Méthodes d’authentification
La configuration de Claude Code nécessite l’accès aux modèles Anthropic. Pour les équipes, vous pouvez configurer l’accès à Claude Code de l’une des trois façons suivantes :
- Claude API via la Console Claude
- Amazon Bedrock
- Google Vertex AI
Authentification Claude API
Pour configurer l’accès à Claude Code pour votre équipe via Claude API :
- Utilisez votre compte Console Claude existant ou créez un nouveau compte Console Claude
- Vous pouvez ajouter des utilisateurs via l’une des deux méthodes ci-dessous :
- Inviter en masse des utilisateurs depuis la Console (Console -> Paramètres -> Membres -> Inviter)
- Configurer SSO
- Lors de l’invitation d’utilisateurs, ils ont besoin de l’un des rôles suivants :
- Le rôle « Claude Code » signifie que les utilisateurs ne peuvent créer que des clés API Claude Code
- Le rôle « Développeur » signifie que les utilisateurs peuvent créer n’importe quel type de clé API
- Chaque utilisateur invité doit effectuer ces étapes :
Authentification du fournisseur cloud
Pour configurer l’accès à Claude Code pour votre équipe via Bedrock ou Vertex :
- Suivez la documentation Bedrock ou la documentation Vertex
- Distribuez les variables d’environnement et les instructions pour générer les identifiants cloud à vos utilisateurs. En savoir plus sur la façon de gérer la configuration ici.
- Les utilisateurs peuvent installer Claude Code
Contrôle d’accès et permissions
Nous supportons des permissions granulaires afin que vous puissiez spécifier exactement ce que l’agent est autorisé à faire (par exemple, exécuter des tests, exécuter un linter) et ce qu’il n’est pas autorisé à faire (par exemple, mettre à jour l’infrastructure cloud). Ces paramètres de permission peuvent être vérifiés dans le contrôle de version et distribués à tous les développeurs de votre organisation, ainsi que personnalisés par les développeurs individuels.
Système de permissions
Claude Code utilise un système de permissions hiérarchisé pour équilibrer la puissance et la sécurité :
| Type d’outil | Exemple | Approbation requise | Comportement « Oui, ne plus demander » |
|---|
| Lecture seule | Lectures de fichiers, LS, Grep | Non | S/O |
| Commandes Bash | Exécution shell | Oui | Permanent par répertoire de projet et commande |
| Modification de fichiers | Édition/écriture de fichiers | Oui | Jusqu’à la fin de la session |
Configuration des permissions
Vous pouvez afficher et gérer les permissions des outils de Claude Code avec /permissions. Cette interface répertorie toutes les règles de permission et le fichier settings.json dont elles proviennent.
- Les règles Allow permettront à Claude Code d’utiliser l’outil spécifié sans approbation manuelle supplémentaire.
- Les règles Ask demanderont à l’utilisateur une confirmation chaque fois que Claude Code essaie d’utiliser l’outil spécifié. Les règles Ask ont priorité sur les règles Allow.
- Les règles Deny empêcheront Claude Code d’utiliser l’outil spécifié. Les règles Deny ont priorité sur les règles Allow et Ask.
- Répertoires supplémentaires étendent l’accès aux fichiers de Claude au-delà du répertoire de travail initial.
- Mode par défaut contrôle le comportement des permissions de Claude lors de la rencontre de nouvelles demandes.
Les règles de permission utilisent le format : Tool ou Tool(optional-specifier)
Une règle qui est juste le nom de l’outil correspond à n’importe quel usage de cet outil. Par exemple, ajouter Bash à la liste des règles Allow permettrait à Claude Code d’utiliser l’outil Bash sans nécessiter l’approbation de l’utilisateur.
Modes de permission
Claude Code supporte plusieurs modes de permission qui peuvent être définis comme defaultMode dans les fichiers de paramètres :
| Mode | Description |
|---|
default | Comportement standard - demande une permission à la première utilisation de chaque outil |
acceptEdits | Accepte automatiquement les permissions d’édition de fichiers pour la session |
plan | Mode Plan - Claude peut analyser mais pas modifier les fichiers ou exécuter les commandes |
bypassPermissions | Ignore toutes les demandes de permission (nécessite un environnement sûr - voir l’avertissement ci-dessous) |
Répertoires de travail
Par défaut, Claude a accès aux fichiers du répertoire où il a été lancé. Vous pouvez étendre cet accès :
- Au démarrage : Utilisez l’argument CLI
--add-dir <path>
- Pendant la session : Utilisez la commande slash
/add-dir
- Configuration persistante : Ajoutez à
additionalDirectories dans les fichiers de paramètres
Les fichiers dans les répertoires supplémentaires suivent les mêmes règles de permission que le répertoire de travail d’origine - ils deviennent lisibles sans invites, et les permissions d’édition de fichiers suivent le mode de permission actuel.
