Salt la conținutul principal

Ghid de securitate FedRAMP pentru administratori

Acest ghid descrie cum să configurați, să utilizați și să scoateți din uz în siguranță conturile administrative de nivel superior în Windsurf. Acoperă definițiile rolurilor administrative, procedurile pentru gestionarea ciclului de viață al conturilor și toate setările de securitate controlate de administratori, împreună cu funcțiile lor asociate, impactul asupra securității și valorile recomandate.
Acest ghid este redactat pentru implementarea Windsurf FedRAMP, care rulează pe AWS GovCloud. Implementarea FedRAMP utilizează un portal enterprise dedicat și autentificare SSO (Single Sign-On), bazată pe OIDC sau SAML 2.0. Unele funcționalități descrise în alte părți ale documentației Windsurf pentru oferta SaaS nu sunt disponibile în mediul FedRAMP.

Definiții ale rolurilor administrative

Windsurf utilizează un sistem de control al accesului bazat pe roluri (RBAC) pentru a gestiona privilegiile administrative. Rolurile sunt administrate prin intermediul Admin Portal, în secțiunea de setări Role Management, și pot fi atribuite utilizatorilor individuali.

Roluri predefinite

Windsurf pune la dispoziție două roluri predefinite care nu pot fi șterse.
RolDescrierePermisiuni implicite
AdminAcces administrativ complet la setările organizației, gestionarea utilizatorilor, Analytics și controalele de securitate. Acesta este cel mai înalt nivel de privilegii pe care îl poate avea un utilizator într-o echipă.Toate permisiunile activate
UserAcces standard pentru utilizatorii finali, fără permisiuni administrative. Utilizatorii pot accesa funcționalitățile de scriere de cod ale Windsurf, dar nu pot vizualiza sau modifica setările organizației.Fără permisiuni administrative

Roluri personalizate

Administratorii pot crea roluri personalizate pentru a implementa principiul privilegiului minim. Rolurile personalizate sunt alcătuite din permisiuni detaliate, selectate din categoriile de mai jos. Pentru a crea un rol personalizat, navigați la Admin Portal și deschideți secțiunea Role Management din Settings.

Referință pentru permisiuni

Tabelul de mai jos prezintă toate permisiunile disponibile pentru atribuirea de roluri în implementarea FedRAMP. Fiecare permisiune controlează accesul la o anumită funcție administrativă.
CategoriePermisiuneDescriere
TeamsTeams Read-OnlyAcces doar în citire la pagina de administrare a echipelor
TeamsTeams UpdatePosibilitatea de a actualiza rolurile utilizatorilor de pe pagina de echipe
TeamsTeams DeletePosibilitatea de a elimina utilizatori de pe pagina de echipe
AnalyticsAnalytics ReadAcces în citire la pagina de Analytics și la tablourile de bord
AttributionAttribution ReadAcces în citire la pagina de atribuire
LicenseLicense ReadAcces în citire la pagina de licențe
SSOSSO ReadAcces în citire la pagina de configurare SSO (Single Sign-On)
SSOSSO WritePosibilitatea de a configura și modifica setările furnizorului SSO
Service KeyService Key ReadAcces în citire la pagina de chei de serviciu
Service KeyService Key CreatePosibilitatea de a crea chei de serviciu noi pentru acces API
Service KeyService Key UpdatePosibilitatea de a modifica cheile de serviciu existente
Service KeyService Key DeletePosibilitatea de a revoca și șterge cheile de serviciu
Role ManagementRole ReadAcces în citire la fila de roluri din setări
Role ManagementRole CreatePosibilitatea de a crea roluri noi
Role ManagementRole UpdatePosibilitatea de a modifica definițiile de rol existente
Role ManagementRole DeletePosibilitatea de a șterge roluri
External ChatExternal Chat ManagementPosibilitatea de a modifica configurațiile de model AI pentru External Chat
IndexingIndexing ReadAcces în citire la pagina de configurare a indexării
IndexingIndexing CreatePosibilitatea de a crea indecși noi
IndexingIndexing UpdatePosibilitatea de a actualiza depozitele deja indexate
IndexingIndexing DeletePosibilitatea de a șterge indecși
IndexingIndexing ManagementPosibilitatea de a efectua operațiuni de administrare și curățare a bazei de date de indexare
Fine-TuningFine-Tuning ReadAcces în citire la pagina de fine-tuning
Fine-TuningFine-Tuning CreatePosibilitatea de a crea joburi de fine-tuning
Fine-TuningFine-Tuning UpdatePosibilitatea de a actualiza joburi de fine-tuning
Fine-TuningFine-Tuning DeletePosibilitatea de a șterge joburi de fine-tuning
O serie de aceste permisiuni (cum ar fi Attribution, License, SSO, Indexing, Fine-Tuning) există în sistemul RBAC, dar paginile corespunzătoare din portal nu sunt disponibile în implementarea FedRAMP multitenant. Aceste permisiuni sunt incluse în interfața de administrare a rolurilor din motive de completitudine, însă nu acordă acces la nicio funcționalitate activă în acest mediu.

