Metodi di autenticazione
La configurazione di Claude Code richiede l’accesso ai modelli Anthropic. Per i team, puoi configurare l’accesso a Claude Code in uno di tre modi:- Claude API tramite la Claude Console
- Amazon Bedrock
- Google Vertex AI
Autenticazione Claude API
Per configurare l’accesso a Claude Code per il tuo team tramite Claude API:- Utilizza il tuo account Claude Console esistente o crea un nuovo account Claude Console
- Puoi aggiungere utenti tramite uno dei metodi seguenti:
- Invita utenti in massa dalla Console (Console -> Settings -> Members -> Invite)
- Configura SSO
- Quando inviti gli utenti, hanno bisogno di uno dei seguenti ruoli:
- Il ruolo “Claude Code” significa che gli utenti possono solo creare chiavi API Claude Code
- Il ruolo “Developer” significa che gli utenti possono creare qualsiasi tipo di chiave API
- Ogni utente invitato deve completare questi passaggi:
- Accettare l’invito della Console
- Controllare i requisiti di sistema
- Installare Claude Code
- Accedere con le credenziali dell’account Console
Autenticazione del provider cloud
Per configurare l’accesso a Claude Code per il tuo team tramite Bedrock o Vertex:- Segui la documentazione Bedrock o la documentazione Vertex
- Distribuisci le variabili di ambiente e le istruzioni per generare credenziali cloud ai tuoi utenti. Leggi di più su come gestire la configurazione qui.
- Gli utenti possono installare Claude Code
Controllo dell’accesso e autorizzazioni
Supportiamo autorizzazioni granulari in modo che tu possa specificare esattamente cosa l’agente è autorizzato a fare (ad es. eseguire test, eseguire linter) e cosa non è autorizzato a fare (ad es. aggiornare l’infrastruttura cloud). Queste impostazioni di autorizzazione possono essere archiviate nel controllo della versione e distribuite a tutti gli sviluppatori della tua organizzazione, nonché personalizzate dai singoli sviluppatori.Sistema di autorizzazione
Claude Code utilizza un sistema di autorizzazione a livelli per bilanciare potenza e sicurezza:| Tipo di strumento | Esempio | Approvazione richiesta | Comportamento “Sì, non chiedere di nuovo” |
|---|---|---|---|
| Sola lettura | Letture di file, LS, Grep | No | N/A |
| Comandi Bash | Esecuzione shell | Sì | Permanentemente per directory di progetto e comando |
| Modifica di file | Modifica/scrittura di file | Sì | Fino alla fine della sessione |
Configurazione delle autorizzazioni
Puoi visualizzare e gestire le autorizzazioni degli strumenti di Claude Code con/permissions. Questa interfaccia utente elenca tutte le regole di autorizzazione e il file settings.json da cui provengono.
- Le regole Allow consentiranno a Claude Code di utilizzare lo strumento specificato senza ulteriore approvazione manuale.
- Le regole Ask chiederanno all’utente una conferma ogni volta che Claude Code tenta di utilizzare lo strumento specificato. Le regole Ask hanno la precedenza sulle regole Allow.
- Le regole Deny impediranno a Claude Code di utilizzare lo strumento specificato. Le regole Deny hanno la precedenza sulle regole Allow e Ask.
- Directory aggiuntive estendono l’accesso ai file di Claude a directory oltre la directory di lavoro iniziale.
- Modalità predefinita controlla il comportamento di autorizzazione di Claude quando incontra nuove richieste.
Tool o Tool(optional-specifier)
Una regola che è solo il nome dello strumento corrisponde a qualsiasi utilizzo di quello strumento. Ad esempio, aggiungere Bash all’elenco delle regole Allow consentirebbe a Claude Code di utilizzare lo strumento Bash senza richiedere l’approvazione dell’utente.
Modalità di autorizzazione
Claude Code supporta diverse modalità di autorizzazione che possono essere impostate comedefaultMode nei file di impostazioni:
| Modalità | Descrizione |
|---|---|
default | Comportamento standard - richiede l’autorizzazione al primo utilizzo di ogni strumento |
acceptEdits | Accetta automaticamente le autorizzazioni di modifica dei file per la sessione |
plan | Modalità Piano - Claude può analizzare ma non modificare file o eseguire comandi |
bypassPermissions | Salta tutti i prompt di autorizzazione (richiede ambiente sicuro - vedi avvertenza di seguito) |
Directory di lavoro
Per impostazione predefinita, Claude ha accesso ai file nella directory in cui è stato avviato. Puoi estendere questo accesso:- Durante l’avvio: Utilizza l’argomento CLI
--add-dir <path> - Durante la sessione: Utilizza il comando slash
/add-dir - Configurazione persistente: Aggiungi a
additionalDirectoriesnei file di impostazioni
Regole di autorizzazione specifiche dello strumento
Alcuni strumenti supportano controlli di autorizzazione più granulari: BashBash(npm run build)Corrisponde al comando Bash esattonpm run buildBash(npm run test:*)Corrisponde ai comandi Bash che iniziano connpm run testBash(curl http://site.com/:*)Corrisponde ai comandi curl che iniziano esattamente concurl http://site.com/
Claude Code è consapevole degli operatori shell (come
&&) quindi una regola di corrispondenza del prefisso come Bash(safe-cmd:*) non gli darà il permesso di eseguire il comando safe-cmd && other-cmdLimitazioni importanti dei modelli di autorizzazione Bash:
- Questo strumento utilizza corrispondenze di prefisso, non modelli regex o glob
- Il carattere jolly
:*funziona solo alla fine di un modello per corrispondere a qualsiasi continuazione - Modelli come
Bash(curl http://github.com/:*)possono essere bypassati in molti modi:- Opzioni prima dell’URL:
curl -X GET http://github.com/...non corrisponderà - Protocollo diverso:
curl https://github.com/...non corrisponderà - Reindirizzamenti:
curl -L http://bit.ly/xyz(reindirizza a github) - Variabili:
URL=http://github.com && curl $URLnon corrisponderà - Spazi extra:
curl http://github.comnon corrisponderà
- Opzioni prima dell’URL:
- Utilizzare lo strumento WebFetch con l’autorizzazione
WebFetch(domain:github.com) - Istruire Claude Code sui tuoi modelli curl consentiti tramite CLAUDE.md
- Utilizzare hook per la convalida delle autorizzazioni personalizzate
Edit si applicano a tutti gli strumenti integrati che modificano i file. Claude farà un tentativo migliore per applicare le regole Read a tutti gli strumenti integrati che leggono file come Grep, Glob e LS.
