Saltar al contenido principal

Guía de administración de seguridad de FedRAMP

Esta guía describe cómo configurar, operar y dar de baja de forma segura las cuentas administrativas de nivel superior en Windsurf. Cubre las definiciones de roles administrativos, los procedimientos del ciclo de vida de las cuentas y todas las configuraciones de seguridad bajo control de los administradores, con sus funciones asociadas, impacto en la seguridad y valores recomendados.
Esta guía está escrita para la implementación FedRAMP de Windsurf que se ejecuta en AWS GovCloud. La implementación FedRAMP utiliza un portal Enterprise dedicado y autenticación basada en SSO (inicio de sesión único) (OIDC o SAML 2.0). Algunas funciones descritas en otras partes de la documentación de Windsurf para la oferta SaaS no están disponibles en el entorno FedRAMP.

Definiciones de roles administrativos

Windsurf utiliza un sistema de control de acceso basado en roles (RBAC) para gestionar los privilegios administrativos. Los roles se gestionan a través del Admin Portal, en la sección de configuración Role Management, y se pueden asignar a usuarios individuales.

Roles predefinidos

Windsurf proporciona dos roles predefinidos que no se pueden eliminar.
RolDescripciónPermisos predeterminados
AdminAcceso administrativo completo a la configuración de la organización, la gestión de usuarios, Analytics y los controles de seguridad. Este es el nivel más alto de privilegios que un usuario puede tener dentro de un equipo.Todos los permisos habilitados
UserAcceso estándar de usuario final sin permisos administrativos. Los usuarios pueden acceder a las funciones de codificación de Windsurf, pero no pueden ver ni modificar la configuración de la organización.Sin permisos administrativos

Roles personalizados

Los administradores pueden crear roles personalizados para implementar el principio de mínimo privilegio. Los roles personalizados se componen de permisos granulares seleccionados de las categorías siguientes. Para crear un rol personalizado, dirígete al Admin Portal y abre la sección Role Management en Settings.

Referencia de permisos

La siguiente tabla enumera todos los permisos disponibles para la asignación de roles en la implementación FedRAMP. Cada permiso controla el acceso a una función administrativa específica.
CategoríaPermisoDescripción
TeamsTeams Read-OnlyAcceso de solo lectura a la página de gestión de equipos
TeamsTeams UpdateCapacidad para actualizar los roles de usuario en la página de equipos
TeamsTeams DeleteCapacidad para eliminar usuarios de la página de equipos
AnalyticsAnalytics ReadAcceso de lectura a la página de Analytics y a los paneles
AttributionAttribution ReadAcceso de lectura a la página de atribución
LicenseLicense ReadAcceso de lectura a la página de licencias
SSOSSO ReadAcceso de lectura a la página de configuración de SSO (inicio de sesión único)
SSOSSO WriteCapacidad para configurar y modificar los ajustes del proveedor de SSO (inicio de sesión único)
Service KeyService Key ReadAcceso de lectura a la página de claves de servicio
Service KeyService Key CreateCapacidad para crear nuevas claves de servicio para acceso a la API
Service KeyService Key UpdateCapacidad para modificar las claves de servicio existentes
Service KeyService Key DeleteCapacidad para revocar y eliminar claves de servicio
Role ManagementRole ReadAcceso de lectura a la pestaña de roles en la configuración
Role ManagementRole CreateCapacidad para crear nuevos roles
Role ManagementRole UpdateCapacidad para modificar las definiciones de roles existentes
Role ManagementRole DeleteCapacidad para eliminar roles
External ChatExternal Chat ManagementCapacidad para modificar las configuraciones de modelos de IA para el Chat externo
IndexingIndexing ReadAcceso de lectura a la página de configuración de indexación
IndexingIndexing CreateCapacidad para crear nuevos índices
IndexingIndexing UpdateCapacidad para actualizar repositorios indexados existentes
IndexingIndexing DeleteCapacidad para eliminar índices
IndexingIndexing ManagementCapacidad para realizar la gestión y depuración de la base de datos de índices
Fine-TuningFine-Tuning ReadAcceso de lectura a la página de ajuste fino
Fine-TuningFine-Tuning CreateCapacidad para crear trabajos de ajuste fino
Fine-TuningFine-Tuning UpdateCapacidad para actualizar trabajos de ajuste fino
Fine-TuningFine-Tuning DeleteCapacidad para eliminar trabajos de ajuste fino
Varios de estos permisos (como Attribution, License, SSO, Indexing, Fine-Tuning) existen en el sistema RBAC, pero sus páginas de portal correspondientes no están disponibles en la implementación multicliente de FedRAMP. Estos permisos se incluyen en la interfaz de gestión de roles por exhaustividad, pero no otorgan acceso a ninguna función activa en este entorno.

