Hub 文档

单点登录(SSO)

Hugging Face's logo
加入 Hugging Face 社区

并获得增强的文档体验

开始使用

单点登录 (SSO)

Hugging Face Hub 为您提供了为组织实施强制性单点登录 (SSO) 的能力。

我们支持 SAML 2.0 和 OpenID Connect (OIDC) 协议。

此功能是 团队和企业版 计划的一部分。如需更强大的功能,如自动化用户配置 (JIT/SCIM) 和全局 SSO 强制执行,请参阅我们的 高级 SSO 文档

工作原理

启用单点登录后,您的组织成员必须通过您的身份提供商 (IdP) 进行身份验证,才能访问组织命名空间下的任何内容。公共内容仍然对非组织成员的用户开放。

我们使用电子邮件地址来识别 SSO 用户。作为用户,请确保您的组织电子邮件地址(例如您的公司邮箱)已添加到您的用户账户

当用户登录时,他们将被提示通过类似以下的横幅完成单点登录认证流程。

单点登录仅适用于您的组织。成员可以属于 Hugging Face 上的其他组织。

我们支持角色映射资源组映射。根据您的身份提供商提供的属性,您可以动态地为组织成员分配角色,或者授予他们访问在您组织中定义的资源组的权限。

支持的身份提供商

您可以轻松地将 Hugging Face Hub 与多种身份提供商集成,例如 Okta、OneLogin 或 Azure Active Directory (Azure AD)。Hugging Face Hub 可以与任何符合 OIDC 或 SAML 规范的身份提供商合作。

如何在 Hub 中配置 OIDC/SAML 提供商

我们提供了一些指南来帮助您根据选择的 SSO 提供商进行配置,或者从中获取灵感

用户管理

会话超时

此值设置您组织成员的会话持续时间。

超过此时间后,成员将被提示使用您的身份提供商重新进行身份验证,以访问组织的资源。

默认值为 7 天。

角色映射

启用后,角色映射允许您根据身份提供商提供的数据,动态地为组织成员分配角色

此部分允许您定义从 IdP 用户配置文件数据到 Hugging Face 中分配角色的映射。

  • IdP 角色属性映射

    指向用户 IdP 配置文件数据中某个属性的 JSON 路径。

  • 角色映射

    从 IdP 属性值到 Hugging Face 组织中分配角色的映射。

您必须至少映射一个管理员角色。

如果没有匹配项,用户将被分配您组织的默认角色。默认角色可以在组织设置的`成员`部分进行自定义。

角色同步在登录时执行。

资源组映射

启用后,资源组映射允许您根据身份提供商提供的数据,动态地将成员分配到组织中的资源组

  • IdP 属性路径

    指向用户 IdP 配置文件数据中某个属性的 JSON 路径。

  • 资源组映射

    从 IdP 属性值到 Hugging Face 组织中资源组的映射。

如果没有匹配项,用户将不会被分配到任何资源组。

匹配的邮箱域名

启用后,匹配的邮箱域名仅允许组织成员在身份提供商提供的邮箱与他们在 Hugging Face 上的某个邮箱匹配时完成 SSO。

要添加一个邮箱域名,请填写“匹配的邮箱域名”字段,按键盘上的回车键,然后保存。

外部协作者

此功能使您组织内的某些用户能够无需完成之前描述的单点登录 (SSO) 流程即可访问资源。当您与不属于您组织身份提供商 (IdP) 但需要访问特定资源的外部方合作时,这会很有帮助。

要将用户添加为“外部协作者”,请访问您组织设置中的 `SSO/用户管理` 部分。添加后,这些用户将无需通过 SSO 流程。

然而,他们仍然会受到您组织的访问控制(资源组)的约束。仔细管理他们的访问权限以维护您组织的数据安全至关重要。

< > 在 GitHub 上更新