目的 本指南旨在帮助企业的平台/开发者体验管理员为拥有大型企业团队的组织规划、落地与运营 Windsurf。内容有意保持“立场明确”的风格，并为每个主题提供指向详细“操作指南”的链接。上手时，可将其同时作为通读指南和检查清单使用。

---

	详情
适合阅读对象	平台/开发者体验管理员、企业 IT、集中化工具团队
已具备的知识	基本的 Windsurf 术语（team、role）、Enterprise IdP 概念（SAML、SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准））、CLI 使用
不在范围内	深入的安全/合规内部机制 → 请参阅 Security & Compliance 文档

---

1. 确认组织范围设置
2. 配置 SSO（单点登录）（Okta、Azure AD、Google；其他请参阅 SAML 文档）
3. 启用 SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准） 并将 IdP 组映射到 Windsurf Teams
4. 定义 角色 与 权限 模型（最小权限原则）
5. 配置 Admin Portal：团队视图与安全控制
6. 将 Windsurf 客户端/扩展 分发给终端用户
7. 查看 Analytics 仪表板 与 API 访问令牌

将此清单用作“第 0 天”部署跟踪器。

---

• Team – 扁平的成员集合；不支持嵌套团队。Teams（也称为 Groups）用于进行角色分配和Analytics 分组，帮助你限定权限范围，并按群组查看使用指标。
• Roles & Permissions – 预定义的 RBAC；管理员主要负责团队管理、Windsurf 功能设置和Analytics。内置角色通常已能满足需求，但创建具有 analytics-view 权限的自定义角色，可让团队管理员和负责人查看其所属团队的指标。（RBAC 文档）
• Admin Portal – 一个集中式界面，用于用户与团队管理、额度使用、SSO（单点登录）配置、功能开关（Web Search、MCP（模型上下文协议，Model Context Protocol）、Deploys）、Analytics 仪表板/报告导出、用于 API 的服务密钥，以及角色/权限控制。
• Agents & Workspaces – Windsurf IDE 和 JetBrains 插件具备 Agentic 能力

管理门户通过直观的网页界面，为所有 Windsurf Enterprise 功能提供集中管理。其核心能力包括：

• 在组织范围内添加、移除并管理用户
• 为团队配置合适的角色分配
• 监控用户状态与活动

• 与主流身份提供商配置 SSO（单点登录）集成
• 设置 SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准）预配，实现用户全生命周期的自动化管理
• 管理基于角色的访问控制（RBAC）
• 创建并管理用于 API 自动化且具有范围化权限的服务密钥

重要： 这些功能控制会影响整个组织的行为，且仅限管理员修改。为确保您可掌控启用的时间与方式，任何可能影响数据隐私的重大新功能默认以“关闭”状态发布。

Admin Portal 为您提供针对 Windsurf 各项功能的精细化控制，可按团队启用或禁用。数据隐私说明： 部分功能（如下）需要存储额外数据或遥测信息： 模型配置

• 配置团队在 Windsurf 中可访问的 AI 模型
• 为不同场景选择多个模型（代码补全、Chat 等）

自动运行终端命令（测试版）

• 允许或限制 Cascade 在用户本机上自动执行命令
• 了解自动执行命令的更多信息

MCP 服务器（测试版）

• 允许用户配置并使用 MCP（模型上下文协议，Model Context Protocol）服务器
• 维护已批准集成的 MCP 服务器白名单
• 安全说明： 启用前请审查运营与安全影响，因为 MCP 可能会在 Windsurf 安全监控之外创建基础设施资源
• 了解更多关于 MCP（模型上下文协议，Model Context Protocol）
• Teams 与 Enterprise 的 MCP 管理控制

应用部署（测试版）

• 管理团队在 Cascade 中的部署权限
• 了解更多关于应用部署

会话共享

• 允许团队成员将 Cascade 会话分享给他人
• 会话将安全地上传至 Windsurf 服务器
• 可分享链接仅限已登录的团队成员访问
• 了解更多关于会话分享

PR 评审（GitHub 集成）

• 在您团队的 GitHub 组织中安装 Windsurf
• 启用 PR 评审自动化与描述编辑
• 了解更多关于 Windsurf PR Reviews

知识库管理

• 为开发团队从 Google Drive 来源策划知识
• 上传并组织内部文档与资源
• 了解更多关于 Knowledge Base

---

建议： 尽可能使用 SSO（单点登录）与 SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准），以实现用户与群组的自动化开通、停用及管理。

	指南
支持的 IdP	Okta、Azure AD、Google（其他通过通用 SAML）
推荐做法	在 IdP 中为 Windsurf 创建专用的应用；使用基于角色的组分配，而不要使用面向全组织的 All Employees 组
常见问题	邮箱后缀不匹配、重复的用户别名

有关 Okta、Azure AD、Google 和通用 SAML 的分步配置，请参阅 SSO & SCIM 设置指南。

• 原因 – 面向规模的用户全生命周期与团队成员管理自动化
• 功能
  • 自动创建/停用用户
  • 自动创建团队（或手动管理）
  • 用户可隶属于多个团队
  • 通过 SCIM API 自定义创建团队（文档）
• 映射策略
  • 1 个 IdP 组 → 1 个 Windsurf 团队（简单、最常见）
  • 按职能与按项目的组前缀（例如 proj-foo-devs）
• 需要决策的事项
  • 需要排除哪些组（例如：实习生、外包/合同工）
  • 当 IdP 组名变更时的重命名规则
• 注意：SCIM 应作为你的单一事实来源——混用 SCIM 与手动/API 更新可能导致偏移。API 主要用于添加补充性分组。

---

• 扁平化的团队 → 需谨慎设计团队分类体系（无法依赖嵌套结构）
• 用户可以加入多个群组。群组用于查看 Analytics
• 目前，SCIM（跨域身份管理系统，一种用于自动化用户和群组供应的开放标准）不支持为用户分配角色；SCIM 仅支持将用户分配到群组

---

仪表板	使用场景
Adoption Overview	跟踪活跃用户总数与每日参与度
Team Activity	团队活动情况

Analytics 会显示由 Windsurf 编写的代码占比，帮助量化影响—在此查看你的仪表板：team analytics。

API	典型管理员场景
REST	SCIM（跨域身份管理系统）管理、Analytics

• 在 Team Settings → Service Keys 中生成服务密钥。将密钥权限限定为所需的最小权限。
• 如需更高级的报告，请参见 Analytics API Reference。
• 团队管理相关内容，请参见 SCIM API – Custom Teams。

---

• 状态页面 – 监控实时服务健康：Windsurf、Anthropic、OpenAI
• 支持渠道 – windsurf.com/support

---

1. 引导终端用户前往 Windsurf 安装指南，安装相应的扩展或桌面客户端。
2. 发布一页内部“Windsurf 入门”页面（链接到官方文档）
3. 举办现场上手培训或录制简短演示
4. 整理入门项目模板与示例提示词
5. 使用 2 周后通过问卷收集反馈，并持续迭代

---

• SSO（单点登录）与 SCIM（跨域身份管理系统，用户/群组供应开放标准）设置指南
• SCIM API——自定义 Teams
• Analytics API 参考
• RBAC 控制