Procedimientos para el ciclo de vida de las cuentas de administrador

Esta sección describe el ciclo de vida completo de una cuenta de administrador de nivel superior, desde su creación inicial hasta su desactivación.

Configuración de cuentas

La incorporación basada en SSO (inicio de sesión único) es el método principal de aprovisionamiento en la implementación FedRAMP. La plataforma admite tanto OIDC como SAML 2.0 para la integración de inicio de sesión único (SSO). Los usuarios se autentican a través del proveedor de identidad configurado y, una vez que el usuario inicia sesión por primera vez y se crea su cuenta, un administrador asigna el rol correspondiente a través del Admin Portal. Ten en cuenta que la integración de SSO en el entorno FedRAMP requiere coordinación con el equipo FedRAMP de Windsurf y no puede configurarse en modo de autoservicio. Cada nueva cuenta de administrador debe configurarse según el principio de privilegio mínimo. Se recomiendan roles personalizados con solo los permisos necesarios para las responsabilidades del administrador, en lugar de asignar el rol de Admin completo, a menos que el usuario requiera acceso total al sistema.

Requisitos de autenticación y MFA

El despliegue FedRAMP usa exclusivamente inicio de sesión único (Single Sign-On), y admite los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. Todos los usuarios deben autenticarse a través del proveedor de identidad configurado. La autenticación multifactor (MFA) se aplica a través del proveedor de identidad de la organización. Windsurf hereda las políticas de MFA configuradas en el IdP conectado, lo que significa que todos los requisitos de nivel de seguridad de la autenticación (como exigir un segundo factor, autenticadores resistentes al phishing o políticas de acceso condicional) se gestionan a nivel del IdP. Las organizaciones deben configurar su IdP para requerir MFA para todos los usuarios que acceden a la aplicación Windsurf, en particular para las cuentas con roles administrativos.
Windsurf recomienda encarecidamente exigir MFA para todas las cuentas administrativas. Configure su proveedor de identidad para aplicar MFA como condición para acceder a la aplicación Windsurf.

Configuración de la cuenta

Una vez creada una cuenta administrativa, se deben completar los siguientes pasos de configuración. La asignación de roles determina el alcance del acceso administrativo de la cuenta. Asigne roles a través del Admin Portal, navegando a la pestaña Manage Team, ubicando al usuario, haciendo clic en Edit y seleccionando el rol apropiado en la lista desplegable. Los cambios surten efecto de inmediato. La gestión de claves de servicio es necesaria cuando el administrador necesita acceso a la API para automatización o Analytics. Las claves de servicio se crean en Settings con permisos de alcance definido que se ajustan al uso previsto de la clave. Cada clave de servicio debe tener un nombre descriptivo (por ejemplo, “Analytics Dashboard”) y se le debe asignar un rol con los permisos mínimos necesarios.

Operación de cuentas

Las prácticas operativas continuas para las cuentas administrativas incluyen lo siguiente. Se deben realizar revisiones periódicas de acceso para verificar que las cuentas administrativas aún requieran su nivel actual de acceso. Revise periódicamente la lista de usuarios con el rol Admin a través de la pestaña Manage Team y ajuste los roles a medida que cambian las responsabilidades. El monitoreo de actividad está disponible a través de los paneles de Analytics incorporados. Los administradores con el permiso Analytics Read pueden hacer un seguimiento de la actividad de los usuarios, las métricas de participación y el uso de funciones. La Analytics API proporciona acceso programático a estos datos para su integración con sistemas de monitoreo externos. Se debe realizar la rotación de la clave de servicio con una cadencia periódica. Para rotar una clave, cree una nueva clave de servicio con los mismos permisos, actualice el sistema consumidor para que use la nueva clave y luego elimine la clave anterior.

