Windsurf-Leitfaden für Enterprise-Admins
Zweck Dieser Leitfaden unterstützt Enterprise-Admins aus den Bereichen Plattform / Developer Experience dabei, Windsurf für Organisationen mit großen Enterprise-Teams zu planen, einzuführen und zu betreiben. Er ist bewusst pointiert formuliert und verweist für jedes Thema auf ausführliche How-to-Dokumentationen. Nutzen Sie ihn sowohl als Leitfaden zum Durchlesen als auch als Checkliste beim Onboarding.
1. Zielgruppe & Voraussetzungen
| Details | |
|---|---|
| Wer das lesen sollte | Plattform-/Dev-Ex-Admins, Unternehmens-IT, zentrale Tooling-Teams |
| Vorausgesetzte Kenntnisse | Grundlegende Windsurf-Begriffe (Team, Rolle), Enterprise-IdP-Konzepte (SAML, SCIM), Nutzung der CLI |
| Nicht im Geltungsbereich | Tiefgehende Sicherheits-/Compliance-Interna → siehe Security & Compliance-Dokumentation |
2. Schnellstart-Checkliste
- Prüfen Sie organisationsweite Settings
- Richten Sie SSO ein (Okta, Microsoft Entra ID, Google; siehe SAML-Dokumentation für andere)
- Aktivieren Sie SCIM & ordnen Sie IdP-Gruppen Windsurf-Teams zu
- Definieren Sie das Rollen- & Berechtigungsmodell (Prinzip der geringsten Rechte)
- Konfigurieren Sie das Admin-Portal: Team-Ansicht & Sicherheitskontrollen
- Verteilen Sie Windsurf-Clients/Erweiterungen an Endnutzer
- Sehen Sie Analytics-Dashboards & API-Zugriffstoken ein
Verwenden Sie diese Liste als Ihren Bereitstellungs-Tracker für „Day 0“.
3. Zentrale Windsurf-Konzepte
- Team – flache Sammlungen von Mitgliedern; keine verschachtelten Teams. Teams (auch Gruppen genannt) bestimmen die Rollenzuweisung und Gruppierung für Analytics und ermöglichen es Ihnen, Berechtigungen einzugrenzen und Nutzungsmetriken pro Gruppe anzuzeigen.
- Rollen & Berechtigungen – vordefiniertes RBAC; Admins sind in erster Linie für Team-Management, Windsurf-Feature-Settings und Analytics verantwortlich. Integrierte Rollen decken diese Anforderungen in der Regel ab, aber das Erstellen einer benutzerdefinierten Rolle mit der Berechtigung analytics-view ermöglicht es Teammanagern und Leads, Metriken für ihre eigenen Teams einzusehen. (RBAC-Dokumentation)
- Admin-Portal – zentrale UI für Nutzer- und Team-Management, Nutzung von Credits, SSO-Konfiguration, Feature-Toggles (Websuche, MCP, Deploys), Analytics-Dashboards/Berichtsexport, Service-Schlüssel für die API-Nutzung und Rollen-/Berechtigungsverwaltung.
