目的 本指南帮助企业中的平台 / 开发者体验管理员为拥有大型企业团队的组织规划、推广和运营 Windsurf。本文有意采用明确的实践导向，并按主题附有详细的“操作指南”文档链接。请将其既作为一份通读指南，也作为上手时可用的核对清单。

---

---

1. 确认组织级设置
2. 设置 SSO (Okta、Microsoft Entra ID、Google；其他请参阅 SAML 文档)
3. 启用 SCIM 并将 IdP 组映射到 Windsurf 团队
4. 定义 角色和权限模型 (最小权限)
5. 配置 Admin Portal：团队视图和安全控制
6. 向最终用户分发 Windsurf 客户端/扩展
7. 查看 分析仪表板和API 访问令牌

将此清单用作你的“Day 0”部署跟踪清单。

---

• 团队 – 由成员组成的扁平集合；不支持嵌套团队。团队 (也称为 组) 用于角色分配和分析分组，让你可以按群组划分权限，并查看各群组的用量指标。
• 角色与权限 – 预定义的 RBAC；管理员主要负责团队管理、Windsurf 功能设置和分析。内置角色通常已能满足这些需求，但如果创建一个具有 analytics-view 权限的自定义角色，团队经理和负责人就能查看自己团队的指标。 (RBAC 文档)
• Admin Portal – 用于统一管理用户和团队、额度使用情况、SSO 配置、功能开关 (Web Search、MCP、Deploys) 、分析仪表板/报表导出、用于 API 的服务密钥以及角色/权限控制的集中式 UI。
• Agents 与工作区 – Windsurf IDE 和 Jetbrains Plugins 具备 Agentic 特性

Admin Portal通过直观的 Web 界面，集中管理 Windsurf Enterprise 的所有功能。核心能力包括：

• 在你的组织中添加、删除和管理用户
• 为团队配置合适的角色分配
• 监控用户状态和活动

• 配置与主流身份提供商的 SSO 集成
• 设置 SCIM 预配，实现用户生命周期的自动化管理
• 管理基于角色的访问控制 (RBAC)
• 为 API 自动化创建和管理具有作用域限制的服务密钥

重要： 这些功能控制会影响整个组织的行为，并且只能由管理员修改。涉及数据隐私影响的重要新功能默认会以“关闭”状态发布，以确保你可以控制它们何时以及如何启用。

Admin Portal 可让你精细化控制 Windsurf 功能，并可按团队启用或禁用。数据隐私说明： 如下所示，某些功能需要存储额外数据或遥测信息： 模型配置

• 配置你的团队在 Windsurf 中可访问的 AI 模型
• 你可以按模型筛选 (选择特定模型，如 SWE-1.5、Claude Opus 4.6 等) ，也可以按提供商筛选 (例如 OpenAI、Anthropic、Google) 。同一时间仅会生效一种筛选方式。
• 可针对不同用例选择多个模型或提供商 (如 Cascade、Command、聊天等)

默认模型覆盖

• 为团队用户设置默认的 Cascade 模型
• 用户每次打开 Windsurf 时，都会默认选中此模型 (不只是首次打开时)
• 用户在会话期间仍可随时切换模型
• 只有在“模型配置”中启用的模型才能作为默认选项

终端命令自动运行 (Beta)

• 为整个组织设置终端命令的最高自动执行级别
• 提供四个级别：Disabled (不自动执行) 、Allowlist Only (仅允许白名单中的命令) 、Auto (由 AI 判断为安全的命令) 和 Turbo (除拒绝列表外的所有命令)
• 用户可以选择不高于你所配置上限的任意级别，从而在安全策略范围内保留灵活性
• 进一步了解自动执行的命令

MCP 服务器 (Beta)

• 允许用户配置和使用 Model Context Protocol (MCP) 服务器
• 为已批准的集成维护列入白名单的 MCP 服务器
• 安全说明： 启用前请先评估其运维和安全影响，因为 MCP 可能会在 Windsurf 的安全监控范围之外创建基础架构资源
• 进一步了解 Model Context Protocol (MCP)
• 团队和企业的 MCP 管理员控制

App Deploys (Beta)

• 管理你的团队在 Cascade 中的部署权限
• 进一步了解 App Deploys

对话共享

• 允许团队成员与他人共享 Cascade 对话
• 对话会被安全地上传到 Windsurf 服务器
• 可共享链接仅限已登录的团队成员访问
• 进一步了解对话共享

PR 审查 (GitHub 集成)

• 在你团队的 GitHub 组织中安装 Windsurf
• 启用 PR 审查自动化和描述编辑
• 进一步了解 Windsurf PR Reviews
• 我们推荐使用 Devin Review，作为我们全新升级的代码审查体验。 了解更多。

知识库管理

• 为开发团队整理来自 Google Drive 的知识内容
• 上传并组织内部文档和资源
• 进一步了解知识库

---

建议： 尽可能使用 SSO 和 SCIM，以实现自动化的预配、取消预配和组管理。

有关 Okta、Microsoft Entra ID、Google 和通用 SAML 的分步配置，请参阅 SSO 和 SCIM 设置指南。

• 为什么 – 大规模自动化用户生命周期和团队成员管理
• 功能
  • 自动创建 / 停用用户
  • 自动创建 团队 (或手动管理)
  • 用户可以属于多个团队
  • 通过 SCIM API 自定义创建团队 (文档)
• 映射策略
  • 1 个 IdP 组 → 1 个 Windsurf 团队 (简单且最常见)
  • 按职能划分与按项目划分的组前缀 (例如 proj-foo-devs)
• 需要决定的事项
  • 要排除哪些组 (例如实习生、合同工)
  • IdP 组名称变更时的重命名规则
• 注意：SCIM 应始终作为你的权威数据源——混用 SCIM 与手动 / API 更新可能导致数据漂移。API 主要用于添加补充组。

---

• 扁平化的团队 → 请仔细设计团队分类体系 (无法依赖嵌套结构)
• 用户可以属于多个组。组用于查看分析数据
• 目前，SCIM 不支持为用户分配角色。SCIM 仅支持将用户分配到组

---

分析页会显示 由 Windsurf 编写的代码占比，帮助量化其影响——你可以在团队分析中查看你的仪表板。

• 在 团队设置 → Service Keys 中生成服务密钥。将密钥的作用域限制为所需的最小权限。
• 如需更高级的报表和用量管理，请参阅 API Reference。
• 如需管理团队，请参阅 SCIM API – 自定义团队。

---

• 状态页面 – 监控服务实时运行状态：Windsurf、Anthropic、OpenAI
• 支持方式 – windsurf.com/support

---

1. 引导终端用户阅读 Windsurf 安装指南，安装相应的扩展或桌面客户端。
2. 发布内部“Windsurf 入门”页面 (链接到官方文档)
3. 开展现场入门培训 / 录制简短演示
4. 整理入门项目模板和示例提示
5. 在 2 周后通过问卷收集反馈，并持续优化

---

• SSO 与 SCIM 设置指南
• SCIM API – 自定义团队
• Analytics API 参考文档
• RBAC 控制项