本指南说明如何在 Windsurf 中安全地设置、配置、运营以及退役顶级管理员账户。内容涵盖管理员角色定义、账户生命周期流程,以及所有由管理员控制的安全设置及其相关功能、安全影响和推荐配置值。
本指南面向运行在 AWS GovCloud 上的 Windsurf FedRAMP 部署。FedRAMP 部署使用专用企业门户和基于 SSO(单点登录,OIDC 或 SAML 2.0)的身份验证。其他 Windsurf 文档中针对 SaaS 版本所描述的部分功能在 FedRAMP 环境中不可用。
Windsurf 使用基于角色的访问控制(RBAC)系统来管理管理权限。角色通过 Admin Portal 中的 Role Management 设置部分进行管理,并且可以分配给单个用户。
Windsurf 提供两个无法删除的内置角色。
| Role | Description | Default permissions |
|---|
| Admin | 对组织设置、用户管理、Analytics 分析和安全控制具有完整管理权限。这是团队内用户可以拥有的最高级别权限。 | 启用所有权限 |
| User | 标准终端用户访问权限,不具备任何管理权限。用户可以使用 Windsurf 的编码功能,但无法查看或修改组织设置。 | 无任何管理权限 |
| Category | Permission | Description |
|---|
| Teams | Teams Read-Only | 对团队管理页面的只读访问权限 |
| Teams | Teams Update | 能够在团队页面更新用户角色 |
| Teams | Teams Delete | 能够在团队页面移除用户 |
| Analytics | Analytics Read | 对 Analytics 页面和仪表盘的读取权限 |
| Attribution | Attribution Read | 对归因页面的读取权限 |
| License | License Read | 对许可证页面的读取权限 |
| SSO | SSO Read | 对 SSO(单点登录)配置页面的读取权限 |
| SSO | SSO Write | 能够配置和修改 SSO 提供商设置 |
| 服务密钥 | 服务密钥读取 | 对服务密钥页面的读取权限 |
| 服务密钥 | 服务密钥创建 | 能够创建用于 API 访问的新服务密钥 |
| 服务密钥 | 服务密钥更新 | 能够修改现有服务密钥 |
| 服务密钥 | 服务密钥删除 | 能够撤销并删除服务密钥 |
| 角色管理 | 角色读取 | 对设置中“角色”选项卡的读取权限 |
| 角色管理 | 角色创建 | 能够创建新角色 |
| 角色管理 | 角色更新 | 能够修改现有角色定义 |
| 角色管理 | 角色删除 | 能够删除角色 |
| 外部 Chat | External Chat Management | 能够修改外部 Chat AI 模型配置 |
| 索引 | 索引读取 | 对索引配置页面的读取权限 |
| 索引 | 索引创建 | 能够创建新索引 |
| 索引 | 索引更新 | 能够更新现有的已索引代码仓库 |
| 索引 | 索引删除 | 能够删除索引 |
| 索引 | 索引管理 | 能够执行索引数据库的管理和清理操作 |
| 微调 | 微调读取 | 对微调页面的读取权限 |
| 微调 | 微调创建 | 能够创建微调任务 |
| 微调 | 微调更新 | 能够更新微调任务 |
| 微调 | 微调删除 | 能够删除微调任务 |
其中一些权限(例如 Attribution、License、SSO、Indexing、Fine-Tuning)在 RBAC 系统中存在,但其对应的门户页面在 FedRAMP 多租户部署中不可用。出于完整性考虑,这些权限仍包含在角色管理 UI 中,但在当前环境下并不会授予对任何活跃功能的访问权限。
本节介绍顶级管理员账户从初始创建到停用的完整生命周期。
