Integracja i bezpieczeństwo przedsiębiorstwa

Claude Code przekształca się z osobistego narzędzia produktywności w platformę rozwoju przedsiębiorstwa poprzez kompleksowe kontrole bezpieczeństwa, zarządzanie tożsamością i integrację infrastruktury. Ten przewodnik obejmuje wszystko, co potrzebne do bezpiecznego i efektywnego wdrożenia Claude Code w całej organizacji.

Metody uwierzytelniania

Claude Code obsługuje trzy główne ścieżki uwierzytelniania dla wdrożenia przedsiębiorstwa:

Konsola Anthropic

Bezpośredni dostęp do API z zarządzaniem zespołem i analityką użycia

Amazon Bedrock

Wdrożenie natywne AWS z integracją IAM i kontrolami VPC

Google Vertex AI

Wdrożenie GCP z federacją tożsamości i izolacją projektów

Konfiguracja dostępu zespołowego

Utwórz konto organizacyjne
- Przejdź do console.anthropic.com
- Skonfiguruj rozliczenia i limity użycia
- Skonfiguruj obszar roboczy zespołu
Dodaj członków zespołu
- Zaproszenie masowe przez Konsola → Ustawienia → Członkowie → Zaproś
- Lub skonfiguruj SSO (SAML/OIDC) dla automatycznego provisioning
- Przypisz odpowiednie role:
  - Claude Code Role: Może tylko tworzyć klucze API Claude Code
  - Developer Role: Pełne zarządzanie kluczami API
  - Admin Role: Zarządzanie zespołem i rozliczeniami

Skonfiguruj SSO (opcjonalne)

# Użytkownicy uwierzytelniają się za pomocą:
claude login
# Przeglądarka otwiera się dla uwierzytelniania SSO

Skonfiguruj środowisko AWS

export CLAUDE_CODE_USE_BEDROCK=1
export AWS_REGION=us-east-1

Skonfiguruj role IAM

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "bedrock:InvokeModel",
      "bedrock:InvokeModelWithResponseStream"
    ],
    "Resource": "arn:aws:bedrock:*:*:model/anthropic.*"
  }]
}

Uwierzytelnij użytkowników

# Używa standardowego łańcucha poświadczeń AWS
aws sso login --profile dev-team
claude

Skonfiguruj projekt GCP

export CLAUDE_CODE_USE_VERTEX=1
export CLOUD_ML_REGION=us-east5
export ANTHROPIC_VERTEX_PROJECT_ID=your-project-id

Skonfiguruj konta usług

gcloud iam service-accounts create claude-code \
  --display-name="Claude Code Service Account"

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:claude-code@PROJECT_ID.iam.gserviceaccount.com" \
  --role="roles/aiplatform.user"

Uwierzytelnij programistów

gcloud auth application-default login
claude

Konfiguracja proxy korporacyjnego

Wiele przedsiębiorstw kieruje ruch przez serwery proxy. Claude Code w pełni obsługuje standardowe proxy HTTP/HTTPS:

Podstawowa konfiguracja proxy

# HTTPS proxy (zalecane)
export HTTPS_PROXY=https://proxy.company.com:8080

# HTTP proxy fallback
export HTTP_PROXY=http://proxy.company.com:8080

# Uruchom Claude Code - dziedziczy ustawienia proxy
claude

Proxy z uwierzytelnianiem

Dla proxy wymagających uwierzytelniania:

# Uwierzytelnianie podstawowe
export HTTPS_PROXY=http://username:password@proxy.company.com:8080

# Bardziej bezpieczne - użyj zmiennych środowiskowych
export PROXY_USER=your-username
export PROXY_PASS=your-password
export HTTPS_PROXY=http://$PROXY_USER:$PROXY_PASS@proxy.company.com:8080

Konfiguracja certyfikatów SSL

Proxy korporacyjne często używają niestandardowych certyfikatów SSL:

# Wskaż na pakiet certyfikatów twojej firmy
export SSL_CERT_FILE=/path/to/company-ca-bundle.crt
export NODE_EXTRA_CA_CERTS=/path/to/company-ca-bundle.crt

# Zweryfikuj połączenie
claude test-connection

Wymagany dostęp sieciowy

Upewnij się, że te URL są na białej liście w regułach proxy/firewall:

