Hub 文档
单点登录(SSO)
并获得增强的文档体验
开始使用
单点登录 (SSO)
Hugging Face Hub 为您提供了为组织实施强制性单点登录 (SSO) 的能力。
我们支持 SAML 2.0 和 OpenID Connect (OIDC) 协议。
工作原理
启用单点登录后,您的组织成员必须通过您的身份提供商 (IdP) 进行身份验证,才能访问组织命名空间下的任何内容。公共内容仍然对非组织成员的用户开放。
我们使用电子邮件地址来识别 SSO 用户。作为用户,请确保您的组织电子邮件地址(例如您的公司邮箱)已添加到您的用户账户。
当用户登录时,他们将被提示通过类似以下的横幅完成单点登录认证流程。


单点登录仅适用于您的组织。成员可以属于 Hugging Face 上的其他组织。
我们支持角色映射和资源组映射。根据您的身份提供商提供的属性,您可以动态地为组织成员分配角色,或者授予他们访问在您组织中定义的资源组的权限。
支持的身份提供商
您可以轻松地将 Hugging Face Hub 与多种身份提供商集成,例如 Okta、OneLogin 或 Azure Active Directory (Azure AD)。Hugging Face Hub 可以与任何符合 OIDC 或 SAML 规范的身份提供商合作。
如何在 Hub 中配置 OIDC/SAML 提供商
我们提供了一些指南来帮助您根据选择的 SSO 提供商进行配置,或者从中获取灵感
用户管理


会话超时
此值设置您组织成员的会话持续时间。
超过此时间后,成员将被提示使用您的身份提供商重新进行身份验证,以访问组织的资源。
默认值为 7 天。
角色映射
启用后,角色映射允许您根据身份提供商提供的数据,动态地为组织成员分配角色。
此部分允许您定义从 IdP 用户配置文件数据到 Hugging Face 中分配角色的映射。
IdP 角色属性映射
指向用户 IdP 配置文件数据中某个属性的 JSON 路径。
角色映射
从 IdP 属性值到 Hugging Face 组织中分配角色的映射。
您必须至少映射一个管理员角色。
如果没有匹配项,用户将被分配您组织的默认角色。默认角色可以在组织设置的`成员`部分进行自定义。
角色同步在登录时执行。
资源组映射
启用后,资源组映射允许您根据身份提供商提供的数据,动态地将成员分配到组织中的资源组。


IdP 属性路径
指向用户 IdP 配置文件数据中某个属性的 JSON 路径。
资源组映射
从 IdP 属性值到 Hugging Face 组织中资源组的映射。
如果没有匹配项,用户将不会被分配到任何资源组。
匹配的邮箱域名
启用后,匹配的邮箱域名仅允许组织成员在身份提供商提供的邮箱与他们在 Hugging Face 上的某个邮箱匹配时完成 SSO。
要添加一个邮箱域名,请填写“匹配的邮箱域名”字段,按键盘上的回车键,然后保存。
外部协作者
此功能使您组织内的某些用户能够无需完成之前描述的单点登录 (SSO) 流程即可访问资源。当您与不属于您组织身份提供商 (IdP) 但需要访问特定资源的外部方合作时,这会很有帮助。
要将用户添加为“外部协作者”,请访问您组织设置中的 `SSO/用户管理` 部分。添加后,这些用户将无需通过 SSO 流程。
然而,他们仍然会受到您组织的访问控制(资源组)的约束。仔细管理他们的访问权限以维护您组织的数据安全至关重要。
< > 在 GitHub 上更新