Méthodes d’authentification

La configuration de Claude Code nécessite un accès aux modèles Anthropic. Pour les équipes, vous pouvez configurer l’accès à Claude Code de trois manières :
  • API Claude via la Console Claude
  • Amazon Bedrock
  • Google Vertex AI

Authentification API Claude

Pour configurer l’accès à Claude Code pour votre équipe via l’API Claude :
  1. Utilisez votre compte Console Claude existant ou créez un nouveau compte Console Claude
  2. Vous pouvez ajouter des utilisateurs par l’une des méthodes ci-dessous :
    • Inviter des utilisateurs en masse depuis la Console (Console -> Paramètres -> Membres -> Inviter)
    • Configurer SSO
  3. Lors de l’invitation des utilisateurs, ils ont besoin de l’un des rôles suivants :
    • Le rôle “Claude Code” signifie que les utilisateurs ne peuvent créer que des clés API Claude Code
    • Le rôle “Développeur” signifie que les utilisateurs peuvent créer tout type de clé API
  4. Chaque utilisateur invité doit effectuer ces étapes :

Authentification du fournisseur cloud

Pour configurer l’accès à Claude Code pour votre équipe via Bedrock ou Vertex :
  1. Suivez la documentation Bedrock ou la documentation Vertex
  2. Distribuez les variables d’environnement et les instructions pour générer les identifiants cloud à vos utilisateurs. En savoir plus sur comment gérer la configuration ici.
  3. Les utilisateurs peuvent installer Claude Code

Contrôle d’accès et permissions

Nous prenons en charge les permissions granulaires afin que vous puissiez spécifier exactement ce que l’agent est autorisé à faire (par exemple, exécuter des tests, exécuter un linter) et ce qu’il n’est pas autorisé à faire (par exemple, mettre à jour l’infrastructure cloud). Ces paramètres de permission peuvent être versionnés dans le contrôle de version et distribués à tous les développeurs de votre organisation, ainsi que personnalisés par des développeurs individuels.

Système de permissions

Claude Code utilise un système de permissions à niveaux pour équilibrer puissance et sécurité :
Type d’outilExempleApprobation requiseComportement “Oui, ne plus demander”
Lecture seuleLectures de fichiers, LS, GrepNonN/A
Commandes BashExécution shellOuiDéfinitivement par répertoire de projet et commande
Modification de fichierÉditer/écrire des fichiersOuiJusqu’à la fin de la session

Configuration des permissions

Vous pouvez visualiser et gérer les permissions d’outils de Claude Code avec /permissions. Cette interface utilisateur liste toutes les règles de permission et le fichier settings.json d’où elles proviennent.
  • Les règles Autoriser permettront à Claude Code d’utiliser l’outil spécifié sans approbation manuelle supplémentaire.
  • Les règles Demander demanderont confirmation à l’utilisateur chaque fois que Claude Code essaie d’utiliser l’outil spécifié. Les règles Demander ont priorité sur les règles Autoriser.
  • Les règles Refuser empêcheront Claude Code d’utiliser l’outil spécifié. Les règles Refuser ont priorité sur les règles Autoriser et Demander.
  • Les répertoires supplémentaires étendent l’accès aux fichiers de Claude aux répertoires au-delà du répertoire de travail initial.
  • Le mode par défaut contrôle le comportement de permission de Claude lors de nouvelles demandes.
Les règles de permission utilisent le format : Outil ou Outil(spécificateur-optionnel) Une règle qui est juste le nom de l’outil correspond à toute utilisation de cet outil. Par exemple, ajouter Bash à la liste des règles d’autorisation permettrait à Claude Code d’utiliser l’outil Bash sans nécessiter l’approbation de l’utilisateur.

Modes de permission

Claude Code prend en charge plusieurs modes de permission qui peuvent être définis comme defaultMode dans les fichiers de paramètres :
ModeDescription
defaultComportement standard - demande permission lors de la première utilisation de chaque outil
acceptEditsAccepte automatiquement les permissions d’édition de fichiers pour la session
planMode Plan - Claude peut analyser mais pas modifier les fichiers ou exécuter des commandes
bypassPermissionsIgnore toutes les demandes de permission (nécessite un environnement sûr - voir l’avertissement ci-dessous)

Répertoires de travail

Par défaut, Claude a accès aux fichiers dans le répertoire où il a été lancé. Vous pouvez étendre cet accès :
  • Au démarrage : Utilisez l’argument CLI --add-dir <chemin>
  • Pendant la session : Utilisez la commande slash /add-dir
  • Configuration persistante : Ajoutez à additionalDirectories dans les fichiers de paramètres
Les fichiers dans les répertoires supplémentaires suivent les mêmes règles de permission que le répertoire de travail original - ils deviennent lisibles sans demandes, et les permissions d’édition de fichiers suivent le mode de permission actuel.