URL	Cel	Wymagane
`api.anthropic.com`	Endpointy API Claude	✓
`statsig.anthropic.com`	Telemetria i flagi funkcji	✓
`sentry.io`	Raportowanie błędów	Opcjonalne
`github.com`	Integracja GitHub	Opcjonalne

Integracja bramy LLM

Dla scentralizowanej kontroli dostępu do modeli, integruj z usługami bramy LLM:

Brama z proxy

Połącz oba dla maksymalnej kontroli:

# Skonfiguruj proxy dla ruchu wychodzącego
export HTTPS_PROXY=https://proxy.company.com:8080

# Wskaż na wewnętrzną bramę LLM
export ANTHROPIC_BASE_URL=https://llm-gateway.internal.company.com

# Pomiń uwierzytelnianie dostawcy jeśli brama je obsługuje
export CLAUDE_CODE_SKIP_BEDROCK_AUTH=1

Brama wielodostawcowa

Kieruj różnych dostawców przez swoją bramę:

# Bedrock przez bramę
export ANTHROPIC_BEDROCK_BASE_URL=https://gateway.company.com/bedrock

# Vertex przez bramę
export ANTHROPIC_VERTEX_BASE_URL=https://gateway.company.com/vertex

# Bezpośrednie API Anthropic
export ANTHROPIC_BASE_URL=https://gateway.company.com/anthropic

Polityki zarządzane przez przedsiębiorstwo

Od połowy 2025 roku, Claude Code obsługuje Polityki zarządzane przez przedsiębiorstwo, pozwalając centralnym administratorom na egzekwowanie zasad obowiązujących w całej organizacji, których nie można nadpisać przez indywidualnych użytkowników:

Typy polityk

Polityki bezpieczeństwa

Kontroluj jakie narzędzia i polecenia Claude może wykonywać

Polityki sieciowe

Ogranicz zewnętrzny dostęp sieciowy i wywołania API

Polityki danych

Zarządzaj obsługą i przechowywaniem danych

Polityki zgodności

Automatycznie egzekwuj wymagania regulacyjne

Implementacja polityk przedsiębiorstwa

{
  "version": "1.0",
  "policies": {
    "security": {
      "allowedTools": ["Edit", "Write", "View", "Search"],
      "blockedTools": ["Bash", "RunCommand"],
      "requireApprovalFor": ["GitCommit", "GitPush"],
      "maxFileSize": 10485760,
      "blockedFilePatterns": ["*.key", "*.pem", ".env"]
    },
    "network": {
      "allowedDomains": [
        "api.anthropic.com",
        "github.com",
        "*.company.com"
      ],
      "blockAllOtherDomains": true,
      "requireProxyForExternal": true
    },
    "data": {
      "logAllOperations": true,
      "retentionDays": 90,
      "encryptLogs": true,
      "redactPatterns": ["password", "secret", "token"]
    },
    "compliance": {
      "requireCodeSigning": true,
      "enforceChangeManagement": true,
      "auditMode": "strict"
    }
  }
}

Tryby egzekwowania polityk

{
  "enforcementMode": "strict",
  "blockOnViolation": true,
  "alertAdmins": true,
  "logViolations": true
}

Wszystkie naruszenia polityk natychmiast blokują działanie i powiadamiają administratorów.

{
  "enforcementMode": "audit",
  "blockOnViolation": false,
  "alertAdmins": false,
  "logViolations": true
}

Loguj naruszenia bez blokowania - przydatne do testowania polityk przed egzekwowaniem.

{
  "enforcementMode": "permissive",
  "blockOnViolation": false,
  "alertAdmins": false,
  "logViolations": false,
  "showWarnings": true
}

Pokazuj ostrzeżenia użytkownikom ale nie blokuj ani nie loguj - dla stopniowego wdrażania polityk.

