> ## Documentation Index
> Fetch the complete documentation index at: https://docs.windsurf.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 管理员指南

> 面向 Enterprise 管理员的 Windsurf 大规模部署指南。为大型组织配置 SSO（单点登录）、SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准）、RBAC、Analytics 以及团队管理功能。

<div id="windsurf-guide-for-enterprise-admins">
  # 面向 Enterprise 管理员的 Windsurf 指南
</div>

> **目的** 本指南面向企业级的平台/开发者体验管理员，帮助为拥有**大型企业团队**的组织规划、部署和运营 Windsurf。内容刻意提供有明确立场的建议，并按主题链接到详细的“操作指南”。在入门阶段，可将本指南同时作为**通读指南**和**检查清单**使用。

***

<div id="1-audience-pre-requisites">
  ## 1.   受众与先决条件
</div>

|           | 详情                                                                                                          |
| --------- | ----------------------------------------------------------------------------------------------------------- |
| **适读对象**  | 平台/开发者体验 (Dev‑Ex) 管理员、企业 IT、集中化工具团队                                                                         |
| **默认已知**  | 基本的 Windsurf 术语 (team、role) 、Enterprise 身份提供商 (IdP) 概念 (SAML、SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) ) 、CLI 的使用 |
| **不在范围内** | 深入的安全/合规内部机制 → 请参见 **Security & Compliance** 文档                                                             |

***

<div id="2-quick-start-checklist">
  ## 2.   快速入门清单
</div>

1. 确认组织范围设置
2. 设置 **SSO (单点登录) ** (Okta、Azure AD、Google；其他参见 SAML 文档)
3. 启用 **SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) ** 并将 IdP 组映射到 Windsurf *Teams*
4. 定义 **角色** 与 **权限** 模型 (最小权限原则)
5. 配置 **Admin Portal**：团队视图与安全控制
6. 向终端用户分发 **Windsurf 客户端/扩展**
7. 查看 **Analytics 仪表板** 与 **API 访问令牌**

> 将此清单用作你的“Day 0”部署跟踪器。

***

<div id="3-core-windsurf-concepts">
  ## 3.   Windsurf 核心概念
</div>

* **Team** – 扁平的成员集合；不支持嵌套团队。Teams (也称为*Groups*) 用于进行**角色分配**和**Analytics 分组**，便于按群组设定权限并按群体查看使用指标。
* **Roles & Permissions** – 预定义的 RBAC；管理员主要负责**团队管理**、**Windsurf 功能设置**和**Analytics**。内置角色通常已能满足需求，但创建包含 *analytics-view* 权限的自定义角色，可让团队管理者和负责人查看其所属团队的指标。 (<a href="/zh/plugins/accounts/rbac-role-management" target="_blank">RBAC 文档</a>)
* **Admin Portal** – 面向用户与团队管理、额度使用、SSO (单点登录) 配置、功能开关 (<a href="/zh/plugins/cascade/web-search" target="_blank">Web Search</a>、<a href="/zh/plugins/cascade/mcp" target="_blank">MCP (模型上下文协议，Model Context Protocol) </a>、<a href="/zh/windsurf/cascade/app-deploys" target="_blank">Deploys</a>) 、Analytics 仪表板/报告导出、API 使用的服务密钥，以及角色/权限控制的集中式界面。
* **Agents & Workspaces** – Windsurf IDE 和 JetBrains 插件具备 Agentic 能力

<div id="31-admin-portal-overview">
  ### 3.1   管理门户概览
</div>

管理门户通过直观的 Web 界面，为所有 Windsurf Enterprise 功能提供集中管理。核心功能包括：

<div id="user-team-management">
  #### 用户与团队管理
</div>

* 在组织范围内添加、移除并管理用户
* 为团队配置合适的角色分配
* 监控用户状态与活动

<div id="authentication-security">
  #### 身份验证与安全
</div>

* 配置与主流身份提供商的 SSO (单点登录) 集成
* 设置 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 预配，实现用户生命周期的自动化管理
* 管理基于角色的访问控制 (RBAC)
* 创建并管理用于 API 自动化且具备范围化权限的**服务密钥**

<div id="feature-toggles-controls">
  #### 功能开关与控制
</div>

> \*\*重要：\*\*这些功能开关会影响整个组织的行为，且仅管理员可修改。为确保您可掌控启用的时间和方式，默认情况下，所有可能影响数据隐私的新重大功能均以“关闭”状态发布。

