Wer Claude Code in einem großen Team ausrollt, kennt das Problem: Jeder neue Entwickler braucht ein Cloud-Credential, jedes Laptop die richtigen Settings, und die Finanzabteilung will trotzdem sehen, wer wie viel ausgibt. Genau da setzt Anthropics neues Claude apps gateway an — vorgestellt diese Woche für Amazon Bedrock und Google Cloud.
Ein Container für alles
Das Gateway ist ein einzelner, zustandsloser Container, den du auf deiner eigenen Infrastruktur betreibst — mit einer PostgreSQL-Datenbank im Rücken. Es sitzt zwischen den Entwicklern und der Modell-Infrastruktur und kümmert sich um fünf Dinge:
Identität: Das Gateway spielt OpenID-Connect-Relying-Party und arbeitet mit Google Workspace, Microsoft Entra ID, Okta oder jedem standardkonformen OIDC-Provider. Statt langlebiger Secrets auf Entwickler-Rechnern gibt es kurzlebige Sessions. Onboarding heißt: Person zum Identity-Provider hinzufügen. Offboarding: wieder entfernen. Keine verwaisten API-Keys mehr.
Policy: Admins definieren Managed Settings einmal auf dem Server. Clients holen sie sich beim Login, das Gateway erzwingt sie bei jedem Request. Erlaubte Modelle und Defaults lassen sich zentral steuern.
Telemetrie: Jeder Request bekommt eine Usage-Metrik, die das Gateway per OTLP an einen Collector schickt, den du selbst betreibst — auf deiner Infrastruktur, mit deiner Aufbewahrungsfrist.
Routing: Das Gateway hält das Upstream-Credential und leitet Inferenz an die Claude API, Amazon Bedrock oder Google Cloud — mit optionalem Failover zwischen den Providern.
Spend-Caps: Tägliche, wöchentliche und monatliche Limits, wahlweise pro Organisation, Gruppe oder einzelnem Nutzer.
Daten bleiben, wo sie sind
Wichtig für datensensible Teams: Das Gateway schickt keinen Inferenz-Traffic und keine Usage-Daten an Anthropic — es sei denn, du konfigurierst es explizit für die Claude API. Bei Bedrock- oder Google-Cloud-Deployments bleiben die Daten bei dir. Anthropic veröffentlicht außerdem das Protokoll, sodass andere kompatible Gateways bauen können.
Gebaut ist das Ganze direkt in das Claude-Binary, das deine Entwickler ohnehin installiert haben. Der /login-Flow ist Gateway-aware, Settings greifen automatisch beim Sign-in. Verfügbar ist es ab sofort.
Meine Einordnung
Das Spannende ist nicht ein einzelnes Feature, sondern die Konsolidierung. Identität, Policy, Telemetrie, Routing und Kostenkontrolle brauchten bisher fünf verschiedene Tools und Dashboards. Das alles in einen Container zu falten, den man selbst kontrolliert, reduziert die operative Angriffsfläche spürbar.
Interessanter Nebeneffekt: Anthropic beansprucht damit die Zugriffs- und Kostenebene, die bisher Drittanbieter-Gateways und Eigenbau-Tools hielten. Wie ein Analyst treffend anmerkte — es macht ein Coding-Tool im großen Maßstab beherrschbar, löst aber noch nicht die eigentliche Kontrollfrage: Was dürfen die Agenten tun? Das bleibt die spannende Baustelle.
Quellen: Anthropic: Introducing the Claude apps gateway · DevOps.com: Anthropic Adds Enterprise Gateway