Kontrole bezpieczeństwa przedsiębiorstwa

Zarządzanie uprawnieniami

Twórz szczegółowe polityki uprawnień używając ustawień zarządzanych przez przedsiębiorstwo:

/Library/Application Support/ClaudeCode/managed-settings.json

/etc/claude-code/managed-settings.json

C:\ProgramData\ClaudeCode\managed-settings.json

Przykład polityki przedsiębiorstwa:

{
  "permissions": {
    "allow": [
      "Edit",
      "View",
      "Bash(git:*)",
      "Bash(npm:test)",
      "mcp__github__*"
    ],
    "deny": [
      "Bash(rm -rf)",
      "Bash(curl:*)",
      "Bash(*production*)",
      "Edit(/etc/*)",
      "Edit(*.env)"
    ]
  },
  "env": {
    "DISABLE_TELEMETRY": "1",
    "CLAUDE_CODE_ENABLE_AUDIT_LOGGING": "1"
  },
  "forceLoginMethod": "console",
  "maxTurns": 20,
  "model": "claude-4-sonnet"
}

Hierarchia ustawień

Ustawienia stosują się w kolejności pierwszeństwa:

Polityki przedsiębiorstwa (nie można nadpisać)
Argumenty linii poleceń
Ustawienia lokalne projektu (.claude/settings.local.json)
Udostępnione ustawienia projektu (.claude/settings.json)
Ustawienia użytkownika (~/.claude/settings.json)

To zapewnia, że polityki organizacyjne zawsze mają pierwszeństwo, jednocześnie pozwalając na elastyczność tam, gdzie to właściwe.

Standardy współpracy zespołowej

Udostępniona konfiguracja projektu

Twórz standardy dla całego zespołu w .claude/settings.json:

{
  "permissions": {
    "allow": [
      "Edit",
      "View",
      "Bash(npm run:*)",
      "Bash(yarn:*)",
      "Bash(pnpm:*)",
      "mcp__git__*"
    ]
  },
  "hooks": {
    "PreEdit": "npm run lint --fix",
    "PostEdit": "npm run format"
  },
  "includeCoAuthoredBy": true,
  "enableAllProjectMcpServers": false
}

Standardowy CLAUDE.md

Egzekwuj standardy kodowania przez udostępnioną pamięć:

# Standardy kodowania firmy

## Styl kodu
- Tryb ścisły TypeScript wymagany
- Konfiguracja ESLint: @company/eslint-config
- Ustawienia Prettier w .prettierrc
- Kolejność importów: zewnętrzne → wewnętrzne → względne

## Wymagania bezpieczeństwa
- Brak zakodowanych poświadczeń
- Użyj zmiennych środowiskowych dla konfiguracji
- Wszystkie endpointy API wymagają uwierzytelniania
- Walidacja wejścia dla wszystkich danych użytkownika

## Wzorce architektury
- Wzorzec repository dla dostępu do danych
- warstwa serwisowa dla logiki biznesowej
- Warstwa kontrolera dla obsługi HTTP
- Wstrzykiwanie zależności dla testowalności

## Przepływ pracy Git
- Gałęzie funkcji: feature/JIRA-123-opis
- PR wymaga 2 zatwierdzeń
- Wszystkie commity muszą być podpisane
- Squash merge do main

Zgodność i audyt

Włącz logowanie audytu

Skonfiguruj kompleksowe ślady audytu:

{
  "env": {
    "CLAUDE_CODE_ENABLE_AUDIT_LOGGING": "1",
    "AUDIT_LOG_PATH": "/var/log/claude-code/audit.log",
    "AUDIT_LOG_LEVEL": "verbose"
  },
  "hooks": {
    "PreToolUse": "echo \"[AUDIT] User: $USER, Tool: $TOOL, Time: $(date)\" >> /var/log/claude-audit.log"
  }
}

Monitorowanie użycia

Śledź użycie zespołu dla zarządzania kosztami:

# Eksportuj dane użycia (wymaga roli admin)
claude admin export-usage --format=csv --output=usage-report.csv

# Monitoruj użycie w czasie rzeczywistym
claude admin monitor --team=engineering

Zgodność z rezydencją danych

Dla specyficznych wymagań regionalnych:

Rezydencja UE
Rezydencja USA

# Użyj regionu Bedrock z siedzibą w UE
export CLAUDE_CODE_USE_BEDROCK=1
export AWS_REGION=eu-west-1

# Użyj regionu Vertex z siedzibą w USA
export CLAUDE_CODE_USE_VERTEX=1
export CLOUD_ML_REGION=us-central1

Integracja z narzędziami przedsiębiorstwa

Integracja JIRA

Skonfiguruj serwer MCP dla JIRA:

