你在 Claude 里点 “Connect Google Drive” / “Connect Notion” / “Connect Salesforce”,弹出授权窗口,要么直接返回 “permission denied”,要么走完流程后 Claude 说”我连接成功了”但查任何内容都返回空——这说明你撞上了 Connector 三层权限锁中的至少一层:Anthropic Workspace 策略、OAuth scope、目标应用自己的管理员策略。
光自己点同意没用,三层都必须放行才能拿到数据。所以这类问题的解决方案 90% 是”找谁要什么”,而不是改自己的设置。
常见原因
按命中率从高到低:
1. Anthropic Workspace 管理员禁用了该 Connector
Team / Enterprise Plan 的 Workspace 管理员可以在管理后台禁用特定 Connector(比如出于合规理由禁掉 Salesforce),普通成员看不到该选项或点了就报”not enabled for this workspace”。
如何判断:在 Claude → Settings → Connectors 里如果某个 Connector 显示灰色或有”Contact admin to enable”提示,就是这种情况。
2. OAuth 授权时漏勾了 scope
授权页面会列出”读邮件”、“读日历”、“读云盘”等多个权限项,默认未必全勾。如果你勾了 Calendar 但漏了 Drive,Claude 之后查文件就会返回 0 结果而不是报错。
如何判断:去目标应用的”已授权第三方应用”页面(Google: myaccount.google.com/permissions;Notion: Settings → My Connections),看 Claude 的权限列表对不对。
3. 目标应用管理员(你公司的 Google Workspace / Notion 等)禁用了第三方 OAuth
Google Workspace、Microsoft 365、Notion Enterprise 都有”App access control”。管理员可以默认禁所有第三方 App,或维护白名单。你个人同意了也没用,OAuth flow 会在最后一步被服务端拒绝。
如何判断:错误信息里含 “blocked by your organization’s policy” 或 “admin has restricted access”。
4. Token 过期,自动刷新失败
OAuth refresh token 默认有效期不同:Google 6 个月不用就过期,Notion 永不过期但密码更改后失效。Claude 显示连接还在,但所有请求返回 401。
如何判断:在 Connector 设置里点”Disconnect”再”Connect”,如果重新授权后好了,就是 token 过期。
5. 账号是个人邮箱但目标资源在企业空间(或反过来)
你用 user@gmail.com 登 Claude,但要找的文档在 user@company.com 的企业 Drive 里——Claude 拿到的 token 只能访问个人账号下的内容,看不见企业空间。
如何判断:在 Google Drive 网页里切换账号,看目标文件在哪个账号下。
6. Region / 数据驻留策略限制
部分 Enterprise plan 启用了数据驻留(比如 EU-only),跨 region 的 connector 数据可能被拒。
如何判断:错误信息含 “data residency” / “region not allowed”,或只对部分文件失败。
最短修复路径
Step 1:先确认是哪一层在拒
去 Claude → Settings → Connectors,看目标 Connector 的状态:
| 显示 | 意味着 |
|---|---|
| 灰色 / “Contact admin” | Anthropic Workspace 层禁了 |
| 可连但点了报错 | OAuth scope 或目标应用策略层 |
| 已连接但查询为空 | scope 缺失或账号 / 资源不匹配 |
| 已连接但 “401 unauthorized” | token 过期,重新授权 |
定位错了就找错人,浪费几天。
Step 2:重走授权流程,把每个 scope 都勾上
Disconnect → Connect → 在弹出的授权页面仔细看每一项 checkbox,全勾。授权完成后:
Google: 访问 myaccount.google.com/permissions
→ 找到 "Claude" → 看权限列表对不对
Notion: Settings → My Connections → Claude
→ 看 workspace 和 page access 范围权限不全就回去重授一次。
Step 3:找对管理员发明确请求
如果定位到是 Workspace 或目标应用层,给管理员发模板邮件(不要只说”帮我开权限”):
Subject: Claude Connector approval request — [Notion / Drive / ...]
Hi [admin],
I need to connect Anthropic Claude to [target app] for [business reason].
Specifically, please enable:
- Connector class: [Google Drive / Notion / Salesforce]
- Required scopes: [read files / read pages / read account data]
- For user: [my email]
- Or scope to: [team / specific folder]
Compliance reference: Anthropic SOC 2 Type II, GDPR DPA available at
https://www.anthropic.com/legal
Test plan: I'll connect, run one read-only query, screenshot success,
then send confirmation.写清楚 scope 和理由,比反复扯皮快得多。
Step 4:账号匹配检查
确认 Claude 登录的账号、目标应用的账号、和要访问资源的账号是同一个。常见踩坑:用个人 Gmail 登 Claude,授权到企业 Workspace,最后查不到企业文件。
解法:
- 个人账号 + 个人资源 → 一致即可
- 工作账号 + 工作资源 → 一致即可
- 跨账号场景:用 Workspace 共享把资源分享到能访问的账号下Step 5:刷新 token
如果一切都对但突然失效:Disconnect → Connect → 重新授权。授权后第一次查询如果还失败,等 30 秒再试(token propagation)。
Step 6:让 Claude 输出原始错误,发支持工单
Claude 通常吞掉技术错误显示一句客气话。明确让它:“请把上次连接尝试的完整 error response 原文输出,包括 HTTP status 和 error code。” 拿到原始错误后去 support.anthropic.com 开工单。
预防建议
- 申请走书面记录(邮件 / 工单),管理员往往需要凭证才能批
- 先在 1 个文件 / 1 个 page 上跑通完整 flow 再扩到全部资源
- 个人项目用个人账号,工作项目用工作账号——别混用
- Workspace 管理员名单贴在内部 wiki,下次别人遇到同样问题不用现找人
- Google / Notion 每 3-6 个月在”已授权 App”页面巡检,过期 token 提前刷新