Desactivación de cuentas

Cuando un administrador ya no requiera acceso, la cuenta debe desactivarse de manera inmediata utilizando el siguiente procedimiento.
1

Revocar el rol administrativo

Navega al Admin Portal, abre la pestaña Manage Team, localiza al usuario, haz clic en Edit y cambia su rol de Admin a User (o a un rol personalizado sin permisos administrativos).
2

Revocar claves de servicio

Elimina cualquier clave de servicio que haya sido creada o utilizada exclusivamente por el administrador que se va. Navega a Settings, luego a Service Key y elimina las claves correspondientes.
3

Eliminar o desactivar la cuenta

Elimina al usuario a través de la pestaña Manage Team haciendo clic en Delete junto a su nombre. Esto desactivará la cuenta de Windsurf del usuario y liberará su asiento de licencia.
4

Revisar acceso residual

Verifica que la cuenta desactivada ya no aparezca en ningún rol administrativo comprobando la lista de usuarios de Manage Team filtrada por el rol Admin. Confirma que todas las claves de servicio asociadas con la cuenta hayan sido eliminadas.
Desactiva de inmediato las cuentas administrativas cuando un administrador cambie de rol o deje la organización. Retrasar esta desactivación genera una exposición de seguridad innecesaria.

Referencia de configuraciones de seguridad

La siguiente tabla documenta todas las configuraciones de seguridad controladas por administradores disponibles en el Admin Portal del despliegue FedRAMP. Cada entrada describe la función de la configuración, su impacto en la seguridad y la configuración recomendada para un despliegue con enfoque en la seguridad.
ConfiguraciónFunciónImpacto en la seguridadValor recomendado
Control de acceso basado en roles (RBAC)Controla qué acciones administrativas puede realizar cada usuario según su rol y permisos asignados. Se gestiona en la sección Role Management en Settings.Limita el radio de impacto de cuentas comprometidas al restringir los permisos únicamente a lo que cada usuario necesita. Asignar roles demasiado amplios incrementa el impacto potencial del compromiso de una sola cuenta.Configurar con el principio de mínimo privilegio. Crear roles personalizados con solo los permisos que cada administrador requiere. Reservar el rol integrado Admin para un número reducido de administradores.
Permisos de clave de servicioRestringe los tokens de acceso a la API a conjuntos específicos de permisos, controlando qué operaciones pueden realizar los sistemas automatizados. Se gestiona en la sección Service Key en Settings.Las claves de servicio con permisos excesivos pueden ser explotadas si se filtran, otorgando acceso no autorizado a la gestión de usuarios, Analytics u otras funciones.Delimitar a los permisos mínimos necesarios. Crear claves de servicio dedicadas para cada integración con solo los permisos que dicha integración necesita. Rotar las claves con regularidad.
Configuración del proveedor de SSO (inicio de sesión único)Configura el proveedor de identidad utilizado para toda la autenticación de usuarios, admitiendo los protocolos OIDC y SAML 2.0. La autenticación por correo electrónico y contraseña no está disponible. La configuración de SSO requiere coordinación con el equipo de Windsurf FedRAMP. Se gestiona en la sección SSO en Settings.Centraliza la autenticación a través del IdP de la organización, lo que permite aplicar MFA, acceso condicional y políticas de sesión. Una configuración incorrecta podría bloquear a todos los usuarios o permitir el acceso no autorizado.Configurar con el proveedor de identidad aprobado por tu organización (OIDC o SAML 2.0). Verificar la configuración probando el inicio de sesión con una cuenta que no sea de administrador antes de su despliegue generalizado.
Última actualización: 28 de enero de 2026