高级单点登录（SSO）

注意

此功能属于团队与企业计划的一部分。

高级单点登录（SSO）能力在 Enterprise Hub 中提供的标准SSO 功能之上，进一步增强了用户管理与访问控制，使你的组织成员能够在整个 Hugging Face 平台上实现更强的自动化与管控。

用户配置

高级 SSO 引入了自动化的用户配置流程，简化了用户的入职与离职管理。

即时（JIT）配置：当组织内的用户首次通过 SSO 尝试登录 Hugging Face 时，如果尚无账户，可自动为其创建账户。用户的档案信息与角色映射可根据 IdP 的属性自动填充。

跨域身份管理系统（SCIM）：为了实现更完善的用户生命周期管理，SCIM 允许你的 IdP 将用户身份信息同步到 Hugging Face。当 IdP 中发生变更时（例如姓名更新、角色调整），Hugging Face 会自动完成账户创建、更新与停用，确保用户访问权限始终与组织状态保持一致。

请查阅我们的专门指南，了解如何配置与管理 SCIM。

除了限制对组织内容的访问，高级 SSO 还能配置为将你的 IdP 设为组织所有成员在 Hugging Face 平台上使用的唯一身份验证路径。组织成员在使用任意 Hugging Face 服务时，都必须通过你的 IdP 认证，而不仅仅是在访问私有或组织仓库时。

对于需要更高控制力度、安全性与自动化水平来管理 Hugging Face 用户的组织而言，此功能尤其有价值。

注意

托管账户的重要注意事项。

为了确保组织对数据治理与访问策略的掌控，通过高级 SSO 配置并管理的用户账户（“托管用户账户”）会受到以下限制：

无法创建公共内容：托管用户账户不能在 Hugging Face 平台上创建公共内容，包括但不限于公共模型、数据集或 Spaces。此类账户创建的全部内容均限于组织内部或私有可见范围。
禁止外部协作：托管用户账户不得在 Hugging Face 组织之外协作。例如，他们无法加入其他组织，也不能为组织外的仓库做出贡献。

这些限制旨在维持企业定义的安全边界与完整性。如需在 Hugging Face 平台上创建公共内容或进行更广泛的协作，组织成员需要使用与高级 SSO 无关的个人 Hugging Face 账户。