> ## Documentation Index
> Fetch the complete documentation index at: https://docs.windsurf.com/llms.txt
> Use this file to discover all available pages before exploring further.
# 管理员指南
> 用于在大规模环境中部署 Windsurf 的 Enterprise 管理员指南。配置 SSO(单点登录)、SCIM、RBAC、Analytics 以及团队管理,以支持大型组织。
# 面向 Enterprise 管理员的 Windsurf 指南
> **目的** 本指南旨在帮助企业的平台/开发者体验管理员为拥有**大型企业团队**的组织规划、落地与运营 Windsurf。内容有意保持“立场明确”的风格,并为每个主题提供指向详细“操作指南”的链接。上手时,可将其同时作为**通读指南**和**检查清单**使用。
***
## 1. 受众与前提条件
| | 详情 |
| ---------- | -------------------------------------------------------------------------------------------------- |
| **适合阅读对象** | 平台/开发者体验管理员、企业 IT、集中化工具团队 |
| **已具备的知识** | 基本的 Windsurf 术语 (team、role) 、Enterprise IdP 概念 (SAML、SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) ) 、CLI 使用 |
| **不在范围内** | 深入的安全/合规内部机制 → 请参阅 **Security & Compliance** 文档 |
***
## 2. 快速入门清单
1. 确认组织范围设置
2. 配置 **SSO (单点登录) ** (Okta、Azure AD、Google;其他请参阅 SAML 文档)
3. 启用 **SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) ** 并将 IdP 组映射到 Windsurf *Teams*
4. 定义 **角色** 与 **权限** 模型 (最小权限原则)
5. 配置 **Admin Portal**:团队视图与安全控制
6. 将 **Windsurf 客户端/扩展** 分发给终端用户
7. 查看 **Analytics 仪表板** 与 **API 访问令牌**
> 将此清单用作“第 0 天”部署跟踪器。
***
## 3. Windsurf 核心概念
* **Team** – 扁平的成员集合;不支持嵌套团队。Teams (也称为 *Groups*) 用于进行**角色分配**和**Analytics 分组**,帮助你限定权限范围,并按群组查看使用指标。
* **Roles & Permissions** – 预定义的 RBAC;管理员主要负责**团队管理**、**Windsurf 功能设置**和**Analytics**。内置角色通常已能满足需求,但创建具有 *analytics-view* 权限的自定义角色,可让团队管理员和负责人查看其所属团队的指标。 (RBAC 文档)
* **Admin Portal** – 一个集中式界面,用于用户与团队管理、额度使用、SSO (单点登录) 配置、功能开关 (Web Search、MCP (模型上下文协议,Model Context Protocol) 、Deploys) 、Analytics 仪表板/报告导出、用于 API 的服务密钥,以及角色/权限控制。
* **Agents & Workspaces** – Windsurf IDE 和 JetBrains 插件具备 Agentic 能力
### 3.1 管理门户概览
管理门户通过直观的网页界面,为所有 Windsurf Enterprise 功能提供集中管理。其核心能力包括:
#### 用户与团队管理
* 在组织范围内添加、移除并管理用户
* 为团队配置合适的角色分配
* 监控用户状态与活动
#### 身份验证与安全
* 与主流身份提供商配置 SSO (单点登录) 集成
* 设置 SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) 预配,实现用户全生命周期的自动化管理
* 管理基于角色的访问控制 (RBAC)
* 创建并管理用于 API 自动化且具有范围化权限的**服务密钥**
#### 功能开关与控制
> **重要:** 这些功能控制会影响整个组织的行为,且仅限管理员修改。为确保您可掌控启用的时间与方式,任何可能影响数据隐私的重大新功能默认以“关闭”状态发布。
Admin Portal 为您提供针对 Windsurf 各项功能的精细化控制,可按团队启用或禁用。**数据隐私说明:** 部分功能 (如下) 需要存储额外数据或遥测信息:
**模型配置**
* 配置团队在 Windsurf 中可访问的 AI 模型
* 你可以**按 AI 模型过滤** (选择具体 AI 模型,如 SWE-1.5、Claude Opus 4.6 等) ,或**按提供方过滤** (例如 OpenAI、Anthropic、Google) 。同一时间仅会生效一种过滤方式。
* 为不同用例 (Cascade、Command、Chat 等) 选择多个 AI 模型或提供方
**默认模型覆盖**
* 为团队用户设置默认的 Cascade AI 模型
* 每次用户打开 Windsurf 时都会预先选中该模型 (不仅仅是首次使用)
* 用户在会话期间仍可随时更改 AI 模型
* 只有在“模型配置”中启用的模型才能作为默认选项
**自动运行终端命令** (测试版)
* 为整个组织设置终端命令自动执行的最高级别
* 可选四个级别:**Disabled** (禁用,不进行自动执行) 、**Allowlist Only** (仅白名单中的命令) 、**Auto** (由 AI 判断为安全的命令) 和 **Turbo** (除黑名单中的命令外的所有命令)
* 用户可以在不超过你所配置的最高级别的范围内自行选择,从而在你的安全策略内保留灵活性
* [了解自动执行命令的更多信息](https://docs.windsurf.com/windsurf/terminal#auto-executed-cascade-commands)
