Gerenciamento de Identidade e Acesso
Aprenda como configurar autenticação de usuário, autorização e controles de acesso para Claude Code em sua organização.
Métodos de autenticação
Configurar o Claude Code requer acesso aos modelos da Anthropic. Para equipes, você pode configurar o acesso ao Claude Code de uma das três maneiras:
- API da Anthropic via Console da Anthropic
- Amazon Bedrock
- Google Vertex AI
Autenticação da API da Anthropic
Para configurar o acesso ao Claude Code para sua equipe via API da Anthropic:
- Use sua conta existente do Console da Anthropic ou crie uma nova conta do Console da Anthropic
- Você pode adicionar usuários através de qualquer um dos métodos abaixo:
- Convide usuários em massa de dentro do Console (Console -> Configurações -> Membros -> Convidar)
- Configure SSO
- Ao convidar usuários, eles precisam de uma das seguintes funções:
- A função “Claude Code” significa que os usuários podem apenas criar chaves de API do Claude Code
- A função “Developer” significa que os usuários podem criar qualquer tipo de chave de API
- Cada usuário convidado precisa completar estas etapas:
- Aceitar o convite do Console
- Verificar requisitos do sistema
- Instalar Claude Code
- Fazer login com as credenciais da conta do Console
Autenticação do provedor de nuvem
Para configurar o acesso ao Claude Code para sua equipe via Bedrock ou Vertex:
- Siga a documentação do Bedrock ou documentação do Vertex
- Distribua as variáveis de ambiente e instruções para gerar credenciais de nuvem para seus usuários. Leia mais sobre como gerenciar configuração aqui.
- Os usuários podem instalar Claude Code
Controle de acesso e permissões
Oferecemos suporte a permissões detalhadas para que você possa especificar exatamente o que o agente tem permissão para fazer (por exemplo, executar testes, executar linter) e o que não tem permissão para fazer (por exemplo, atualizar infraestrutura de nuvem). Essas configurações de permissão podem ser incluídas no controle de versão e distribuídas para todos os desenvolvedores em sua organização, bem como personalizadas por desenvolvedores individuais.
Sistema de permissões
O Claude Code usa um sistema de permissões em camadas para equilibrar poder e segurança:
| Tipo de Ferramenta | Exemplo | Aprovação Necessária | Comportamento “Sim, não pergunte novamente” |
|---|---|---|---|
| Somente leitura | Leituras de arquivo, LS, Grep | Não | N/A |
| Comandos Bash | Execução de shell | Sim | Permanentemente por diretório de projeto e comando |
| Modificação de Arquivo | Editar/escrever arquivos | Sim | Até o fim da sessão |
Configurando permissões
Você pode visualizar e gerenciar as permissões de ferramentas do Claude Code com /permissions. Esta interface lista todas as regras de permissão e o arquivo settings.json de onde elas são originadas.
- Regras Allow permitirão que o Claude Code use a ferramenta especificada sem aprovação manual adicional.
- Regras Deny impedirão que o Claude Code use a ferramenta especificada. Regras de negação têm precedência sobre regras de permissão.
Regras de permissão usam o formato: Tool(especificador-opcional)
Uma regra que é apenas o nome da ferramenta corresponde a qualquer uso dessa ferramenta. Por exemplo, adicionar Bash à lista de regras de permissão permitiria que o Claude Code use a ferramenta Bash sem exigir aprovação do usuário.
Regras de permissão específicas de ferramentas
Algumas ferramentas usam o especificador opcional para controles de permissão mais detalhados. Por exemplo, uma regra de permissão com Bash(git diff:*) permitiria comandos Bash que começam com git diff. As seguintes ferramentas suportam regras de permissão com especificadores:
Bash
Bash(npm run build)Corresponde ao comando Bash exatonpm run buildBash(npm run test:*)Corresponde a comandos Bash que começam comnpm run test.
O Claude Code está ciente de operadores de shell (como &&) então uma regra de correspondência de prefixo como Bash(safe-cmd:*) não dará permissão para executar o comando safe-cmd && other-cmd
Read & Edit
Regras Edit se aplicam a todas as ferramentas integradas que editam arquivos. O Claude fará um esforço de boa-fé para aplicar regras Read a todas as ferramentas integradas que leem arquivos como Grep, Glob e LS.
Regras Read & Edit seguem ambas a especificação gitignore. Padrões são resolvidos relativos ao diretório contendo .claude/settings.json. Para referenciar um caminho absoluto, use //. Para um caminho relativo ao seu diretório home, use ~/.
Edit(docs/**)Corresponde a edições de arquivos no diretóriodocsdo seu projetoRead(~/.zshrc)Corresponde a leituras do seu arquivo~/.zshrcEdit(//tmp/scratch.txt)Corresponde a edições de/tmp/scratch.txt
WebFetch
WebFetch(domain:example.com)Corresponde a solicitações de busca para example.com
MCP
mcp__puppeteerCorresponde a qualquer ferramenta fornecida pelo servidorpuppeteer(nome configurado no Claude Code)mcp__puppeteer__puppeteer_navigateCorresponde à ferramentapuppeteer_navigatefornecida pelo servidorpuppeteer
Configurações de política gerenciada empresarial
Para implantações empresariais do Claude Code, oferecemos suporte a configurações de política gerenciada empresarial que têm precedência sobre configurações de usuário e projeto. Isso permite que administradores de sistema imponham políticas de segurança que os usuários não podem sobrescrever.
Administradores de sistema podem implantar políticas para:
- macOS:
/Library/Application Support/ClaudeCode/policies.json - Linux e Windows (via WSL):
/etc/claude-code/policies.json
Esses arquivos de política seguem o mesmo formato que arquivos de configurações regulares, mas não podem ser sobrescritos por configurações de usuário ou projeto. Isso garante políticas de segurança consistentes em toda sua organização.
Precedência de configurações
Quando múltiplas fontes de configurações existem, elas são aplicadas na seguinte ordem (maior para menor precedência):
- Políticas empresariais
- Argumentos de linha de comando
- Configurações de projeto local (
.claude/settings.local.json) - Configurações de projeto compartilhado (
.claude/settings.json) - Configurações de usuário (
~/.claude/settings.json)
Esta hierarquia garante que políticas organizacionais sejam sempre aplicadas enquanto ainda permite flexibilidade nos níveis de projeto e usuário onde apropriado.
Gerenciamento de credenciais
O Claude Code suporta autenticação via credenciais do Claude.ai, credenciais da API da Anthropic, Bedrock Auth e Vertex Auth. No macOS, as chaves de API, tokens OAuth e outras credenciais são armazenadas no Keychain criptografado do macOS. Alternativamente, a configuração apiKeyHelper pode ser definida para um script de shell que retorna uma chave de API. Por padrão, este helper é chamado após 5 minutos ou em resposta HTTP 401; especificar a variável de ambiente CLAUDE_CODE_API_KEY_HELPER_TTL_MS define um intervalo de atualização personalizado.