Skip to main content

如何使用 Microsoft Entra ID (Azure AD) 配置 SCIM

本指南介绍如何使用 SCIM 在 Microsoft Entra ID 和你的 Hugging Face 组织之间设置自动用户和组配置。

warning

此功能是团队与企业计划的一部分。

步骤 1:从 Hugging Face 获取 SCIM 配置

  1. 导航到 Hugging Face 上的组织设置页面。
  2. 转到SSO标签页,然后点击SCIM子标签页。
  3. 复制SCIM Tenant URL。你将需要它用于 Entra ID 配置。
  4. 点击Generate an access token。将生成新的 SCIM 令牌。立即复制此令牌并安全存储,因为你将无法再次看到它。
SCIM SettingsSCIM Settings

步骤 2:在 Microsoft Entra ID 中配置配置

  1. 在 Microsoft Entra 管理中心,导航到你的 Hugging Face Enterprise Application。
  2. 在左侧菜单中,选择Provisioning
  3. 点击Get started
  4. Provisioning Mode从"Manual"更改为Automatic

步骤 3:输入管理员凭据

  1. Admin Credentials部分,将来自 Hugging Face 的SCIM Tenant URL粘贴到Tenant URL字段中。
  2. 将来自 Hugging Face 的SCIM token粘贴到Secret Token字段中。
  3. 点击Test Connection。你应该看到成功通知。
  4. 点击Save
Entra ID SCIM Admin CredentialsEntra ID SCIM Admin Credentials

步骤 4:配置属性映射

  1. Mappings部分下,点击Provision Microsoft Entra ID Users

  2. 默认属性映射通常需要调整以实现稳健的配置。我们建议使用以下配置。你可以删除此处未列出的属性:

    customappsso AttributeMicrosoft Entra ID AttributeMatching precedence
    userNameReplace([mailNickname], ".", "", "", "", "", "")
    activeSwitch([IsSoftDeleted], , "False", "True", "True", "False")
    emails[type eq "work"].valueuserPrincipalName
    name.givenNamegivenName
    name.familyNamesurname
    name.formattedJoin(" ", [givenName], [surname])
    externalIdobjectId1

  3. Username 需要符合以下规则。

warning
  • Username 中只接受常规字符和 -
  • 禁止使用 --(双破折号)。
  • - 不能作为名称的开头或结尾。
  • 不接受仅数字的名称。
  • 最小长度为 2,最大长度为 42。
  • Username 在你的组织内必须是唯一的。
  1. 配置用户映射后,返回 Provisioning 屏幕并点击Provision Microsoft Entra ID Groups以查看组映射。组的默认设置通常就足够了。

步骤 5:开始配置

  1. 在主 Provisioning 屏幕上,将Provisioning Status设置为On
  2. Settings下,你可以将Scope配置为"Sync only assigned users and groups"或"Sync all users and groups"。我们建议从"Sync only assigned users and groups"开始。
  3. 保存你的更改。

初始同步可能需要最多 40 分钟才能开始。你可以在Provisioning logs标签页中监控进度。

为配置分配用户和组

要控制哪些用户和组被配置到你的 Hugging Face 组织,你需要将它们分配给 Microsoft Entra ID 中的 Hugging Face Enterprise Application。这在你应用的Users and groups标签页中完成。

  1. 在 Microsoft Entra 管理中心导航到你的 Hugging Face Enterprise Application。
  2. 转到Users and groups标签页。
  3. 点击Add user/group
  4. 选择要配置的用户和组,然后点击Assign
Entra ID SCIM User and Group AssignmentEntra ID SCIM User and Group Assignment

如果你已将Scope设置为"Sync only assigned users and groups",则只有你在此处分配的用户和组才会被配置到 Hugging Face。

tip

Active Directory 计划注意事项

  • 使用Free、Office 365 和 Premium P1/P2 计划,你可以将单个用户分配给应用以进行配置。
  • 使用Premium P1/P2 计划,你还可以分配组。这是大规模管理访问的推荐方法,因为你可以在 AD 中管理组成员身份,更改将自动反映在 Hugging Face 中。

步骤 6:在 Hugging Face 中验证配置

同步完成后,导航回你的 Hugging Face 组织设置:

  • 已配置的用户将出现在Users Management标签页中。
  • 已配置的组将出现在SCIM标签页下的SCIM Groups中。然后可以将这些组分配给资源组以实现细粒度访问控制。

步骤 7:将 SCIM 组链接到 Hugging Face 资源组

从 Entra ID 配置组后,你可以将它们链接到 Hugging Face 资源组以大规模管理权限。这允许 SCIM 组的所有成员自动接收资源集合的特定角色(如读取或写入)。

  1. 在你的 Hugging Face 组织设置中,导航到SSO -> SCIM标签页,你将在SCIM Groups下看到已配置组的列表。
Link SCIM group to a resource groupLink SCIM group to a resource group
  1. 找到要配置的组,然后在其行中点击Link resource groups
  2. 将出现一个对话框。点击Link a Resource Group
  3. 从下拉菜单中选择要链接的Resource Group和要授予 SCIM 组成员的Role Assignment
  4. 点击Link to SCIM group并保存映射。
Last updated on