单点登录 (SSO)

Hugging Face Hub 允许您为您的组织实施强制性单点登录 (SSO)。

我们支持 SAML 2.0 和 OpenID Connect (OIDC) 协议。

此功能是企业版 Hub 的一部分。

它是如何工作的？

启用单点登录后，您组织的成员必须通过您的身份提供商 (IdP) 进行身份验证，才能访问组织命名空间下的任何内容。公共内容仍可供非组织成员的用户访问。

我们使用电子邮件地址识别 SSO 用户。请确保您的组织电子邮件地址（例如您的公司电子邮件）已添加到您的用户帐户。

用户登录时，系统会提示他们使用类似以下内容的横幅完成单点登录身份验证流程

单点登录仅适用于您的组织。成员可能属于 Hugging Face 上的其他组织。

我们支持角色映射：您可以根据身份提供商提供的属性自动为组织成员分配角色。

您可以轻松地将 Hugging Face Hub 与各种身份提供商集成，例如 Okta、OneLogin 或 Azure Active Directory (Azure AD)。Hugging Face Hub 可以与任何符合 OIDC 或 SAML 标准的身份提供商配合使用。

我们提供了一些指南来帮助您根据您选择的身份提供商进行配置，或从中获取灵感

此值设置您组织成员的会话持续时间。

在此时间之后，系统会提示成员使用您的身份提供商重新进行身份验证，以访问组织的资源。

默认值为 7 天。

启用后，角色映射允许您根据身份提供商提供的数据动态地为组织成员分配角色。

此部分允许您定义从您的 IdP 的用户配置文件数据到在 Hugging Face 中分配的角色的映射。

您必须至少映射一个管理员角色。

如果没有匹配项，用户将被分配给组织的默认角色。默认角色可以在组织设置的“成员”部分自定义。

角色同步在登录时执行。

这使组织内的某些用户能够访问资源，而无需完成之前描述的单点登录 (SSO) 流程。当您与不在组织身份提供商 (IdP) 中的外部人员合作但需要访问特定资源时，这很有帮助。

要将用户添加为“外部协作者”，请访问组织设置中的SSO/用户管理部分。添加后，这些用户无需经过 SSO 流程。

但是，他们仍需遵守组织的访问控制（资源组）。务必谨慎管理他们的访问权限，以维护组织的数据安全。