Règles de permission spécifiques aux outils

Certains outils prennent en charge des contrôles de permission plus granulaires : Bash
  • Bash(npm run build) Correspond à la commande Bash exacte npm run build
  • Bash(npm run test:*) Correspond aux commandes Bash commençant par npm run test
  • Bash(curl http://site.com/:*) Correspond aux commandes curl qui commencent exactement par curl http://site.com/
Claude Code est conscient des opérateurs shell (comme &&) donc une règle de correspondance de préfixe comme Bash(safe-cmd:*) ne lui donnera pas la permission d’exécuter la commande safe-cmd && other-cmd
Limitations importantes des motifs de permission Bash :
  1. Cet outil utilise des correspondances de préfixe, pas des motifs regex ou glob
  2. Le joker :* ne fonctionne qu’à la fin d’un motif pour correspondre à toute continuation
  3. Les motifs comme Bash(curl http://github.com/:*) peuvent être contournés de plusieurs façons :
    • Options avant l’URL : curl -X GET http://github.com/... ne correspondra pas
    • Protocole différent : curl https://github.com/... ne correspondra pas
    • Redirections : curl -L http://bit.ly/xyz (redirige vers github)
    • Variables : URL=http://github.com && curl $URL ne correspondra pas
    • Espaces supplémentaires : curl http://github.com ne correspondra pas
Pour un filtrage d’URL plus fiable, considérez :
  • Utiliser l’outil WebFetch avec la permission WebFetch(domain:github.com)
  • Instruire Claude Code sur vos motifs curl autorisés via CLAUDE.md
  • Utiliser des hooks pour une validation de permission personnalisée
Read & Edit Les règles Edit s’appliquent à tous les outils intégrés qui éditent des fichiers. Claude fera un effort de bonne foi pour appliquer les règles Read à tous les outils intégrés qui lisent des fichiers comme Grep, Glob et LS. Les règles Read & Edit suivent toutes deux la spécification gitignore avec quatre types de motifs distincts :
MotifSignificationExempleCorrespond à
//cheminChemin absolu depuis la racine du système de fichiersRead(//Users/alice/secrets/**)/Users/alice/secrets/**
~/cheminChemin depuis le répertoire homeRead(~/Documents/*.pdf)/Users/alice/Documents/*.pdf
/cheminChemin relatif au fichier de paramètresEdit(/src/**/*.ts)<chemin du fichier de paramètres>/src/**/*.ts
chemin ou ./cheminChemin relatif au répertoire courantRead(*.env)<cwd>/*.env
Un motif comme /Users/alice/file n’est PAS un chemin absolu - il est relatif à votre fichier de paramètres ! Utilisez //Users/alice/file pour les chemins absolus.
  • Edit(/docs/**) - Éditions dans <projet>/docs/ (PAS /docs/ !)
  • Read(~/.zshrc) - Lit le .zshrc de votre répertoire home
  • Edit(//tmp/scratch.txt) - Édite le chemin absolu /tmp/scratch.txt
  • Read(src/**) - Lit depuis <répertoire-courant>/src/
WebFetch
  • WebFetch(domain:example.com) Correspond aux demandes de récupération vers example.com
MCP
  • mcp__puppeteer Correspond à tout outil fourni par le serveur puppeteer (nom configuré dans Claude Code)
  • mcp__puppeteer__puppeteer_navigate Correspond à l’outil puppeteer_navigate fourni par le serveur puppeteer
Contrairement aux autres types de permissions, les permissions MCP ne prennent PAS en charge les jokers (*).Pour approuver tous les outils d’un serveur MCP :
  • ✅ Utilisez : mcp__github (approuve TOUS les outils GitHub)
  • ❌ N’utilisez pas : mcp__github__* (les jokers ne sont pas pris en charge)
Pour approuver uniquement des outils spécifiques, listez chacun d’eux :
  • ✅ Utilisez : mcp__github__get_issue
  • ✅ Utilisez : mcp__github__list_issues

Contrôle de permission supplémentaire avec les hooks

Les hooks Claude Code fournissent un moyen d’enregistrer des commandes shell personnalisées pour effectuer une évaluation de permission à l’exécution. Quand Claude Code fait un appel d’outil, les hooks PreToolUse s’exécutent avant que le système de permission ne s’exécute, et la sortie du hook peut déterminer s’il faut approuver ou refuser l’appel d’outil à la place du système de permission.

Paramètres de politique gérée d’entreprise

Pour les déploiements d’entreprise de Claude Code, nous prenons en charge les paramètres de politique gérée d’entreprise qui ont priorité sur les paramètres utilisateur et projet. Cela permet aux administrateurs système d’appliquer des politiques de sécurité que les utilisateurs ne peuvent pas outrepasser. Les administrateurs système peuvent déployer des politiques vers :
  • macOS : /Library/Application Support/ClaudeCode/managed-settings.json
  • Linux et WSL : /etc/claude-code/managed-settings.json
  • Windows : C:\ProgramData\ClaudeCode\managed-settings.json
Ces fichiers de politique suivent le même format que les fichiers de paramètres réguliers mais ne peuvent pas être outrepassés par les paramètres utilisateur ou projet. Cela assure des politiques de sécurité cohérentes dans votre organisation.

Précédence des paramètres

Quand plusieurs sources de paramètres existent, elles sont appliquées dans l’ordre suivant (de la plus haute à la plus basse précédence) :
  1. Politiques d’entreprise
  2. Arguments de ligne de commande
  3. Paramètres de projet locaux (.claude/settings.local.json)
  4. Paramètres de projet partagés (.claude/settings.json)
  5. Paramètres utilisateur (~/.claude/settings.json)
Cette hiérarchie assure que les politiques organisationnelles sont toujours appliquées tout en permettant encore de la flexibilité aux niveaux projet et utilisateur quand approprié.

Gestion des identifiants

Claude Code gère de manière sécurisée vos identifiants d’authentification :
  • Emplacement de stockage : Sur macOS, les clés API, jetons OAuth et autres identifiants sont stockés dans le Trousseau macOS chiffré.
  • Types d’authentification pris en charge : Identifiants Claude.ai, identifiants API Claude, Auth Bedrock et Auth Vertex.
  • Scripts d’identifiants personnalisés : Le paramètre apiKeyHelper peut être configuré pour exécuter un script shell qui retourne une clé API.
  • Intervalles de rafraîchissement : Par défaut, apiKeyHelper est appelé après 5 minutes ou sur une réponse HTTP 401. Définissez la variable d’environnement CLAUDE_CODE_API_KEY_HELPER_TTL_MS pour des intervalles de rafraîchissement personnalisés.