Règles de permission spécifiques aux outils
Certains outils supportent des contrôles de permission plus granulaires :
Bash
Bash(npm run build) Correspond à la commande Bash exacte npm run buildBash(npm run test:*) Correspond aux commandes Bash commençant par npm run testBash(curl http://site.com/:*) Correspond aux commandes curl commençant exactement par curl http://site.com/
Claude Code est conscient des opérateurs shell (comme &&) donc une règle de correspondance de préfixe comme Bash(safe-cmd:*) ne lui donnera pas la permission d’exécuter la commande safe-cmd && other-cmd
Limitations importantes des modèles de permission Bash :
- Cet outil utilise des correspondances de préfixe, pas des modèles regex ou glob
- Le caractère générique
:* ne fonctionne qu’à la fin d’un modèle pour correspondre à n’importe quelle continuation
- Les modèles comme
Bash(curl http://github.com/:*) peuvent être contournés de plusieurs façons :
- Options avant l’URL :
curl -X GET http://github.com/... ne correspondra pas
- Protocole différent :
curl https://github.com/... ne correspondra pas
- Redirections :
curl -L http://bit.ly/xyz (redirige vers github)
- Variables :
URL=http://github.com && curl $URL ne correspondra pas
- Espaces supplémentaires :
curl http://github.com ne correspondra pas
Pour un filtrage d’URL plus fiable, considérez :
- Utiliser l’outil WebFetch avec la permission
WebFetch(domain:github.com)
- Instruire Claude Code sur vos modèles curl autorisés via CLAUDE.md
- Utiliser des hooks pour la validation de permission personnalisée
Edit s’appliquent à tous les outils intégrés qui éditent les fichiers. Claude fera un effort raisonnable pour appliquer les règles Read à tous les outils intégrés qui lisent les fichiers comme Grep, Glob et LS.
Les règles Read & Edit suivent toutes les deux la spécification gitignore avec quatre types de modèles distincts :
| Modèle | Signification | Exemple | Correspond |
|---|
//path | Chemin absolu à partir de la racine du système de fichiers | Read(//Users/alice/secrets/**) | /Users/alice/secrets/** |
~/path | Chemin à partir du répertoire home | Read(~/Documents/*.pdf) | /Users/alice/Documents/*.pdf |
/path | Chemin relatif au fichier de paramètres | Edit(/src/**/*.ts) | <chemin du fichier de paramètres>/src/**/*.ts |
path ou ./path | Chemin relatif au répertoire courant | Read(*.env) | <cwd>/*.env |
Un modèle comme /Users/alice/file n’est PAS un chemin absolu - il est relatif à votre fichier de paramètres ! Utilisez //Users/alice/file pour les chemins absolus.
Edit(/docs/**) - Édite dans <project>/docs/ (PAS /docs/ !)Read(~/.zshrc) - Lit le .zshrc de votre répertoire homeEdit(//tmp/scratch.txt) - Édite le chemin absolu /tmp/scratch.txtRead(src/**) - Lit depuis <répertoire-courant>/src/
WebFetch
WebFetch(domain:example.com) Correspond aux demandes de récupération vers example.com
MCP
mcp__puppeteer Correspond à n’importe quel outil fourni par le serveur puppeteer (nom configuré dans Claude Code)mcp__puppeteer__puppeteer_navigate Correspond à l’outil puppeteer_navigate fourni par le serveur puppeteer
Contrairement aux autres types de permission, les permissions MCP ne supportent PAS les caractères génériques (*).Pour approuver tous les outils d’un serveur MCP :
- ✅ Utilisez :
mcp__github (approuve TOUS les outils GitHub)
- ❌ N’utilisez pas :
mcp__github__* (les caractères génériques ne sont pas supportés)
Pour approuver uniquement des outils spécifiques, listez chacun :
- ✅ Utilisez :
mcp__github__get_issue
- ✅ Utilisez :
mcp__github__list_issues
Contrôle de permission supplémentaire avec les hooks
Les hooks Claude Code fournissent un moyen d’enregistrer des commandes shell personnalisées pour effectuer l’évaluation des permissions à l’exécution. Lorsque Claude Code effectue un appel d’outil, les hooks PreToolUse s’exécutent avant le système de permissions, et la sortie du hook peut déterminer s’il faut approuver ou refuser l’appel d’outil à la place du système de permissions.
Paramètres de politique gérée par l’entreprise
Pour les déploiements d’entreprise de Claude Code, nous supportons les paramètres de politique gérée par l’entreprise qui ont priorité sur les paramètres utilisateur et projet. Cela permet aux administrateurs système d’appliquer des politiques de sécurité que les utilisateurs ne peuvent pas contourner.
Les administrateurs système peuvent déployer des politiques vers :
- macOS :
/Library/Application Support/ClaudeCode/managed-settings.json
- Linux et WSL :
/etc/claude-code/managed-settings.json
- Windows :
C:\ProgramData\ClaudeCode\managed-settings.json
Ces fichiers de politique suivent le même format que les fichiers de paramètres réguliers mais ne peuvent pas être remplacés par les paramètres utilisateur ou projet. Cela garantit des politiques de sécurité cohérentes dans toute votre organisation.
Précédence des paramètres
Lorsque plusieurs sources de paramètres existent, elles sont appliquées dans l’ordre suivant (du plus élevé au plus bas priorité) :
- Politiques d’entreprise
- Arguments de ligne de commande
- Paramètres de projet local (
.claude/settings.local.json)
- Paramètres de projet partagés (
.claude/settings.json)
- Paramètres utilisateur (
~/.claude/settings.json)
Cette hiérarchie garantit que les politiques organisationnelles sont toujours appliquées tout en permettant la flexibilité au niveau du projet et de l’utilisateur si approprié.
Gestion des identifiants
Claude Code gère de manière sécurisée vos identifiants d’authentification :
- Emplacement de stockage : Sur macOS, les clés API, les jetons OAuth et autres identifiants sont stockés dans le Keychain macOS chiffré.
- Types d’authentification supportés : Identifiants Claude.ai, identifiants Claude API, Bedrock Auth et Vertex Auth.
- Scripts d’identifiants personnalisés : Le paramètre
apiKeyHelper peut être configuré pour exécuter un script shell qui retourne une clé API.
- Intervalles d’actualisation : Par défaut,
apiKeyHelper est appelé après 5 minutes ou en réponse HTTP 401. Définissez la variable d’environnement CLAUDE_CODE_API_KEY_HELPER_TTL_MS pour les intervalles d’actualisation personnalisés.