Le regole Read & Edit seguono entrambe la specifica gitignore con quattro tipi di modello distinti:
| Modello | Significato | Esempio | Corrisponde |
|---|---|---|---|
//path | Percorso assoluto dalla radice del filesystem | Read(//Users/alice/secrets/**) | /Users/alice/secrets/** |
~/path | Percorso dalla directory home | Read(~/Documents/*.pdf) | /Users/alice/Documents/*.pdf |
/path | Percorso relativo al file di impostazioni | Edit(/src/**/*.ts) | <settings file path>/src/**/*.ts |
path o ./path | Percorso relativo alla directory corrente | Read(*.env) | <cwd>/*.env |
Un modello come
/Users/alice/file NON è un percorso assoluto - è relativo al tuo file di impostazioni! Utilizza //Users/alice/file per i percorsi assoluti.Edit(/docs/**)- Modifiche in<project>/docs/(NON/docs/!)Read(~/.zshrc)- Legge il.zshrcdella tua directory homeEdit(//tmp/scratch.txt)- Modifica il percorso assoluto/tmp/scratch.txtRead(src/**)- Legge da<current-directory>/src/
WebFetch(domain:example.com)Corrisponde alle richieste di fetch a example.com
mcp__puppeteerCorrisponde a qualsiasi strumento fornito dal serverpuppeteer(nome configurato in Claude Code)mcp__puppeteer__puppeteer_navigateCorrisponde allo strumentopuppeteer_navigatefornito dal serverpuppeteer
A differenza di altri tipi di autorizzazione, le autorizzazioni MCP NON supportano caratteri jolly (
*).Per approvare tutti gli strumenti da un server MCP:- ✅ Utilizza:
mcp__github(approva TUTTI gli strumenti GitHub) - ❌ Non utilizzare:
mcp__github__*(i caratteri jolly non sono supportati)
- ✅ Utilizza:
mcp__github__get_issue - ✅ Utilizza:
mcp__github__list_issues
Controllo di autorizzazione aggiuntivo con hook
Gli hook di Claude Code forniscono un modo per registrare comandi shell personalizzati per eseguire la valutazione delle autorizzazioni in fase di esecuzione. Quando Claude Code effettua una chiamata a uno strumento, gli hook PreToolUse vengono eseguiti prima del sistema di autorizzazione e l’output dell’hook può determinare se approvare o negare la chiamata dello strumento al posto del sistema di autorizzazione.Impostazioni di policy gestite dall’azienda
Per le distribuzioni aziendali di Claude Code, supportiamo impostazioni di policy gestite dall’azienda che hanno la precedenza sulle impostazioni dell’utente e del progetto. Ciò consente agli amministratori di sistema di applicare politiche di sicurezza che gli utenti non possono ignorare. Gli amministratori di sistema possono distribuire policy a:- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux e WSL:
/etc/claude-code/managed-settings.json - Windows:
C:\ProgramData\ClaudeCode\managed-settings.json
Precedenza delle impostazioni
Quando esistono più fonti di impostazioni, vengono applicate nel seguente ordine (dalla precedenza più alta a quella più bassa):- Policy aziendali
- Argomenti della riga di comando
- Impostazioni di progetto locale (
.claude/settings.local.json) - Impostazioni di progetto condivise (
.claude/settings.json) - Impostazioni utente (
~/.claude/settings.json)
Gestione delle credenziali
Claude Code gestisce in modo sicuro le tue credenziali di autenticazione:- Posizione di archiviazione: Su macOS, le chiavi API, i token OAuth e altre credenziali sono archiviati nel Keychain macOS crittografato.
- Tipi di autenticazione supportati: Credenziali Claude.ai, credenziali Claude API, Bedrock Auth e Vertex Auth.
- Script di credenziali personalizzati: L’impostazione
apiKeyHelperpuò essere configurata per eseguire uno script shell che restituisce una chiave API. - Intervalli di aggiornamento: Per impostazione predefinita,
apiKeyHelperviene chiamato dopo 5 minuti o in risposta HTTP 401. Imposta la variabile di ambienteCLAUDE_CODE_API_KEY_HELPER_TTL_MSper intervalli di aggiornamento personalizzati.