> ## Documentation Index
> Fetch the complete documentation index at: https://docs.windsurf.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Einrichten von SSO & SCIM

> Konfigurieren Sie Single Sign-On (SSO) und SCIM-Provisionierung für Ihre Organisation mit Google Workspace, Microsoft Azure AD, Okta oder anderen SAML-Identitätsanbietern.

<Note>Diese Funktion ist nur für Benutzer von Teams und Enterprise verfügbar.</Note>

<Note>Diese Funktion gilt nicht für Cognition Platform-Pläne. Für Cognition Platform sollte SSO stattdessen in Ihren Cognition-Platform-Einstellungen konfiguriert und verwaltet werden.</Note>

<Tabs>
  <Tab title="Google SSO (Single Sign-On)">
    Windsurf unterstützt jetzt die Anmeldung mit SSO (Single Sign-On) über SAML. Wenn Ihre Organisation Microsoft Entra, Okta, Google Workspace oder einen anderen Identitätsanbieter verwendet, der SAML unterstützt, können Sie SSO mit Windsurf nutzen.

    <Note>Windsurf unterstützt nur SP-initiiertes SSO; IdP-initiiertes SSO wird derzeit NICHT unterstützt.</Note>

    ### IdP-Anwendung konfigurieren

    Klicken Sie in der Google Admin-Konsole (admin.google.com) links auf **Apps -> Web- und Mobil-Apps**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-google.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=9d300c86c609da6ee3fb630e91f4de3e" width="530" height="788" data-path="assets/auth/sso-google.png" />
    </Frame>

    Klicken Sie auf **App hinzufügen** und dann auf **Benutzerdefinierte SAML-App hinzufügen**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-google2.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=44375b535f269f130aea8c5bd6e736be" width="514" height="534" data-path="assets/auth/sso-google2.png" />
    </Frame>

    Geben Sie unter **App-Name** `Windsurf` ein und klicken Sie auf **Weiter**.

    Der nächste Bildschirm (Google Identity Provider Details) in der Google-Konsole enthält Daten, die Sie in die SSO-Einstellungen von Windsurf unter [https://windsurf.com/team/settings](https://windsurf.com/team/settings) kopieren müssen.

    * Kopieren Sie die **SSO URL** aus der Google-Konsole in die Windsurf-Einstellungen unter **SSO URL**
    * Kopieren Sie die **Entity ID** aus der Google-Konsole in die Windsurf-Einstellungen unter **IdP Entity ID**
    * Kopieren Sie das **Certificate** aus der Google-Konsole in die Windsurf-Einstellungen unter **X509 Certificate**
    * Klicken Sie in der Google-Konsole auf **Continue**

    Der nächste Bildschirm in der Google-Konsole erfordert, dass Sie Daten von der Codeium-Einstellungsseite kopieren

    * Kopieren Sie die **Callback URL** von der Codeium-Einstellungsseite in die Google-Konsole unter **ACS URL**
    * Kopieren Sie die **SP Entity ID** von der Codeium-Einstellungsseite in die Google-Konsole unter **SP Entity ID**
    * Ändern Sie das **Name ID**-Format in **EMAIL**
    * Klicken Sie in der Google-Konsole auf **Continue**

    Der nächste Bildschirm in der Google-Konsole erfordert einige Konfigurationen

    * Klicken Sie auf **Add Mapping**, wählen Sie **First name** und setzen Sie die **App attributes** auf **firstName**
    * Klicken Sie auf **Add Mapping**, wählen Sie **Last name** und setzen Sie die **App attributes** auf **lastName**
    * Klicken Sie auf **Finish**

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-google3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=c29f0ebf5a05dd5fae3a1127c4111d29" width="2078" height="862" data-path="assets/auth/sso-google3.png" />
    </Frame>

    Klicken Sie auf der Codeium-Einstellungsseite auf **Enable Login with SAML** und dann auf **Save**. Klicken Sie anschließend auf **Test Login**, um sicherzustellen, dass die Anmeldung wie erwartet funktioniert. Für alle Benutzer wird nun die SSO-Anmeldung erzwungen.
  </Tab>

  <Tab title="Microsoft Entra ID">
    Windsurf Enterprise unterstützt jetzt die Anmeldung per Single Sign-On (SSO) über SAML. Wenn Ihre Organisation Microsoft Entra ID (ehemals Azure AD) verwendet, können Sie SSO mit Windsurf nutzen.

    <Note>Windsurf unterstützt nur SP-initiiertes SSO; IdP-initiiertes SSO wird derzeit NICHT unterstützt.</Note>

    ## Teil 1: Enterprise-Anwendung in Microsoft Entra ID erstellen

    <Note>Alle Schritte in diesem Abschnitt werden im **Microsoft Entra ID Admin Center** durchgeführt.</Note>

    1. Klicken Sie in Microsoft Entra ID auf **Hinzufügen** und dann auf **Unternehmensanwendung**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-azure.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=70c1ef27e1870d1f95176d12cd7c9c47" width="854" height="384" data-path="assets/auth/sso-azure.png" />
    </Frame>

    2. Klicken Sie auf **Eigene Anwendung erstellen**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-azure2.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=d8d3d2b159172edef9033487d1167b52" width="680" height="202" data-path="assets/auth/sso-azure2.png" />
    </Frame>

