文档 / 计划 / 单点登录

单点登录 (SSO)

Cursor 团队版支持单点登录 (SSO) 功能,让企业能够集成现有的身份验证系统,简化用户登录流程,增强安全性,并降低管理成本。本页面将详细介绍如何设置和使用 Cursor 的 SSO 功能。

注意:单点登录功能仅在 Cursor 团队高级版中提供。

单点登录概述

单点登录 (SSO) 是一种身份验证服务,允许用户使用单一的身份凭证(通常是用户名和密码)访问多个应用程序。Cursor 的 SSO 集成使企业能够:

  • 使用现有的身份提供商管理 Cursor 访问权限
  • 自动配置用户权限和角色
  • 简化用户的登录体验
  • 增强安全性和审计能力
  • 实现中央化的用户管理

支持的协议

SAML 2.0

安全断言标记语言 (SAML) 是最广泛使用的企业 SSO 标准,支持与大多数现代身份提供商的集成。

  • 完全支持 SAML 2.0 标准
  • 实时用户配置
  • 属性映射和组同步

OpenID Connect

基于 OAuth 2.0 的身份层标准,提供了灵活的身份验证和授权功能。

  • 支持授权码流程
  • 令牌刷新
  • 即时用户信息验证

OAuth 2.0

行业标准的授权协议,可用于第三方服务身份验证。

  • 授权码流程
  • 客户端凭证
  • 令牌管理

支持的身份提供商

Cursor 的 SSO 功能已经过验证,可以与以下常见的身份提供商集成:

Microsoft Azure AD

  • SAML 2.0 支持
  • Microsoft Graph API 集成
  • 条件访问策略

Okta

  • SAML 2.0 和 OIDC 支持
  • 自动用户配置
  • 高级安全策略

Google Workspace

  • SAML 2.0 和 OIDC 支持
  • Google 账户集成
  • 组织单元同步

OneLogin

  • SAML 2.0 支持
  • 自动用户配置
  • 灵活的策略配置

Ping Identity

  • SAML 2.0 和 OIDC 支持
  • 多因素身份验证
  • 企业级安全策略

自定义 SAML 提供商

  • 支持任何符合 SAML 2.0 标准的提供商
  • 手动元数据配置
  • 自定义属性映射

配置 SSO

1. Cursor 团队管理员准备工作

首先需要在 Cursor 管理控制台中获取必要的服务提供商信息:

  1. 登录 Cursor 团队管理控制台
  2. 导航至"安全" -> "单点登录"
  3. 选择"启用 SAML SSO"
  4. 获取 Cursor 的 SP 元数据信息

必要信息:

  • 实体 ID (Entity ID)
  • 断言消费服务 URL (ACS URL)
  • 登录 URL
  • 证书指纹

2. 身份提供商配置

接下来在您的身份提供商系统中添加 Cursor 应用:

  1. 登录您的身份提供商管理控制台
  2. 创建或添加新的应用集成
  3. 选择 SAML 2.0 作为集成方式
  4. 输入 Cursor 的 SP 信息
  5. 配置用户属性映射
  6. 下载身份提供商的 SAML 元数据 XML 文件

必须映射的属性:

  • 邮箱地址 (NameID 格式)
  • 姓名 (firstName, lastName)
  • 组织角色 (roles 或 groups)

3. 完成 Cursor 配置

返回 Cursor 完成配置并测试:

  1. 返回 Cursor 团队管理控制台
  2. 上传身份提供商的元数据 XML
  3. 配置用户属性映射
  4. 设置默认角色分配规则
  5. 启用 SSO 集成
  6. 测试 SSO 登录过程

提示: 在全局启用前,建议先启用测试模式,只对管理员应用 SSO,确认一切工作正常后再扩展到全部用户。

示例 SAML 配置


<!-- 身份提供商元数据示例 -->
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://idp.example.com/metadata">
    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <KeyDescriptor use="signing">
            <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                <X509Data>
                    <X509Certificate>MIIDpDCCAoygAwIBAgIGAX...
                </X509Data>
            </KeyInfo>
        </KeyDescriptor>
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.example.com/saml/sso" />
    </IDPSSODescriptor>
</EntityDescriptor>

高级设置

用户配置

  • SCIM 集成

    配置用户和组自动同步

  • 即时用户配置

    通过 SAML JIT 实现用户自动创建

安全配置

  • 强制 SSO

    要求所有用户通过 SSO 登录

  • 证书轮换

    管理 SSO 证书的过期和更新

属性映射

  • 角色映射

    将 IdP 组映射到 Cursor 角色

  • 自定义属性

    映射额外的用户属性

故障切换

  • 紧急访问

    配置管理员紧急访问路径

  • 备用身份验证

    设置 SSO 不可用时的备份登录方法

用户体验

1. 登录流程

  1. 用户访问 Cursor 登录页面
  2. 输入企业邮箱地址
  3. 系统识别企业域,自动重定向到企业 SSO 页面
  4. 用户在企业系统中完成身份验证
  5. 身份验证成功后自动返回 Cursor
  6. 无需额外密码即可登录

2. 注销流程

  1. 用户点击 Cursor 中的"注销"
  2. 从 Cursor 会话中注销
  3. 可选配置:同时从企业 SSO 系统注销

3. 会话管理

  • 基于 IdP 策略的会话超时
  • 支持无缝会话续期
  • 可配置的会话持续时间

最佳实践

安全最佳实践

  • 启用强制 SSO 以防止密码登录
  • 配置多因素认证
  • 定期轮换证书和密钥
  • 实施最小权限原则

管理最佳实践

  • 建立清晰的用户生命周期流程
  • 配置自动用户配置
  • 使用基于组的角色分配
  • 保持 IdP 和 Cursor 之间的属性同步

故障排除

  • 设置监控和告警
  • 建立故障切换机制
  • 记录并分析认证问题
  • 定期测试 SSO 集成

常见问题

启用 SSO 后,现有用户如何迁移?

启用 SSO 后,现有用户可以继续使用当前的登录方式,直到管理员启用强制 SSO。建议发送通知,鼓励用户尽快切换到 SSO 登录,并设置过渡期。

SSO 不可用时如何应急?

Cursor 支持设置应急管理员账户,这些账户可以在 SSO 不可用时使用密码登录。建议指定几位关键管理员拥有此权限,并确保他们的账户受到多因素认证保护。

如何处理外部协作者?

对于不属于组织的外部协作者,可以配置例外规则允许他们使用密码登录,或将其添加到您的身份提供商作为外部用户,使他们也能使用 SSO 登录。

是否支持多个身份提供商?

Cursor 企业版支持配置多个身份提供商,以适应复杂的企业环境。您可以基于域名或用户组设置不同的身份提供商路由规则。

下一步

了解更多关于 Cursor 企业功能的信息:

团队管理 团队角色 设置概述