目的 本指南旨在帮助企业的平台/开发者体验管理员为拥有大型企业团队的组织规划、落地与运营 Windsurf。内容有意保持“立场明确”的风格，并为每个主题提供指向详细“操作指南”的链接。上手时，可将其同时作为通读指南和检查清单使用。

---

---

1. 确认组织范围设置
2. 配置 SSO (单点登录) (Okta、Azure AD、Google；其他请参阅 SAML 文档)
3. 启用 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 并将 IdP 组映射到 Windsurf Teams
4. 定义 角色 与 权限 模型 (最小权限原则)
5. 配置 Admin Portal：团队视图与安全控制
6. 将 Windsurf 客户端/扩展 分发给终端用户
7. 查看 Analytics 仪表板 与 API 访问令牌

将此清单用作“第 0 天”部署跟踪器。

---

• Team – 扁平的成员集合；不支持嵌套团队。Teams (也称为 Groups) 用于进行角色分配和Analytics 分组，帮助你限定权限范围，并按群组查看使用指标。
• Roles & Permissions – 预定义的 RBAC；管理员主要负责团队管理、Windsurf 功能设置和Analytics。内置角色通常已能满足需求，但创建具有 analytics-view 权限的自定义角色，可让团队管理员和负责人查看其所属团队的指标。 (RBAC 文档)
• Admin Portal – 一个集中式界面，用于用户与团队管理、额度使用、SSO (单点登录) 配置、功能开关 (Web Search、MCP (模型上下文协议，Model Context Protocol) 、Deploys) 、Analytics 仪表板/报告导出、用于 API 的服务密钥，以及角色/权限控制。
• Agents & Workspaces – Windsurf IDE 和 JetBrains 插件具备 Agentic 能力

管理门户通过直观的网页界面，为所有 Windsurf Enterprise 功能提供集中管理。其核心能力包括：

• 在组织范围内添加、移除并管理用户
• 为团队配置合适的角色分配
• 监控用户状态与活动

• 与主流身份提供商配置 SSO (单点登录) 集成
• 设置 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 预配，实现用户全生命周期的自动化管理
• 管理基于角色的访问控制 (RBAC)
• 创建并管理用于 API 自动化且具有范围化权限的服务密钥

重要： 这些功能控制会影响整个组织的行为，且仅限管理员修改。为确保您可掌控启用的时间与方式，任何可能影响数据隐私的重大新功能默认以“关闭”状态发布。

Admin Portal 为您提供针对 Windsurf 各项功能的精细化控制，可按团队启用或禁用。数据隐私说明： 部分功能 (如下) 需要存储额外数据或遥测信息： 模型配置

• 配置团队在 Windsurf 中可访问的 AI 模型
• 你可以按 AI 模型过滤 (选择具体 AI 模型，如 SWE-1.5、Claude Opus 4.6 等) ，或按提供方过滤 (例如 OpenAI、Anthropic、Google) 。同一时间仅会生效一种过滤方式。
• 为不同用例 (Cascade、Command、Chat 等) 选择多个 AI 模型或提供方

默认模型覆盖

• 为团队用户设置默认的 Cascade AI 模型
• 每次用户打开 Windsurf 时都会预先选中该模型 (不仅仅是首次使用)
• 用户在会话期间仍可随时更改 AI 模型
• 只有在“模型配置”中启用的模型才能作为默认选项

自动运行终端命令 (测试版)

• 为整个组织设置终端命令自动执行的最高级别
• 可选四个级别：Disabled (禁用，不进行自动执行) 、Allowlist Only (仅白名单中的命令) 、Auto (由 AI 判断为安全的命令) 和 Turbo (除黑名单中的命令外的所有命令)
• 用户可以在不超过你所配置的最高级别的范围内自行选择，从而在你的安全策略内保留灵活性
• 了解自动执行命令的更多信息

终端命令列表 (测试版)

