Zweck Dieser Leitfaden unterstützt Administratoren für Plattform- und Developer Experience in Unternehmen dabei, Windsurf für Organisationen mit großen Enterprise-Teams zu planen, auszurollen und zu betreiben. Er ist bewusst meinungsstark und verweist zu jedem Thema auf ausführliche „How-to“-Dokumente. Verwenden Sie ihn sowohl als Durchleseleitfaden als auch als Checkliste beim Onboarding.

---

---

1. Organisationweite Einstellungen bestätigen
2. SSO (Single Sign-On) einrichten (Okta, Azure AD, Google; siehe SAML-Dokumentation für weitere)
3. SCIM (System für domänenübergreifendes Identitätsmanagement) aktivieren und IdP-Gruppen → Windsurf Teams zuordnen
4. Rollen- und Berechtigungsmodell definieren (Least Privilege)
5. Admin-Portal konfigurieren: Teamansicht & Sicherheitskontrollen
6. Windsurf-Clients/Erweiterungen an Endbenutzer verteilen
7. Analytics-Dashboards und API-Zugriffstoken anzeigen

Verwenden Sie diese Liste als Ihren „Day 0“-Bereitstellungs-Tracker.

---

• Team – flache Gruppen von Mitgliedern; keine verschachtelten Teams. Teams (auch Groups genannt) steuern die Rollenvergabe und die Analytics-Gruppierung, sodass Sie Berechtigungen eingrenzen und Nutzungsmetriken pro Kohorte einsehen können.
• Rollen & Berechtigungen – vordefiniertes RBAC; Admins sind hauptsächlich verantwortlich für Teamverwaltung, Windsurf‑Funktions­einstellungen und Analytics. Integrierte Rollen decken diese Anforderungen in der Regel ab, aber das Erstellen einer benutzerdefinierten Rolle mit der Berechtigung analytics-view ermöglicht Team‑Managerinnen/-Managern und Leads, Metriken für ihre eigenen Teams zu sehen. (RBAC-Dokumentation)
• Admin-Portal – zentrale UI für Benutzer- und Teamverwaltung, Guthaben-/Credit-Nutzung, SSO-Konfiguration, Feature-Toggles (Web Search, MCP, Deploys), Analytics-Dashboards/Report-Export, Service-Schlüssel für die API-Nutzung sowie Rollen- und Berechtigungssteuerung.
• Agents & Workspaces – Windsurf IDE und JetBrains-Plugins sind agentisch

Das Admin-Portal ermöglicht die zentrale Verwaltung aller Enterprise-Funktionen von Windsurf über eine intuitive Weboberfläche. Zu den wichtigsten Funktionen gehören:

• Benutzer in Ihrer Organisation hinzufügen, entfernen und verwalten
• Teams konfigurieren und passende Rollen zuweisen
• Benutzerstatus und -aktivitäten überwachen

• SSO-Integration mit führenden Identitätsanbietern konfigurieren
• SCIM‑Bereitstellung für die automatisierte Verwaltung des Benutzerlebenszyklus einrichten
• Rollenbasierte Zugriffskontrollen (RBAC) verwalten
• Service-Schlüssel für API-Automatisierungen mit fein abgestuften Berechtigungen erstellen und verwalten

Wichtig: Diese Funktionssteuerungen betreffen das Verhalten Ihrer gesamten Organisation und können nur von Administratoren geändert werden. Neue wichtige Funktionen mit Auswirkungen auf den Datenschutz werden standardmäßig im Zustand „aus“ veröffentlicht, damit Sie kontrollieren können, wann und wie sie aktiviert werden.