Proceduri pentru ciclul de viață al contului de administrator

Această secțiune descrie ciclul de viață complet al unui cont de administrator de nivel superior, de la crearea inițială până la dezafectare.

Configurarea contului

Onboarding-ul bazat pe SSO este metoda principală de provizionare în implementarea FedRAMP. Platforma acceptă atât OIDC, cât și SAML 2.0 pentru integrarea Single Sign-On. Utilizatorii se autentifică prin furnizorul de identitate configurat, iar după ce prima autentificare a utilizatorului îi creează contul, un administrator îi atribuie rolul corespunzător prin Admin Portal. Rețineți că integrarea SSO în mediul FedRAMP necesită coordonare cu echipa Windsurf FedRAMP și nu poate fi configurată în mod autonom. Fiecare cont nou de administrator trebuie configurat în conformitate cu principiul minimului privilegiu. Este de preferat să folosiți roluri personalizate, care includ doar permisiunile necesare pentru responsabilitățile administratorului, în loc să atribuiți rolul Admin complet, cu excepția cazului în care utilizatorul are nevoie de acces complet la sistem.

Cerințe de autentificare și MFA

Implementarea FedRAMP folosește exclusiv Single Sign-On, cu suport pentru protocoalele OIDC și SAML 2.0. Autentificarea prin e-mail și parolă nu este disponibilă. Toți utilizatorii trebuie să se autentifice prin furnizorul de identitate configurat. Autentificarea multi-factor (MFA) este impusă prin intermediul furnizorului de identitate al organizației. Windsurf moștenește politicile MFA configurate în IdP-ul conectat, ceea ce înseamnă că toate cerințele privind nivelul de securitate al autentificării (cum ar fi solicitarea unui al doilea factor, utilizarea unor autentificatori rezistenți la phishing sau politici de acces condițional) sunt gestionate la nivelul IdP-ului. Organizațiile ar trebui să își configureze IdP-ul pentru a solicita MFA tuturor utilizatorilor care accesează aplicația Windsurf, în special pentru conturile cu roluri administrative.
Windsurf recomandă cu tărie să solicitați MFA pentru toate conturile administrative. Configurați furnizorul de identitate pentru a impune MFA ca o condiție pentru accesarea aplicației Windsurf.

Configurare cont

După crearea unui cont de administrator, trebuie finalizați următorii pași de configurare. Alocarea rolului determină domeniul de aplicare al drepturilor de acces administrative ale contului. Atribuiți roluri prin Admin Portal, navigând la fila Manage Team, localizând utilizatorul, făcând clic pe Edit și selectând rolul corespunzător din meniul derulant. Modificările intră în vigoare imediat. Gestionarea cheilor de serviciu este necesară atunci când administratorul are nevoie de acces API pentru automatizare sau Analytics. Cheile de serviciu sunt create în Settings, cu permisiuni limitate, în concordanță cu utilizarea intenționată a cheii. Fiecărei chei de serviciu ar trebui să i se atribuie un nume descriptiv (de exemplu, „Analytics Dashboard”) și un rol cu permisiunile minime necesare.