<a href="https://windsurf.com/team/settings" target="_blank">Admin Portal</a> 可为您提供对 Windsurf 功能的细粒度控制，并可按团队启用或禁用。\*\*数据隐私说明：\*\*某些功能 (如下所述) 需要存储额外的数据或遥测信息：

**模型配置**

* 配置您的团队在 Windsurf 中可访问的 AI 模型
* 您可以按 **模型筛选 (filter by model) ** (选择特定模型，如 SWE-1.5、Claude Opus 4.6 等) ，或按 **提供商筛选 (filter by provider) ** (例如 OpenAI、Anthropic、Google) 。同一时间只能生效一种筛选方式。
* 为不同用例 (Cascade、Command、Chat 等) 选择多个模型或提供商

**默认模型覆盖**

* 为团队用户设置默认的 Cascade AI 模型
* 每次用户打开 Windsurf 时 (不仅是首次) ，该模型都会被预先选中
* 用户在会话过程中仍然可以随时更改其 AI 模型
* 仅在“模型配置”中已启用的模型才可作为默认选项

**自动运行终端命令** (Beta)

* 为整个组织设置终端命令自动执行的最高级别
* 提供四个级别：**Disabled** (不进行任何自动执行) 、**Allowlist Only** (仅自动执行允许列表中的命令) 、**Auto** (由 AI 判断为安全的命令) 、**Turbo** (除拒绝列表外的所有命令)
* 用户可在您配置的最高级别之下自由选择适用级别，从而在安全策略范围内保持灵活性
* [了解自动执行命令的更多信息](https://docs.windsurf.com/windsurf/terminal#auto-executed-cascade-commands)

**MCP 服务器** (Beta)

* 允许用户配置并使用 MCP (模型上下文协议，Model Context Protocol) 服务器
* 维护获批集成的 MCP 服务器白名单
* \*\*安全说明：\*\*启用前请评估其运维与安全影响，因为 MCP 可能在 Windsurf 的安全监控之外创建基础设施资源
* <a href="https://docs.windsurf.com/plugins/cascade/mcp#model-context-protocol-mcp" target="_blank">了解更多关于 Model Context Protocol (MCP) </a>
* <a href="https://docs.windsurf.com/plugins/cascade/mcp#admin-controls-teams-%26-enterprises" target="_blank">面向 Teams 与 Enterprise 的 MCP 管理控制</a>

**应用部署** (Beta)

* 管理团队在 Cascade 中的部署权限
* <a href="https://docs.windsurf.com/windsurf/cascade/app-deploys#app-deploys" target="_blank">了解更多关于应用部署</a>

**会话共享**

* 允许团队成员与他人共享 Cascade 会话
* 会话将安全上传至 Windsurf 服务器
* 可共享链接仅限已登录的团队成员访问
* <a href="https://docs.windsurf.com/windsurf/cascade/cascade#sharing-your-conversation" target="_blank">了解更多关于共享会话</a>

**PR 审查 (GitHub 集成) **

* 在您团队的 GitHub 组织中安装 Windsurf
* 启用 PR 审查自动化与描述编辑
* <a href="https://docs.windsurf.com/windsurf-reviews/windsurf-reviews#windsurf-pr-reviews" target="_blank">了解更多关于 Windsurf PR Reviews</a>
* **我们推荐 <a href="https://app.devin.ai/review" target="_blank">Devin Review</a> 作为我们全新升级的代码审查体验。** <a href="https://docs.devin.ai/work-with-devin/devin-review" target="_blank">了解更多</a>。

**知识库管理**

* 为开发团队从 Google Drive 来源策划知识
* 上传并组织内部文档与资源
* <a href="https://docs.windsurf.com/context-awareness/overview#knowledge-base-beta" target="_blank">了解更多关于知识库</a>

***

<div id="4-identity-access-management">
  ## 4.   身份与访问管理
</div>

> **建议：** 在可行的情况下优先使用 **SSO 加 SCIM**，以实现自动化的用户开通、停用与群组管理。

<div id="41-single-sign-on-sso">
  ### 4.1   单点登录 (SSO)
</div>

|             | 指南                                                                            |
| ----------- | ----------------------------------------------------------------------------- |
| **支持的 IdP** | Okta、Azure AD、Google (其他通过通用 SAML)                                            |
| **推荐做法**    | 在 IdP 中创建针对 Windsurf 的专用应用 (app) ；采用**基于角色**的群组分配，而非面向全组织的 `All Employees` 群组 |
| **常见问题**    | 邮箱后缀不一致、用户别名重复                                                                |