**终端命令列表** *(测试版)*
* 为团队配置适用于所有成员的**终端命令白名单和黑名单**
* **Allowlist (白名单) **:此列表中的命令在启用自动执行时将无需用户确认即可自动运行
* **Denylist (黑名单) **:此列表中的命令在执行前始终需要用户批准
* **优先级规则**:黑名单优先级高于白名单——如果某条命令同时匹配两份列表,则会要求用户批准
* 通过 Admin Portal → Team Settings → Terminal Commands → **Manage Lists** 访问
* 这些团队级列表会与用户在 Windsurf 设置中配置的个人白/黑名单合并生效
**MCP 服务器** * (测试版) *
* 允许用户配置并使用 MCP (模型上下文协议,Model Context Protocol) 服务器
* 维护用于已批准集成的 MCP 服务器白名单
* **安全说明:** 启用前请审查运营和安全层面的影响,因为 MCP 可能会在 Windsurf 安全监控之外创建基础设施资源
* 了解更多关于 MCP (模型上下文协议,Model Context Protocol)
* Teams 与 Enterprise 的 MCP 管理控制
**应用部署** (测试版)
* 管理各团队在 Cascade 中的部署权限
* 了解更多关于应用部署
**会话共享**
* 允许团队成员将 Cascade 会话分享给他人
* 会话内容会被安全地上传到 Windsurf 服务器
* 可分享链接仅限已登录的团队成员访问
* 了解更多关于会话分享
**PR 评审 (GitHub 集成) **
* 在您团队的 GitHub 组织中安装 Windsurf
* 启用 PR 评审自动化与描述编辑
* 了解更多关于 Windsurf PR Reviews
* **我们推荐 Devin Review 作为我们全新升级的代码评审体验。** 了解更多。
**知识库管理**
* 为开发团队汇集来自 Google Drive 的知识
* 上传并组织内部文档与资源
* 了解更多关于 Knowledge Base
***
## 4. 身份与访问管理
> **建议:** 尽可能使用 **SSO (单点登录) 与 SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) **,以实现用户与群组的自动化开通、停用及管理。
### 4.1 单点登录 (SSO)
| | 指南 |
| ----------- | ---------------------------------------------------------------------- |
| **支持的 IdP** | Okta、Azure AD、Google (其他通过通用 SAML) |
| **推荐做法** | 在 IdP 中为 Windsurf 创建专用的应用;使用**基于角色**的组分配,而不要使用面向全组织的 `All Employees` 组 |
| **常见问题** | 邮箱后缀不匹配、重复的用户别名 |
*有关 Okta、Azure AD、Google 和通用 SAML 的分步配置,请参阅 SSO & SCIM 设置指南。*
### 4.2 SCIM 供应
* **原因** – 面向规模的用户全生命周期与团队成员管理自动化
* **功能**
* 自动创建/停用**用户**
* 自动创建**团队** (或手动管理)
* 用户可隶属于**多个团队**
* 通过 SCIM API 自定义创建团队 (文档)
* **映射策略**
* 1 个 IdP 组 → 1 个 Windsurf 团队 (简单、最常见)
* 按职能与按项目的组前缀 (例如 `proj-foo-devs`)
* **需要决策的事项**
* 需要*排除*哪些组 (例如:实习生、外包/合同工)
* 当 IdP 组名变更时的重命名规则
* **注意**:SCIM 应作为你的**单一事实来源**——混用 SCIM 与手动/API 更新可能导致偏移。API 主要用于添加补充性分组。
***
## 5. 大规模用户与团队管理
* 扁平化的*团队* → 需谨慎设计团队分类体系 (无法依赖嵌套结构)
* 用户可以加入**多个群组**。群组用于查看 Analytics
* 目前,SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) 不支持为用户分配角色;SCIM 仅支持将用户分配到群组
***
## 6. Analytics 与 API 访问
### 6.1 内置 Analytics
| 仪表板 | 使用场景 |
| --------------------- | -------------- |
| **Adoption Overview** | 跟踪活跃用户总数与每日参与度 |
| **Team Activity** | 团队活动情况 |
Analytics 会显示由 Windsurf 编写的代码占比,帮助量化影响—在此查看你的仪表板:team analytics。
### 6.2 API
| API | 典型管理员场景 |
| -------- | ---------------------------- |
| **REST** | SCIM (跨域身份管理系统) 管理、Analytics |
* 在 **Team Settings → Service Keys** 中生成服务密钥。将密钥权限限定为所需的最小权限。
* 如需更高级的报告,请参见 Analytics API Reference。
* 团队管理相关内容,请参见 SCIM API – Custom Teams。
***
## 7. 运维注意事项
* **状态页面** – 监控实时服务健康:Windsurf、Anthropic、OpenAI
* **支持渠道** – windsurf.com/support
***
## 8. 帮助终端用户顺利上手
1. 引导终端用户前往 Windsurf 安装指南,安装相应的扩展或桌面客户端。
2. 发布一页内部“Windsurf 入门”页面 (链接到官方文档)
3. 举办现场上手培训或录制简短演示
4. 整理入门项目模板与示例提示词
5. 使用 2 周后通过问卷收集反馈,并持续迭代
***
## 9. 其他资源
* SSO (单点登录) 与 SCIM (跨域身份管理系统,一种用于自动化用户和群组供应的开放标准) 设置指南
* SCIM API——自定义 Teams
* Analytics API 参考文档
* RBAC 权限控制