Operarea contului

Practici operaționale curente pentru conturile administrative includ următoarele. Revizuiri regulate ale accesului ar trebui efectuate pentru a verifica dacă conturile administrative au în continuare nevoie de nivelul lor actual de acces. Revizuiți periodic lista utilizatorilor cu rol Admin prin fila Manage Team și ajustați rolurile pe măsură ce responsabilitățile se schimbă. Monitorizarea activității este disponibilă prin dashboard‑urile Analytics integrate. Administratorii cu permisiunea Analytics Read pot urmări activitatea utilizatorilor, indicatorii de implicare și utilizarea funcționalităților. Analytics API oferă acces programatic la aceste date pentru integrare cu sisteme externe de monitorizare. Rotirea cheilor de serviciu ar trebui efectuată la intervale regulate. Pentru a roti o cheie, creați o nouă cheie de serviciu cu aceleași permisiuni, actualizați sistemul care o utilizează pentru a folosi noua cheie și apoi ștergeți cheia veche.

Dezafectarea contului

Când un administrator nu mai are nevoie de acces, contul trebuie dezafectat prompt, urmând procedura de mai jos.
1

Revocați rolul de administrator

Navigați la Admin Portal, deschideți fila Manage Team, găsiți utilizatorul, faceți clic pe Edit și schimbați-i rolul din Admin în User (sau un rol personalizat fără permisiuni administrative).
2

Revocați cheile de serviciu

Ștergeți toate cheile de serviciu care au fost create de sau utilizate exclusiv de administratorul care pleacă. Navigați la Settings, apoi la Service Key și ștergeți cheile relevante.
3

Eliminați sau dezactivați contul

Eliminați utilizatorul prin fila Manage Team, făcând clic pe Delete lângă numele acestuia. Acest lucru va dezactiva contul Windsurf al utilizatorului și va elibera licența ocupată de acesta.
4

Verificați accesul rezidual

Verificați că contul dezafectat nu mai apare în niciun rol administrativ, consultând lista de utilizatori din Manage Team filtrată după rolul Admin. Confirmați că toate cheile de serviciu asociate cu contul au fost șterse.
Dezafectați conturile administrative imediat ce un administrator își schimbă rolul sau părăsește organizația. Dezafectarea întârziată creează o expunere inutilă la riscuri de securitate.

Referință pentru setările de securitate

Tabelul de mai jos documentează toate setările de securitate controlate de administrator, disponibile în Admin Portal pentru implementarea FedRAMP. Fiecare intrare descrie funcția setării, impactul ei asupra securității și configurația recomandată pentru o implementare axată pe securitate.
SettingFunctionSecurity impactRecommended value
Role-Based Access Control (RBAC)Controlează ce acțiuni administrative poate efectua fiecare utilizator, în funcție de rolul și permisiunile care i-au fost atribuite. Administrat în secțiunea Role Management din Settings.Limitează raza de acțiune a conturilor compromise, restricționând permisiunile doar la ceea ce are nevoie fiecare utilizator. Atribuirea de roluri prea largi crește impactul potențial al compromiterii unui singur cont.Configurați pe principiul privilegiului minim. Creați roluri personalizate doar cu permisiunile de care are nevoie fiecare administrator. Rezervați rolul implicit Admin pentru un număr redus de administratori.
Service key permissionsRestricționează tokenurile de acces API la seturi specifice de permisiuni, controlând ce operațiuni pot efectua sistemele automatizate. Administrat în secțiunea Service Key din Settings.Cheile de serviciu cu permisiuni excesive pot fi exploatate dacă sunt divulgate, acordând acces neautorizat la gestionarea utilizatorilor, Analytics sau alte funcții.Limitați la permisiunile minime necesare. Creați chei de serviciu dedicate pentru fiecare integrare, doar cu permisiunile de care are nevoie acea integrare. Rotați cheile regulat.
SSO provider configurationConfigurează furnizorul de identitate folosit pentru toată autentificarea utilizatorilor, cu suport pentru protocoalele OIDC și SAML 2.0. Autentificarea prin e-mail/parolă nu este disponibilă. Configurarea SSO necesită coordonare cu echipa Windsurf FedRAMP. Administrat în secțiunea SSO din Settings.Centralizează autentificarea prin IdP-ul organizației, permițând aplicarea MFA, a accesului condițional și a politicilor de sesiune. O configurare greșită poate bloca accesul tuturor utilizatorilor sau poate permite acces neautorizat.Configurați cu furnizorul de identitate aprobat de organizația dvs. (OIDC sau SAML 2.0). Verificați configurația testând autentificarea cu un cont fără drepturi de administrator, înainte de implementarea generală.
Last updated: January 28, 2026