*请参阅 <a href="https://docs.windsurf.com/plugins/accounts/sso-scim" target="_blank">SSO & SCIM 设置指南</a>，了解 Okta、Azure AD、Google 与通用 SAML 的分步配置。*

<div id="42-scim-provisioning">
  ### 4.2   SCIM 供应
</div>

* **原因** – 在大规模场景下实现用户全生命周期与团队成员管理的自动化
* **功能**
  * 自动创建/停用**用户**
  * 自动创建**团队** (或手动管理)
  * 用户可加入**多个团队**
  * 通过 SCIM API 自定义创建团队 (<a href="https://docs.windsurf.com/plugins/accounts/sso-scim#scim-api" target="_blank">文档</a>)
* **映射策略**
  * 1 个 IdP 组 → 1 个 Windsurf 团队 (简单、最常见)
  * 按职能或按项目的组名前缀 (例如 `proj-foo-devs`)
* **需要决定的事项**
  * 需要*排除*哪些组 (例如实习生、外包人员)
  * 当 IdP 组名变更时的重命名规则
* **注意**：SCIM 应作为你的**权威数据源**——混用 SCIM 与手动/API 更新可能导致偏移。API 主要用于添加补充性组。

***

<div id="5-user-team-management-at-scale">
  ## 5.   大规模用户与团队管理
</div>

* 扁平化的*团队* → 需要谨慎设计团队分类 (没有可回退的层级结构)
* 用户可以属于**多个群组**。群组用于查看 Analytics
* 目前，SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 不支持为用户分配角色。SCIM 仅支持将用户分配到群组

***

<div id="6-analytics-api-access">
  ## 6.   Analytics 与 API 访问
</div>

<div id="61-built-in-analytics">
  ### 6.1   内置 Analytics
</div>

| 仪表板                   | 使用场景          |
| --------------------- | ------------- |
| **Adoption Overview** | 跟踪活跃用户总数、日活跃度 |
| **Team Activity**     | 团队使用情况        |

Analytics 显示由 Windsurf 生成的代码占比，帮助量化影响——前往 <a href="https://windsurf.com/team/analytics" target="_blank">team analytics</a> 查看你的仪表板。

<div id="62-apis">
  ### 6.2   APIs
</div>

| API      | 典型管理员场景           |
| -------- | ----------------- |
| **REST** | SCIM 管理、Analytics |

* 在 <a href="https://windsurf.com/team/settings" target="_blank">**Team Settings → Service Keys**</a> 中生成服务密钥。将密钥的权限限定为所需的*最小权限*。
* 如需更高级的报表与用量管理：请参见 <a href="https://docs.windsurf.com/plugins/accounts/api-reference/api-introduction" target="_blank">API Reference</a>。
* 团队管理：请参见 <a href="https://docs.windsurf.com/plugins/accounts/sso-scim#scim-api" target="_blank">SCIM API – Custom Teams</a>。

***

<div id="7-operational-considerations">
  ## 7.   运营注意事项
</div>

* **状态页** – 监控实时服务运行状况：<a href="https://status.windsurf.com/" target="_blank">Windsurf</a>、<a href="https://status.anthropic.com/" target="_blank">Anthropic</a>、<a href="https://status.openai.com/" target="_blank">OpenAI</a>
* **支持渠道** – windsurf.com/support

***

<div id="8-setting-up-end-users-for-success">
  ## 8.   帮助终端用户顺利上手
</div>

1. 引导终端用户前往 <a href="https://docs.windsurf.com/plugins/getting-started" target="_blank">Windsurf 安装指南</a>，安装相应的扩展或桌面客户端。
2. 发布内部“Windsurf 快速上手”页面 (链接到官方文档)
3. 组织现场入门培训/录制简短演示
4. 整理入门项目模板与示例提示词
5. 在使用 2 周后通过问卷收集反馈，并持续迭代

***

<div id="9-additional-resources">
  ## 9.   其他资源
</div>

* <a href="https://docs.windsurf.com/plugins/accounts/sso-scim" target="_blank">SSO (单点登录) 与 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 设置指南</a>
* <a href="https://docs.windsurf.com/plugins/accounts/sso-scim#scim-api" target="_blank">SCIM API——自定义 Teams</a>
* <a href="https://docs.windsurf.com/plugins/accounts/api-reference/introduction" target="_blank">Analytics API 参考</a>
* <a href="/zh/plugins/accounts/rbac-role-management" target="_blank">RBAC 控制</a>
