Hub

加入 Hugging Face 社区

并获得增强的文档体验

在模型、数据集和 Spaces 上进行协作

通过加速推理获得更快的示例

切换文档主题

开始使用

单点登录 (SSO)

Hugging Face Hub 为您提供了为组织实施强制性单点登录 (SSO) 的能力。

我们支持 SAML 2.0 和 OpenID Connect (OIDC) 协议。

此功能是团队和企业版计划的一部分。如需更强大的功能，如自动化用户配置 (JIT/SCIM) 和全局 SSO 强制执行，请参阅我们的高级 SSO 文档

启用单点登录后，您的组织成员必须通过您的身份提供商 (IdP) 进行身份验证，才能访问组织命名空间下的任何内容。公共内容仍然对非组织成员的用户开放。

我们使用电子邮件地址来识别 SSO 用户。作为用户，请确保您的组织电子邮件地址（例如您的公司邮箱）已添加到您的用户账户。

当用户登录时，他们将被提示通过类似以下的横幅完成单点登录认证流程。

单点登录仅适用于您的组织。成员可以属于 Hugging Face 上的其他组织。

我们支持角色映射和资源组映射。根据您的身份提供商提供的属性，您可以动态地为组织成员分配角色，或者授予他们访问在您组织中定义的资源组的权限。

您可以轻松地将 Hugging Face Hub 与多种身份提供商集成，例如 Okta、OneLogin 或 Azure Active Directory (Azure AD)。Hugging Face Hub 可以与任何符合 OIDC 或 SAML 规范的身份提供商合作。

我们提供了一些指南来帮助您根据选择的 SSO 提供商进行配置，或者从中获取灵感

此值设置您组织成员的会话持续时间。

超过此时间后，成员将被提示使用您的身份提供商重新进行身份验证，以访问组织的资源。

默认值为 7 天。

启用后，角色映射允许您根据身份提供商提供的数据，动态地为组织成员分配角色。

此部分允许您定义从 IdP 用户配置文件数据到 Hugging Face 中分配角色的映射。

您必须至少映射一个管理员角色。

如果没有匹配项，用户将被分配您组织的默认角色。默认角色可以在组织设置的`成员`部分进行自定义。

角色同步在登录时执行。

启用后，资源组映射允许您根据身份提供商提供的数据，动态地将成员分配到组织中的资源组。

如果没有匹配项，用户将不会被分配到任何资源组。

启用后，匹配的邮箱域名仅允许组织成员在身份提供商提供的邮箱与他们在 Hugging Face 上的某个邮箱匹配时完成 SSO。

要添加一个邮箱域名，请填写“匹配的邮箱域名”字段，按键盘上的回车键，然后保存。

此功能使您组织内的某些用户能够无需完成之前描述的单点登录 (SSO) 流程即可访问资源。当您与不属于您组织身份提供商 (IdP) 但需要访问特定资源的外部方合作时，这会很有帮助。

要将用户添加为“外部协作者”，请访问您组织设置中的 `SSO/用户管理` 部分。添加后，这些用户将无需通过 SSO 流程。

然而，他们仍然会受到您组织的访问控制（资源组）的约束。仔细管理他们的访问权限以维护您组织的数据安全至关重要。