API Anthropic, Bedrock Auth e Vertex Auth. No macOS, as chaves de API, tokens OAuth e outras credenciais são armazenadas no Keychain criptografado do macOS. Alternativamente, a configuração apiKeyHelper pode ser definida para um script de shell que retorna uma chave de API. Por padrão, este helper é chamado após 5 minutos ou em resposta HTTP 401; especificar a variável de ambiente CLAUDE_CODE_API_KEY_HELPER_TTL_MS define um intervalo de atualização personalizado.