Hugging Face 的 LOGO

Hub 文件

如何使用 Microsoft Entra ID (Azure AD) 配置 SCIM

Hugging Face's logo
加入 Hugging Face 社群

並獲得增強的文件體驗

開始使用

如何使用 Microsoft Entra ID (Azure AD) 配置 SCIM

本指南解釋瞭如何使用 SCIM 在 Microsoft Entra ID 和 Hugging Face 組織之間設定自動使用者和組預配。

此功能是 Enterprise Plus 計劃的一部分。

第 1 步:從 Hugging Face 獲取 SCIM 配置

  1. 導航到 Hugging Face 上你的組織設定頁面。
  2. 轉到**SSO**選項卡,然後點選**SCIM**子選項卡。
  3. 複製**SCIM 租戶 URL**。你將在 Entra ID 配置中需要它。
  4. 點選**生成訪問令牌**。將生成一個新的 SCIM 令牌。立即複製此令牌並妥善保管,因為你將無法再次檢視它。

第 2 步:在 Microsoft Entra ID 中配置預配

  1. 在 Microsoft Entra 管理中心,導航到你的 Hugging Face 企業應用程式。
  2. 在左側選單中,選擇**預配**。
  3. 點選**開始**。
  4. 將**預配模式**從“手動”更改為**自動**。

第 3 步:輸入管理員憑據

  1. 在**管理員憑據**部分,將從 Hugging Face 複製的**SCIM 租戶 URL**貼上到**租戶 URL**欄位中。
  2. 將從 Hugging Face 複製的**SCIM 令牌**貼上到**秘密令牌**欄位中。
  3. 點選**測試連線**。你應該會看到成功通知。
  4. 點選**儲存**。
Entra ID SCIM Admin Credentials

第 4 步:配置屬性對映

  1. 在**對映**部分,點選**預配 Microsoft Entra ID 使用者**。

  2. 預設的屬性對映通常需要調整以實現可靠的預配。我們建議使用以下配置。你可以刪除此處未列出的屬性

    customappsso 屬性 Microsoft Entra ID 屬性 匹配優先順序
    userName Replace([mailNickname], ".", "", "", "", "", "")
    active Switch([IsSoftDeleted], , "False", "True", "True", "False")
    emails[type eq "work"].value userPrincipalName
    name.givenName givenName
    name.familyName surname
    name.formatted Join(" ", [givenName], [surname])
    externalId objectId 1

  3. 使用者名稱需要符合以下規則。

  • 使用者名稱中只允許使用常規字元和“-”。
  • 禁止使用“--”(雙破折號)。
  • “-”不能作為名稱的開頭或結尾。
  • 不允許只包含數字的名稱。
  • 最小長度為 2,最大長度為 42。
  • 使用者名稱在你的組織中必須是唯一的。
  1. 配置完使用者對映後,返回“預配”螢幕,點選**預配 Microsoft Entra ID 組**以檢視組對映。組的預設設定通常足夠。

第 5 步:開始預配

  1. 在主“預配”螢幕上,將**預配狀態**設定為**開啟**。
  2. 在**設定**下,你可以配置**範圍**為“僅同步分配的使用者和組”或“同步所有使用者和組”。我們建議從“僅同步分配的使用者和組”開始。
  3. 儲存你的更改。

首次同步可能需要長達 40 分鐘才能開始。你可以在**預配日誌**選項卡中監控進度。

分配使用者和組進行預配

為了控制哪些使用者和組預配到你的 Hugging Face 組織,你需要將它們分配到 Microsoft Entra ID 中的 Hugging Face 企業應用程式。這在應用程式的**使用者和組**選項卡中完成。

  1. 導航到 Microsoft Entra 管理中心中的 Hugging Face 企業應用程式。
  2. 轉到**使用者和組**選項卡。
  3. 點選**新增使用者/組**。
  4. 選擇你要預配的使用者和組,然後點選**分配**。
Entra ID SCIM User and Group Assignment

如果你將**範圍**設定為“僅同步分配的使用者和組”,則只有在此處分配的使用者和組才會被預配到 Hugging Face。

Active Directory 計劃注意事項

  • 透過**免費版、Office 365 和高階版 P1/P2 計劃**,你可以將單個使用者分配到應用程式進行預配。
  • 透過**高階版 P1/P2 計劃**,你還可以分配組。這是大規模管理訪問許可權的推薦方法,因為你可以在 AD 中管理組成員身份,並且更改將自動反映在 Hugging Face 中。

第 6 步:在 Hugging Face 中驗證預配

同步完成後,返回 Hugging Face 組織設定

  • 預配的使用者將顯示在**使用者管理**選項卡中。
  • 預配的組將顯示在**SCIM**選項卡下的**SCIM 組**中。然後,這些組可以分配給資源組,以進行精細的訪問控制。

第 7 步:將 SCIM 組連結到 Hugging Face 資源組

從 Entra ID 預配組後,你可以將它們連結到 Hugging Face 資源組,以大規模管理許可權。這允許 SCIM 組的所有成員自動獲得一組特定資源的特定角色(如讀取或寫入)。

  1. 在你的 Hugging Face 組織設定中,導航到**SSO** -> **SCIM**選項卡。你將在**SCIM 組**下看到預配組的列表。
Link SCIM group to a resource group
  1. 找到你想要配置的組,然後點選該行中的**連結資源組**。
  2. 將出現一個對話方塊。點選**連結資源組**。
  3. 從下拉選單中,選擇你想要連結的**資源組**以及你想要授予 SCIM 組成員的**角色分配**。
  4. 點選**連結到 SCIM 組**並儲存對映。
< > 在 GitHub 上更新

如何在 Hub 中使用 Azure 配置 OIDC 如何使用 Okta 配置 SCIM
© . This site is unofficial and not affiliated with Hugging Face, Inc.