Hugging Face 的 LOGO

Hub 文档

如何使用 Microsoft Entra ID (Azure AD) 配置 SCIM

Hugging Face's logo
加入 Hugging Face 社区

并获得增强的文档体验

开始使用

如何使用 Microsoft Entra ID (Azure AD) 配置 SCIM

本指南解释了如何使用 SCIM 在 Microsoft Entra ID 和 Hugging Face 组织之间设置自动用户和组预配。

此功能是 Enterprise Plus 计划的一部分。

第 1 步:从 Hugging Face 获取 SCIM 配置

  1. 导航到 Hugging Face 上你的组织设置页面。
  2. 转到**SSO**选项卡,然后点击**SCIM**子选项卡。
  3. 复制**SCIM 租户 URL**。你将在 Entra ID 配置中需要它。
  4. 点击**生成访问令牌**。将生成一个新的 SCIM 令牌。立即复制此令牌并妥善保管,因为你将无法再次查看它。

第 2 步:在 Microsoft Entra ID 中配置预配

  1. 在 Microsoft Entra 管理中心,导航到你的 Hugging Face 企业应用程序。
  2. 在左侧菜单中,选择**预配**。
  3. 点击**开始**。
  4. 将**预配模式**从“手动”更改为**自动**。

第 3 步:输入管理员凭据

  1. 在**管理员凭据**部分,将从 Hugging Face 复制的**SCIM 租户 URL**粘贴到**租户 URL**字段中。
  2. 将从 Hugging Face 复制的**SCIM 令牌**粘贴到**秘密令牌**字段中。
  3. 点击**测试连接**。你应该会看到成功通知。
  4. 点击**保存**。
Entra ID SCIM Admin Credentials

第 4 步:配置属性映射

  1. 在**映射**部分,点击**预配 Microsoft Entra ID 用户**。

  2. 默认的属性映射通常需要调整以实现可靠的预配。我们建议使用以下配置。你可以删除此处未列出的属性

    customappsso 属性 Microsoft Entra ID 属性 匹配优先级
    userName Replace([mailNickname], ".", "", "", "", "", "")
    active Switch([IsSoftDeleted], , "False", "True", "True", "False")
    emails[type eq "work"].value userPrincipalName
    name.givenName givenName
    name.familyName surname
    name.formatted Join(" ", [givenName], [surname])
    externalId objectId 1

  3. 用户名需要符合以下规则。

  • 用户名中只允许使用常规字符和“-”。
  • 禁止使用“--”(双破折号)。
  • “-”不能作为名称的开头或结尾。
  • 不允许只包含数字的名称。
  • 最小长度为 2,最大长度为 42。
  • 用户名在你的组织中必须是唯一的。
  1. 配置完用户映射后,返回“预配”屏幕,点击**预配 Microsoft Entra ID 组**以查看组映射。组的默认设置通常足够。

第 5 步:开始预配

  1. 在主“预配”屏幕上,将**预配状态**设置为**开启**。
  2. 在**设置**下,你可以配置**范围**为“仅同步分配的用户和组”或“同步所有用户和组”。我们建议从“仅同步分配的用户和组”开始。
  3. 保存你的更改。

首次同步可能需要长达 40 分钟才能开始。你可以在**预配日志**选项卡中监控进度。

分配用户和组进行预配

为了控制哪些用户和组预配到你的 Hugging Face 组织,你需要将它们分配到 Microsoft Entra ID 中的 Hugging Face 企业应用程序。这在应用程序的**用户和组**选项卡中完成。

  1. 导航到 Microsoft Entra 管理中心中的 Hugging Face 企业应用程序。
  2. 转到**用户和组**选项卡。
  3. 点击**添加用户/组**。
  4. 选择你要预配的用户和组,然后点击**分配**。
Entra ID SCIM User and Group Assignment

如果你将**范围**设置为“仅同步分配的用户和组”,则只有在此处分配的用户和组才会被预配到 Hugging Face。

Active Directory 计划注意事项

  • 通过**免费版、Office 365 和高级版 P1/P2 计划**,你可以将单个用户分配到应用程序进行预配。
  • 通过**高级版 P1/P2 计划**,你还可以分配组。这是大规模管理访问权限的推荐方法,因为你可以在 AD 中管理组成员身份,并且更改将自动反映在 Hugging Face 中。

第 6 步:在 Hugging Face 中验证预配

同步完成后,返回 Hugging Face 组织设置

  • 预配的用户将显示在**用户管理**选项卡中。
  • 预配的组将显示在**SCIM**选项卡下的**SCIM 组**中。然后,这些组可以分配给资源组,以进行精细的访问控制。

第 7 步:将 SCIM 组链接到 Hugging Face 资源组

从 Entra ID 预配组后,你可以将它们链接到 Hugging Face 资源组,以大规模管理权限。这允许 SCIM 组的所有成员自动获得一组特定资源的特定角色(如读取或写入)。

  1. 在你的 Hugging Face 组织设置中,导航到**SSO** -> **SCIM**选项卡。你将在**SCIM 组**下看到预配组的列表。
Link SCIM group to a resource group
  1. 找到你想要配置的组,然后点击该行中的**链接资源组**。
  2. 将出现一个对话框。点击**链接资源组**。
  3. 从下拉菜单中,选择你想要链接的**资源组**以及你想要授予 SCIM 组成员的**角色分配**。
  4. 点击**链接到 SCIM 组**并保存映射。
< > 在 GitHub 上更新

如何在 Hub 中使用 Azure 配置 OIDC 如何使用 Okta 配置 SCIM