- Agents & Workspaces – Windsurf IDE und JetBrains-Plugins sind agentenbasiert
3.1 Überblick über das Admin-Portal
Nutzer- und Teamverwaltung
- Nutzer in Ihrer Organisation hinzufügen, entfernen und verwalten
- Teams mit den richtigen Rollenzuweisungen konfigurieren
- Überwachung von Nutzerstatus und -aktivität
Authentifizierung & Sicherheit
- SSO-Integration mit gängigen Identity Providern konfigurieren
- SCIM-Provisioning für die automatisierte Verwaltung des Nutzerlebenszyklus einrichten
- Rollenbasierte Zugriffssteuerung (RBAC) verwalten
- Service-Schlüssel für API-Automatisierungen mit auf bestimmte Bereiche beschränkten Berechtigungen erstellen und verwalten
Feature-Toggles & Steuerungen
Wichtig: Diese Feature-Steuerungen wirken sich auf das Verhalten Ihrer gesamten Organisation aus und können nur von Administratoren geändert werden. Neue größere Features mit Auswirkungen auf den Datenschutz werden standardmäßig im Status „Aus“ veröffentlicht, damit Sie die Kontrolle darüber haben, wann und wie sie aktiviert werden.Das Admin-Portal bietet Ihnen eine granulare Steuerung von Windsurf-Features, die pro Team aktiviert oder deaktiviert werden können. Hinweis zum Datenschutz: Einige Features erfordern, wie unten angegeben, die Speicherung zusätzlicher Daten oder Telemetriedaten: Modellkonfiguration
- Konfigurieren Sie, auf welche KI-Modelle Ihre Teams in Windsurf zugreifen können
- Sie können nach Modell filtern (bestimmte Modelle wie SWE-1.5, Claude Opus 4.6 usw. auswählen) oder nach Anbieter filtern (z. B. OpenAI, Anthropic, Google). Es wird jeweils immer nur ein Filtertyp gleichzeitig angewendet.
- Wählen Sie mehrere Modelle oder Anbieter für verschiedene Anwendungsfälle aus (Cascade, Command, Chat usw.)
- Legen Sie das Standard-Cascade-Modell für Nutzer in Ihrem Team fest
- Dieses Modell ist jedes Mal vorausgewählt, wenn ein Nutzer Windsurf öffnet (nicht nur beim ersten Mal)
- Nutzer können ihr Modell während einer Sitzung jederzeit weiterhin ändern
- Nur in der Modellkonfiguration aktivierte Modelle sind als Standardoptionen verfügbar
- Legen Sie die maximale Stufe der automatischen Ausführung für Terminalbefehle in Ihrer gesamten Organisation fest
- Vier Stufen verfügbar: Disabled (keine automatische Ausführung), Allowlist Only (nur Befehle auf der Allowlist), Auto (von der KI als sicher bewertete Befehle) und Turbo (alle Befehle außer Befehlen auf der Denylist)
- Nutzer können jede Stufe bis zur von Ihnen konfigurierten Maximalstufe auswählen, sodass sie innerhalb Ihrer Sicherheitsrichtlinie flexibel bleiben
- Mehr über automatisch ausgeführte Befehle erfahren
- Aktivieren Sie für Nutzer die Konfiguration und Verwendung von Model Context Protocol (MCP)-Servern
- Pflegen Sie freigegebene MCP-Server für genehmigte Integrationen
- Sicherheitshinweis: Prüfen Sie vor der Aktivierung die betrieblichen und sicherheitsrelevanten Auswirkungen, da MCP Infrastrukturressourcen außerhalb der Sicherheitsüberwachung von Windsurf erstellen kann
- Mehr über Model Context Protocol (MCP) erfahren
- MCP-Administratorkontrollen für Teams & Unternehmen
- Verwalten Sie Berechtigungen für App-Bereitstellungen für Ihre Teams in Cascade
- Mehr über App Deploys erfahren
- Erlauben Sie Teammitgliedern, Cascade-Unterhaltungen mit anderen zu teilen
- Unterhaltungen werden sicher auf Windsurf-Server hochgeladen
- Freigabelinks sind nur für angemeldete Teammitglieder verfügbar
- Mehr über das Teilen von Unterhaltungen erfahren
- Installieren Sie Windsurf in der GitHub-Organisation Ihres Teams
- Aktivieren Sie die PR-Review-Automatisierung und die Bearbeitung von Beschreibungen
- Mehr über Windsurf PR Reviews erfahren
- Wir empfehlen Devin Review als unsere neue und verbesserte Erfahrung für Code-Reviews. Mehr erfahren.
- Kuratieren Sie Wissen aus Google-Drive-Quellen für Ihre Entwicklungsteams
- Laden Sie interne Dokumentation und Ressourcen hoch und organisieren Sie sie
- Mehr über die Wissensdatenbank erfahren
4. Identitäts- und Zugriffsmanagement
Empfehlung: Verwenden Sie nach Möglichkeit SSO plus SCIM zur automatisierten Provisionierung, Deprovisionierung und Gruppenverwaltung.