Das Admin-Portal bietet Ihnen eine feingranulare Kontrolle über Windsurf-Funktionen, die pro Team aktiviert oder deaktiviert werden können. Datenschutzhinweis: Einige Funktionen erfordern die Speicherung zusätzlicher Daten oder Telemetriedaten, wie unten angegeben: Modelle-Konfiguration

• Konfigurieren Sie, auf welche AI-Modelle Ihre Teams in Windsurf zugreifen können
• Sie können nach Modell filtern (spezifische Modelle wie SWE-1.5, Claude Opus 4.6 usw. auswählen) oder nach Anbieter filtern (z. B. OpenAI, Anthropic, Google). Es kann jeweils nur ein Filtertyp gleichzeitig aktiv sein.
• Wählen Sie mehrere Modelle oder Anbieter für unterschiedliche Anwendungsfälle (Cascade, Command, Chat usw.)

Standard-AI-Modell überschreiben

• Legen Sie das Standard-Cascade-AI-Modell für Nutzer in Ihrem Team fest
• Dieses AI-Modell ist bei jedem Öffnen von Windsurf vorausgewählt (nicht nur beim ersten Mal)
• Nutzer können ihr AI-Modell jederzeit während einer Sitzung ändern
• Als Standardoptionen stehen nur AI-Modelle zur Verfügung, die in der Modelle-Konfiguration aktiviert sind

Automatisches Ausführen von Terminalbefehlen (Beta)

• Legen Sie die maximale Stufe für die automatische Ausführung von Terminalbefehlen in Ihrer gesamten Organisation fest
• Vier Stufen verfügbar: Disabled (keine automatische Ausführung), Allowlist Only (nur Befehle auf einer Allowlist), Auto (vom AI-Modell als sicher eingestufte Befehle) und Turbo (alle Befehle außer solchen auf einer Denylist)
• Nutzer können jede Stufe bis zu dem von Ihnen festgelegten Maximum auswählen und erhalten so Flexibilität innerhalb Ihrer Sicherheitsrichtlinien
• Mehr über automatisch ausgeführte Befehle erfahren

Listen für Terminalbefehle (Beta)

• Konfigurieren Sie eine teamweite Allowlist und Denylist für Terminalbefehle, die für alle Teammitglieder gelten
• Allowlist: Befehle in dieser Liste werden ohne Benutzerbestätigung automatisch ausgeführt (wenn die automatische Ausführung aktiviert ist)
• Denylist: Befehle in dieser Liste erfordern vor der Ausführung immer eine Benutzerbestätigung
• Priorität: Die Denylist hat Vorrang vor der Allowlist – wenn ein Befehl in beiden Listen enthalten ist, ist eine Bestätigung erforderlich
• Zugriff über Admin-Portal → Team Settings → Terminal Commands → Manage Lists
• Diese Team-Listen werden mit den individuellen Allow-/Deny-Listen der Nutzer zusammengeführt, die in den Windsurf-Einstellungen konfiguriert sind

MCP-Server (Beta)

• Ermöglichen Sie Nutzern, Model Context Protocol (MCP)-Server zu konfigurieren und zu verwenden
• Pflegen Sie eine Allowlist genehmigter MCP-Server für freigegebene Integrationen
• Sicherheitshinweis: Prüfen Sie betriebliche und sicherheitsrelevante Auswirkungen, bevor Sie aktivieren, da MCP Infrastrukturressourcen außerhalb der Sicherheitsüberwachung von Windsurf erstellen kann
• Mehr über Model Context Protocol (MCP) erfahren
• MCP-Admin-Steuerungen für Teams & Enterprise

App Deploys (Beta)

• Verwalten Sie Berechtigungen für Deployments Ihrer Teams in Cascade
• Mehr über App Deploys erfahren

Freigabe von Unterhaltungen

• Erlauben Sie Teammitgliedern, Cascade-Unterhaltungen mit anderen zu teilen
• Unterhaltungen werden sicher auf Windsurf-Servern hochgeladen
• Teilbare Links sind nur für eingeloggte Teammitglieder zugänglich
• Mehr über das Teilen von Unterhaltungen erfahren

PR-Reviews (GitHub-Integration)

• Installieren Sie Windsurf in der GitHub-Organisation Ihres Teams
• Aktivieren Sie PR-Review-Automatisierung und das Bearbeiten von Beschreibungen
• Mehr über Windsurf PR Reviews erfahren
• Wir empfehlen Devin Review als unsere neue, verbesserte Lösung für Code-Reviews. Mehr erfahren.

