目的 本指南面向企业级的平台/开发者体验管理员，帮助为拥有大型企业团队的组织规划、部署和运营 Windsurf。内容刻意提供有明确立场的建议，并按主题链接到详细的“操作指南”。在入门阶段，可将本指南同时作为通读指南和检查清单使用。

---

---

1. 确认组织范围设置
2. 设置 SSO (单点登录) (Okta、Azure AD、Google；其他参见 SAML 文档)
3. 启用 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 并将 IdP 组映射到 Windsurf Teams
4. 定义 角色 与 权限 模型 (最小权限原则)
5. 配置 Admin Portal：团队视图与安全控制
6. 向终端用户分发 Windsurf 客户端/扩展
7. 查看 Analytics 仪表板 与 API 访问令牌

将此清单用作你的“Day 0”部署跟踪器。

---

• Team – 扁平的成员集合；不支持嵌套团队。Teams (也称为Groups) 用于进行角色分配和Analytics 分组，便于按群组设定权限并按群体查看使用指标。
• Roles & Permissions – 预定义的 RBAC；管理员主要负责团队管理、Windsurf 功能设置和Analytics。内置角色通常已能满足需求，但创建包含 analytics-view 权限的自定义角色，可让团队管理者和负责人查看其所属团队的指标。 (RBAC 文档)
• Admin Portal – 面向用户与团队管理、额度使用、SSO (单点登录) 配置、功能开关 (Web Search、MCP (模型上下文协议，Model Context Protocol) 、Deploys) 、Analytics 仪表板/报告导出、API 使用的服务密钥，以及角色/权限控制的集中式界面。
• Agents & Workspaces – Windsurf IDE 和 JetBrains 插件具备 Agentic 能力

管理门户通过直观的 Web 界面，为所有 Windsurf Enterprise 功能提供集中管理。核心功能包括：

• 在组织范围内添加、移除并管理用户
• 为团队配置合适的角色分配
• 监控用户状态与活动

• 配置与主流身份提供商的 SSO (单点登录) 集成
• 设置 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 预配，实现用户生命周期的自动化管理
• 管理基于角色的访问控制 (RBAC)
• 创建并管理用于 API 自动化且具备范围化权限的服务密钥

**重要：**这些功能开关会影响整个组织的行为，且仅管理员可修改。为确保您可掌控启用的时间和方式，默认情况下，所有可能影响数据隐私的新重大功能均以“关闭”状态发布。

Admin Portal 可为您提供对 Windsurf 功能的细粒度控制，并可按团队启用或禁用。**数据隐私说明：**某些功能 (如下所述) 需要存储额外的数据或遥测信息： 模型配置

• 配置您的团队在 Windsurf 中可访问的 AI 模型
• 您可以按 模型筛选 (filter by model) (选择特定模型，如 SWE-1.5、Claude Opus 4.6 等) ，或按 提供商筛选 (filter by provider) (例如 OpenAI、Anthropic、Google) 。同一时间只能生效一种筛选方式。
• 为不同用例 (Cascade、Command、Chat 等) 选择多个模型或提供商

默认模型覆盖

• 为团队用户设置默认的 Cascade AI 模型
• 每次用户打开 Windsurf 时 (不仅是首次) ，该模型都会被预先选中
• 用户在会话过程中仍然可以随时更改其 AI 模型
• 仅在“模型配置”中已启用的模型才可作为默认选项

自动运行终端命令 (Beta)

• 为整个组织设置终端命令自动执行的最高级别
• 提供四个级别：Disabled (不进行任何自动执行) 、Allowlist Only (仅自动执行允许列表中的命令) 、Auto (由 AI 判断为安全的命令) 、Turbo (除拒绝列表外的所有命令)
• 用户可在您配置的最高级别之下自由选择适用级别，从而在安全策略范围内保持灵活性
• 了解自动执行命令的更多信息

MCP 服务器 (Beta)

• 允许用户配置并使用 MCP (模型上下文协议，Model Context Protocol) 服务器
• 维护获批集成的 MCP 服务器白名单
• **安全说明：**启用前请评估其运维与安全影响，因为 MCP 可能在 Windsurf 的安全监控之外创建基础设施资源
• 了解更多关于 Model Context Protocol (MCP)
• 面向 Teams 与 Enterprise 的 MCP 管理控制

应用部署 (Beta)

• 管理团队在 Cascade 中的部署权限
• 了解更多关于应用部署

会话共享

• 允许团队成员与他人共享 Cascade 会话
• 会话将安全上传至 Windsurf 服务器
• 可共享链接仅限已登录的团队成员访问
• 了解更多关于共享会话

PR 审查 (GitHub 集成)

• 在您团队的 GitHub 组织中安装 Windsurf
• 启用 PR 审查自动化与描述编辑
• 了解更多关于 Windsurf PR Reviews
• 我们推荐 Devin Review 作为我们全新升级的代码审查体验。 了解更多。

知识库管理

• 为开发团队从 Google Drive 来源策划知识
• 上传并组织内部文档与资源
• 了解更多关于知识库

---

建议： 在可行的情况下优先使用 SSO 加 SCIM，以实现自动化的用户开通、停用与群组管理。

请参阅 SSO & SCIM 设置指南，了解 Okta、Azure AD、Google 与通用 SAML 的分步配置。

• 原因 – 在大规模场景下实现用户全生命周期与团队成员管理的自动化
• 功能
  • 自动创建/停用用户
  • 自动创建团队 (或手动管理)
  • 用户可加入多个团队
  • 通过 SCIM API 自定义创建团队 (文档)
• 映射策略
  • 1 个 IdP 组 → 1 个 Windsurf 团队 (简单、最常见)
  • 按职能或按项目的组名前缀 (例如 proj-foo-devs)
• 需要决定的事项
  • 需要排除哪些组 (例如实习生、外包人员)
  • 当 IdP 组名变更时的重命名规则
• 注意：SCIM 应作为你的权威数据源——混用 SCIM 与手动/API 更新可能导致偏移。API 主要用于添加补充性组。

---

• 扁平化的团队 → 需要谨慎设计团队分类 (没有可回退的层级结构)
• 用户可以属于多个群组。群组用于查看 Analytics
• 目前，SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 不支持为用户分配角色。SCIM 仅支持将用户分配到群组

---

Analytics 显示由 Windsurf 生成的代码占比，帮助量化影响——前往 team analytics 查看你的仪表板。

• 在 Team Settings → Service Keys 中生成服务密钥。将密钥的权限限定为所需的最小权限。
• 如需更高级的报表与用量管理：请参见 API Reference。
• 团队管理：请参见 SCIM API – Custom Teams。

---

• 状态页 – 监控实时服务运行状况：Windsurf、Anthropic、OpenAI
• 支持渠道 – windsurf.com/support

---

1. 引导终端用户前往 Windsurf 安装指南，安装相应的扩展或桌面客户端。
2. 发布内部“Windsurf 快速上手”页面 (链接到官方文档)
3. 组织现场入门培训/录制简短演示
4. 整理入门项目模板与示例提示词
5. 在使用 2 周后通过问卷收集反馈，并持续迭代

---

• SSO (单点登录) 与 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 设置指南
• SCIM API——自定义 Teams
• Analytics API 参考
• RBAC 控制