在 FedRAMP 部署中,基于 SSO(单点登录)的用户接入流程是主要的帐号开通方式。平台同时支持 OIDC 和 SAML 2.0 进行 SSO(单点登录)集成。用户通过已配置的身份提供商进行认证,在用户首次登录创建其帐号后,管理员通过 Admin Portal 为其分配相应的角色。请注意,FedRAMP 环境中的 SSO 集成需要与 Windsurf FedRAMP 团队协同完成,无法以自助方式配置。
每个新的管理员帐号都应根据最小权限原则进行配置。优先使用仅包含该管理员履行职责所需权限的自定义角色,而不是直接分配完整的 Admin 角色,除非该用户确实需要对系统的完全访问权限。
FedRAMP 部署仅使用单点登录(Single Sign-On),支持 OIDC 和 SAML 2.0 协议。不提供电子邮件和密码组合的身份验证方式。所有用户都必须通过已配置的身份提供商进行身份验证。
多因素认证(MFA)由组织的身份提供商强制执行。Windsurf 继承连接 IdP 中配置的 MFA 策略,这意味着所有身份验证强度要求(例如要求第二验证要素、抗网络钓鱼认证器或条件访问策略)都在 IdP 级别进行管理。组织应将其 IdP 配置为对所有访问 Windsurf 应用的用户要求使用 MFA,尤其是对具有管理角色的账户。
Windsurf 强烈建议对所有具有管理权限的账户强制使用 MFA。请将你的身份提供商配置为在访问 Windsurf 应用时强制执行 MFA。
撤销管理员角色
进入 Admin Portal,打开 Manage Team 选项卡,找到该用户,点击 Edit,并将其角色从 Admin 更改为 User(或一个不含管理权限的自定义角色)。
撤销服务密钥
删除由离任管理员创建或仅由其使用的任何服务密钥。依次进入 Settings > Service Key,并删除相关密钥。
移除或停用账户
在 Manage Team 选项卡中,通过点击其姓名旁边的 Delete 来移除该用户。此操作将停用该用户的 Windsurf 账户并释放其许可证席位。
检查残余访问权限
通过在 Manage Team 用户列表中按 Admin 角色进行筛选,确认已注销账户不再出现在任何管理员角色中。确认与该账户关联的所有服务密钥均已被删除。
当管理员变更岗位或离开组织时,应立即注销其管理员账户。延迟注销会造成不必要的安全风险。
下表列出了 FedRAMP 部署的 Admin Portal 中,所有由管理员控制的安全设置。每一项都描述了该设置的功能、安全影响,以及面向高安全性部署的推荐配置。
| Setting | Function | Security impact | Recommended value |
|---|
| Role-Based Access Control (RBAC) | 根据分配给用户的角色和权限,控制每个用户可以执行的管理操作。在 Settings 的 Role Management 部分进行管理。 | 通过将权限限制在每个用户实际所需的最小范围内,缩小账号被攻陷时的影响范围。过于宽泛的角色分配会放大单个账号被攻陷时的潜在影响。 | 按最小权限原则进行配置。 为各管理员创建仅包含其所需权限的自定义角色。将内置的 Admin 角色仅保留给少数管理员使用。 |
| Service key permissions | 将 API 访问令牌限定为特定的一组权限,从而控制自动化系统可以执行的操作。在 Settings 的 Service Key 部分进行管理。 | 权限过大的服务密钥一旦泄露,可能被利用来获取对用户管理、Analytics 模块或其他功能的未授权访问。 | 限定为所需的最小权限。 为每个集成单独创建服务密钥,仅授予该集成所需的权限。定期轮换密钥。 |
| SSO provider configuration | 配置用于所有用户认证的身份提供商,支持 OIDC 和 SAML 2.0 协议。不提供电子邮件/密码认证。SSO(单点登录)设置需要与 Windsurf FedRAMP 团队协作完成。在 Settings 的 SSO 部分进行管理。 | 通过组织的 IdP 集中管理认证,从而强制执行 MFA、条件访问和会话策略。配置错误可能导致所有用户被锁定,或放行未授权访问。 | 使用贵组织批准的身份提供商(OIDC 或 SAML 2.0)进行配置。 在全面推广之前,先使用非管理员账号进行登录测试以验证配置。 |