{
  "mcpServers": {
    "jira": {
      "type": "stdio",
      "command": "node",
      "args": ["/opt/mcp-servers/jira/index.js"],
      "env": {
        "JIRA_URL": "https://company.atlassian.net",
        "JIRA_EMAIL": "$JIRA_EMAIL",
        "JIRA_API_TOKEN": "$JIRA_API_TOKEN"
      }
    }
  }
}

Integracja GitLab

Dla self-hosted GitLab:

{
  "mcpServers": {
    "gitlab": {
      "type": "stdio",
      "command": "gitlab-mcp-server",
      "env": {
        "GITLAB_URL": "https://gitlab.company.com",
        "GITLAB_TOKEN": "$GITLAB_TOKEN"
      }
    }
  }
}

Automatyzacja wdrożenia

Skrypt masowego wdrożenia

Wdróż Claude Code w całej organizacji:

#!/bin/bash
# Zainstaluj Claude Code
npm install -g @anthropic-ai/claude-code

# Wdróż ustawienia przedsiębiorstwa
sudo mkdir -p "$(dirname "$MANAGED_SETTINGS_PATH")"
sudo cp managed-settings.json "$MANAGED_SETTINGS_PATH"

# Skonfiguruj środowisko
echo 'export HTTPS_PROXY=https://proxy.company.com:8080' >> /etc/profile.d/claude-code.sh
echo 'export NODE_EXTRA_CA_CERTS=/etc/ssl/company-ca-bundle.crt' >> /etc/profile.d/claude-code.sh

# Skonfiguruj logowanie
mkdir -p /var/log/claude-code
chmod 755 /var/log/claude-code

echo "Claude Code wdrożony pomyślnie"

Wdrożenie oparte na kontenerach

Dla spójnych środowisk:

FROM node:20-alpine

# Zainstaluj Claude Code
RUN npm install -g @anthropic-ai/claude-code

# Dodaj certyfikaty
COPY company-ca-bundle.crt /etc/ssl/certs/

# Skonfiguruj ustawienia przedsiębiorstwa
COPY managed-settings.json /etc/claude-code/

# Ustaw środowisko
ENV HTTPS_PROXY=https://proxy.company.com:8080
ENV NODE_EXTRA_CA_CERTS=/etc/ssl/certs/company-ca-bundle.crt
ENV CLAUDE_CODE_USE_BEDROCK=1

# Utwórz użytkownika non-root
RUN adduser -D claude-user
USER claude-user

ENTRYPOINT ["claude"]

Najlepsze praktyki bezpieczeństwa

Zasada najmniejszych uprawnień

Przyznawaj minimalne uprawnienia wymagane do zadań. Liberalne używanie reguł deny.

Regularne audyty

Przeglądaj logi użycia i przyznane uprawnienia co miesiąc. Aktualizuj polityki w razie potrzeby.

Bezpieczne poświadczenia

Nigdy nie hardcoduj poświadczeń. Używaj zmiennych środowiskowych lub systemów zarządzania sekretami.

Izolacja sieciowa

Uruchamiaj Claude Code w izolowanych segmentach sieciowych podczas pracy z wrażliwym kodem.

Rozwiązywanie problemów przedsiębiorstwa

Błędy połączenia proxy

# Testuj łączność proxy
curl -x $HTTPS_PROXY https://api.anthropic.com/health

# Debuguj problemy SSL
openssl s_client -connect api.anthropic.com:443 \
  -proxy proxy.company.com:8080 \
  -CAfile /path/to/company-ca-bundle.crt

Problemy z uwierzytelnianiem

# Wyczyść poświadczenia z cache
claude logout

# Testuj uwierzytelnianie
claude test-auth

# Użyj szczegółowego logowania
CLAUDE_CODE_LOG_LEVEL=debug claude login

Błędy odmowy dostępu

Sprawdź czy polityka przedsiębiorstwa nie blokuje operacji
Zweryfikuj czy ustawienia projektu nie są w konflikcie
Przejrzyj logi audytu dla konkretnych powodów odmowy
Testuj z minimalnymi uprawnieniami najpierw

Następne kroki

Przepływy zespołowe

Implementuj wzorce współpracy deweloperskiej

Optymalizacja kosztów

Monitoruj i optymalizuj użycie tokenów w zespołach

Zaawansowane bezpieczeństwo

Implementuj wzorce architektury zero-trust