4.1 Single Sign-On (SSO)
| Empfehlung | |
|---|---|
| Unterstützte IdPs | Okta, Microsoft Entra ID, Google (weitere über generisches SAML) |
| Empfohlener Ansatz | Eine Windsurf-spezifische App im IdP erstellen; rollenbasierte Gruppenzuweisungen statt der organisationsweiten Gruppe All Employees verwenden |
| Häufige Fallstricke | Nicht übereinstimmende E-Mail-Domänen, doppelte Nutzer-Aliasse |
4.2 SCIM-Provisioning
- Warum – automatisiertes Nutzer-Lifecycle- und Teammitgliedschaftsmanagement im großen Maßstab
- Funktionen
- Nutzer automatisch erstellen / deaktivieren
- Teams automatisch erstellen (oder manuell verwalten)
- Nutzer können zu mehreren Teams gehören
- Benutzerdefinierte Teamerstellung über die SCIM-API (Dokumentation)
- Mapping-Strategien
- 1 IdP-Gruppe → 1 Windsurf-Team (einfach, am gebräuchlichsten)
- Funktionale vs. projektbasierte Gruppenpräfixe (z. B.
proj-foo-devs)
- Zu entscheiden
- Welche Gruppen ausgeschlossen werden sollen (z. B. Praktikanten, externe Auftragnehmer)
- Regeln für Umbenennungen, wenn sich IdP-Gruppennamen ändern
- Achtung: SCIM sollte Ihre Source of Truth bleiben – das Mischen von SCIM mit manuellen / API-Aktualisierungen kann zu Inkonsistenzen führen. Verwenden Sie die API vor allem zum Hinzufügen ergänzender Gruppen.
5. Nutzer- & Teamverwaltung im großen Umfang
- Flache Team-Struktur → Team-Taxonomie sorgfältig planen (keine Verschachtelung als Ausweichmöglichkeit)
- Nutzer können mehreren Gruppen angehören. Gruppen werden verwendet, um Analytics anzuzeigen
- Aktuell unterstützt SCIM keine Rollenzuweisung an Nutzer. SCIM unterstützt nur die Zuweisung von Nutzern zu Gruppen
6. Analytics & API-Zugriff
6.1 Integrierte Analysen
| Dashboard | Anwendungsfall |
|---|---|
| Nutzungsübersicht | Gesamtzahl aktiver Nutzer, tägliche Nutzung verfolgen |
| Teamaktivität | Nutzung im Team |
6.2 APIs
| API | Typische Admin-Szenarien |
|---|---|
| REST | SCIM-Verwaltung, Analysen |
- Erstellen Sie Service-Schlüssel unter Team Settings → Service Keys. Beschränken Sie die Schlüssel auf die erforderlichen Mindestberechtigungen.
- Für erweiterte Berichte und die Verwaltung der Nutzung siehe die API-Referenz.
- Für die Team-Verwaltung siehe die SCIM API – Benutzerdefinierte Teams.
7. Betriebliche Hinweise
- Statusseiten – aktuelle Dienstverfügbarkeit überwachen: Windsurf, Anthropic, OpenAI
- Supportkanäle – windsurf.com/support
8. Endnutzer erfolgreich zum Start befähigen
- Verweisen Sie Endnutzer auf den Windsurf-Installationsleitfaden, damit sie die passende Erweiterung oder den Desktop-Client installieren können.
- Veröffentlichen Sie eine interne Seite „Erste Schritte mit Windsurf“ (mit Link zur offiziellen Dokumentation)
- Führen Sie Live-Onboarding-Sitzungen durch / zeichnen Sie kurze Demos auf
- Stellen Sie Vorlagen für Einstiegsprojekte und Beispiel-Prompts zusammen
- Holen Sie nach 2 Wochen per Umfrage Feedback ein; optimieren Sie anschließend