单点登录 (SSO)

Hugging Face Hub 使您能够为您的组织实施强制性单点登录 (SSO)。

我们同时支持 SAML 2.0 和 OpenID Connect (OIDC) 协议。

此功能是企业版 Hub 的一部分。

它是如何工作的？

启用单点登录后，您组织的成员必须通过您的身份提供商 (IdP) 进行身份验证，才能访问组织命名空间下的任何内容。公共内容仍将对非组织成员的用户可用。

我们使用电子邮件地址来识别 SSO 用户。请确保您的组织电子邮件地址（例如您的公司电子邮件）已添加到您的用户帐户。

当用户登录时，他们将被提示使用类似于以下横幅完成单点登录身份验证流程

单点登录仅适用于您的组织。成员可能属于 Hugging Face 上的其他组织。

我们支持角色映射：您可以根据您的身份提供商提供的属性，自动为组织成员分配角色。

您可以轻松地将 Hugging Face Hub 与各种身份提供商集成，例如 Okta、OneLogin 或 Azure Active Directory (Azure AD)。Hugging Face Hub 可以与任何符合 OIDC 或 SAML 标准的身份提供商配合使用。

我们提供了一些指南，以帮助您根据选择的 SSO 提供商进行配置，或者从中获取灵感

此值设置组织成员会话的持续时间。

在此时间之后，将提示成员使用您的身份提供商重新进行身份验证，以访问组织的资源。

默认值为 7 天。

启用后，角色映射允许您根据您的身份提供商提供的数据，动态地为组织成员分配角色。

本节允许您定义从您的 IdP 的用户个人资料数据到 Hugging Face 中分配角色的映射。

您必须映射至少一个管理员角色。

如果没有匹配项，则将为用户分配组织的默认角色。默认角色可以在组织设置的“成员”部分中自定义。

角色同步在登录时执行。

启用后，“匹配的电子邮件域名”仅允许组织成员在身份提供商提供的电子邮件与他们在 Hugging Face 上的电子邮件之一匹配时完成 SSO。

要添加电子邮件域名，请填写“匹配的电子邮件域名”字段，单击键盘上的 Enter 键，然后保存。

这使您组织内的某些用户无需完成之前描述的单点登录 (SSO) 流程即可访问资源。当您与不属于您组织身份提供商 (IdP) 但需要访问特定资源的外部方合作时，这可能会有所帮助。

要将用户添加为“外部协作者”，请访问您组织设置中的“SSO/用户管理”部分。添加后，这些用户无需进行 SSO 流程。

但是，他们仍然会受到您组织的访问控制（资源组）的约束。至关重要的是，要仔细管理他们的访问权限，以维护您组织的数据安全。