• 为团队配置适用于所有成员的终端命令白名单和黑名单
• Allowlist (白名单) ：此列表中的命令在启用自动执行时将无需用户确认即可自动运行
• Denylist (黑名单) ：此列表中的命令在执行前始终需要用户批准
• 优先级规则：黑名单优先级高于白名单——如果某条命令同时匹配两份列表，则会要求用户批准
• 通过 Admin Portal → Team Settings → Terminal Commands → Manage Lists 访问
• 这些团队级列表会与用户在 Windsurf 设置中配置的个人白/黑名单合并生效

MCP 服务器 (测试版)

• 允许用户配置并使用 MCP (模型上下文协议，Model Context Protocol) 服务器
• 维护用于已批准集成的 MCP 服务器白名单
• 安全说明： 启用前请审查运营和安全层面的影响，因为 MCP 可能会在 Windsurf 安全监控之外创建基础设施资源
• 了解更多关于 MCP (模型上下文协议，Model Context Protocol)
• Teams 与 Enterprise 的 MCP 管理控制

应用部署 (测试版)

• 管理各团队在 Cascade 中的部署权限
• 了解更多关于应用部署

会话共享

• 允许团队成员将 Cascade 会话分享给他人
• 会话内容会被安全地上传到 Windsurf 服务器
• 可分享链接仅限已登录的团队成员访问
• 了解更多关于会话分享

PR 评审 (GitHub 集成)

• 在您团队的 GitHub 组织中安装 Windsurf
• 启用 PR 评审自动化与描述编辑
• 了解更多关于 Windsurf PR Reviews
• 我们推荐 Devin Review 作为我们全新升级的代码评审体验。 了解更多。

知识库管理

• 为开发团队汇集来自 Google Drive 的知识
• 上传并组织内部文档与资源
• 了解更多关于 Knowledge Base

---

建议： 尽可能使用 SSO (单点登录) 与 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) ，以实现用户与群组的自动化开通、停用及管理。

有关 Okta、Azure AD、Google 和通用 SAML 的分步配置，请参阅 SSO & SCIM 设置指南。

• 原因 – 面向规模的用户全生命周期与团队成员管理自动化
• 功能
  • 自动创建/停用用户
  • 自动创建团队 (或手动管理)
  • 用户可隶属于多个团队
  • 通过 SCIM API 自定义创建团队 (文档)
• 映射策略
  • 1 个 IdP 组 → 1 个 Windsurf 团队 (简单、最常见)
  • 按职能与按项目的组前缀 (例如 proj-foo-devs)
• 需要决策的事项
  • 需要排除哪些组 (例如：实习生、外包/合同工)
  • 当 IdP 组名变更时的重命名规则
• 注意：SCIM 应作为你的单一事实来源——混用 SCIM 与手动/API 更新可能导致偏移。API 主要用于添加补充性分组。

---

• 扁平化的团队 → 需谨慎设计团队分类体系 (无法依赖嵌套结构)
• 用户可以加入多个群组。群组用于查看 Analytics
• 目前，SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 不支持为用户分配角色；SCIM 仅支持将用户分配到群组

---

Analytics 会显示由 Windsurf 编写的代码占比，帮助量化影响—在此查看你的仪表板：team analytics。

• 在 Team Settings → Service Keys 中生成服务密钥。将密钥权限限定为所需的最小权限。
• 如需更高级的报告，请参见 Analytics API Reference。
• 团队管理相关内容，请参见 SCIM API – Custom Teams。

---

• 状态页面 – 监控实时服务健康：Windsurf、Anthropic、OpenAI
• 支持渠道 – windsurf.com/support

---

1. 引导终端用户前往 Windsurf 安装指南，安装相应的扩展或桌面客户端。
2. 发布一页内部“Windsurf 入门”页面 (链接到官方文档)
3. 举办现场上手培训或录制简短演示
4. 整理入门项目模板与示例提示词
5. 使用 2 周后通过问卷收集反馈，并持续迭代

---

• SSO (单点登录) 与 SCIM (跨域身份管理系统，一种用于自动化用户和群组供应的开放标准) 设置指南
• SCIM API——自定义 Teams
• Analytics API 参考文档
• RBAC 权限控制