Knowledge-Base-Verwaltung

• Kuratieren Sie Wissen aus Google-Drive-Quellen für Ihre Entwicklungsteams
• Laden Sie interne Dokumentation und Ressourcen hoch und organisieren Sie diese
• Mehr über die Knowledge Base erfahren

---

Empfehlung: Verwenden Sie nach Möglichkeit SSO plus SCIM für die automatisierte Bereitstellung, das Entfernen von Berechtigungen und die Gruppenverwaltung.

Siehe den Leitfaden zur Einrichtung von SSO & SCIM für eine Schritt-für-Schritt-Konfiguration für Okta, Azure AD, Google und generisches SAML.

• Warum – automatisierte Verwaltung des Benutzerlebenszyklus und der Teammitgliedschaften in großem Maßstab
• Funktionen
  • Benutzer automatisch erstellen/deaktivieren
  • Teams automatisch erstellen (oder manuell verwalten)
  • Benutzer können mehreren Teams angehören
  • Benutzerdefinierte Team-Erstellung über die SCIM-API (Docs)
• Mapping-Strategien
  • 1 IdP-Gruppe → 1 Windsurf-Team (einfach, am häufigsten)
  • Funktionale vs. projektbasierte Gruppenpräfixe (z. B. proj-foo-devs)
• Entscheidungspunkte
  • Welche Gruppen ausgeschlossen werden sollen (z. B. Praktikant:innen, Auftragnehmer:innen)
  • Regeln für Umbenennungen, wenn sich IdP-Gruppennamen ändern
• Achtung: SCIM sollte Ihre Single Source of Truth bleiben — das Mischen von SCIM und manuellen/API-Updates kann zu Abweichungen führen. Verwenden Sie die API hauptsächlich zum Hinzufügen ergänzender Gruppen.

---

• Flaches Team → Team-Taxonomie sorgfältig gestalten (kein Verschachteln als Rückfalloption)
• Benutzer können mehreren Gruppen angehören. Gruppen werden zur Anzeige von Analytics verwendet
• Derzeit unterstützt SCIM (System für domänenübergreifendes Identitätsmanagement) keine Rollenzuweisung an Benutzer. SCIM unterstützt nur die Zuordnung von Benutzern zu Gruppen

---

Analytics zeigt den Prozentsatz des von Windsurf geschriebenen Codes und hilft, den Einfluss zu quantifizieren — sehen Sie Ihre Dashboards unter Team-Analytics.

• Generieren Sie Service-Schlüssel unter Team-Einstellungen → Service-Schlüssel. Beschränken Sie die Schlüssel auf das notwendige Minimum (Least Privilege).
• Für erweiterte Auswertungen siehe die Analytics-API-Referenz.
• Für die Teamverwaltung siehe die SCIM-API – Custom Teams.

---

• Statusseiten – Live-Service-Status überwachen: Windsurf, Anthropic, OpenAI
• Supportkanäle – windsurf.com/support

---

1. Verweisen Sie Endbenutzer auf die Windsurf‑Installationsanleitung, um die passende Erweiterung oder den Desktop‑Client zu installieren.
2. Veröffentlichen Sie eine interne Seite „Erste Schritte mit Windsurf“ (Link zu den offiziellen Docs)
3. Führen Sie Live‑Onboarding‑Sessions durch bzw. zeichnen Sie kurze Demos auf
4. Stellen Sie Startprojekt‑Vorlagen und Beispiel‑Prompts bereit
5. Sammeln Sie nach 2 Wochen Feedback per Umfrage und iterieren Sie

---

• SSO- & SCIM-Einrichtungsleitfaden
• SCIM-API – Individuelle Teams
• Analytics-API-Referenz
• RBAC-Berechtigungen