    3. Benennen Sie Ihre Anwendung **Windsurf**, wählen Sie *Integrate any other application you don't find in the gallery*, und klicken Sie anschließend auf **Erstellen**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-azure3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=38dd3186171705ca16387dfff4a5b24b" width="968" height="342" data-path="assets/auth/sso-azure3.png" />
    </Frame>

    ## Teil 2: SAML und Benutzerattribute in Microsoft Entra ID konfigurieren

    <Note>Alle Schritte in diesem Abschnitt werden im **Microsoft Entra ID Admin Center** durchgeführt.</Note>

    4. Klicken Sie in Ihrer neuen Windsurf-Anwendung auf **Single Sign-On einrichten** und dann auf **SAML**.

    5. Klicken Sie unter **Basic SAML Configuration** auf **Bearbeiten**.

    6. **Lassen Sie diesen Entra-ID-Tab geöffnet** und öffnen Sie einen neuen Tab, um zu den **Windsurf Teams SSO-Einstellungen** unter [https://windsurf.com/team/settings](https://windsurf.com/team/settings) zu navigieren.

    7. Im SAML-Konfigurationsformular von **Microsoft Entra ID**:
       * **Identifier (Entity ID)**: Kopieren Sie den Wert **SP Entity ID** von der **Windsurf SSO-Einstellungsseite**
       * **Reply URL (Assertion Consumer Service URL)**: Kopieren Sie den Wert **Callback URL** von der **Windsurf SSO-Einstellungsseite**
       * Klicken Sie oben auf **Speichern**

    8. Konfigurieren Sie Benutzerattribute für die korrekte Namensanzeige. Klicken Sie in **Microsoft Entra ID** unter **Attributes & Claims** auf **Bearbeiten**.

    9. Erstellen Sie zwei neue Claims, indem Sie jeweils auf **Neuen Claim hinzufügen** klicken:
       * **Erster Claim**: Name = `firstName`, Quellattribut = `user.givenname`
       * **Zweiter Claim**: Name = `lastName`, Quellattribut = `user.surname`

    ## Teil 3: SSO-Einstellungen im Windsurf-Portal konfigurieren

    <Note>Schließen Sie die Konfiguration im **Windsurf-Portal** ab ([https://windsurf.com/team/settings](https://windsurf.com/team/settings)).</Note>

    10. Auf der **Windsurf SSO-Einstellungsseite**:
        * **Wählen Sie Ihre SSO-ID**: Wählen Sie einen eindeutigen Bezeichner für das Anmeldeportal Ihres Teams (dies kann später nicht geändert werden)
        * **IdP Entity ID**: Kopieren Sie den Wert aus **Microsoft Entra ID** unter **Windsurf einrichten** → **Microsoft Entra Identifier**
          <Note>Die IdP-Entity-ID-URL muss mit einem abschließenden `/` enden (z. B. `https://sts.windows.net/{tenant-id}/`). Wenn die URL keinen abschließenden Slash enthält, fügen Sie diesen manuell hinzu.</Note>
        * **SSO URL**: Kopieren Sie den **Login URL**-Wert aus **Microsoft Entra ID**
        * **X509-Zertifikat**: Laden Sie das **SAML-Zertifikat (Base64)** aus **Microsoft Entra ID** herunter, öffnen Sie die Datei und fügen Sie den Textinhalt hier ein

    11. Klicken Sie im **Windsurf-Portal** auf **Login mit SAML aktivieren** und dann auf **Speichern**.

    12. **Konfiguration testen**: Klicken Sie auf **Login testen**, um zu überprüfen, ob die SSO-Konfiguration wie erwartet funktioniert.

    <Note>**Wichtig**: Melden Sie sich nicht ab und schließen Sie die Windsurf-Einstellungsseite nicht, bis Sie den Login erfolgreich getestet haben. Wenn der Test fehlschlägt, müssen Sie Ihre Konfiguration möglicherweise beheben, bevor Sie fortfahren.</Note>
  </Tab>

  <Tab title="Okta SSO (Single Sign-On)">
    Windsurf Enterprise unterstützt jetzt die Anmeldung mit Single Sign-On (SSO) über SAML. Wenn Ihre Organisation Microsoft Entra, Okta, Google Workspaces oder einen anderen Identitätsanbieter verwendet, der SAML unterstützt, können Sie SSO mit Windsurf nutzen.

    <Note>Windsurf unterstützt nur SP-initiiertes SSO; IdP-initiiertes SSO wird derzeit NICHT unterstützt.</Note>

    ### IdP-Anwendung konfigurieren

    Klicken Sie in der linken Seitenleiste auf Applications und dann auf Create App Integration.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta1.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=e3f879d2fa7faeba003aa04e2c5d3a4a" width="1248" height="962" data-path="assets/auth/sso-okta1.png" />
    </Frame>

    Wählen Sie SAML 2.0 als Anmeldemethode.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta2.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=df39e8a15a879d8f2798a4284087c567" width="1600" height="1023" data-path="assets/auth/sso-okta2.png" />
    </Frame>

    Setzen Sie den App-Namen auf Windsurf (oder einen anderen Namen) und klicken Sie auf Next.

    Konfigurieren Sie die SAML-Einstellungen wie folgt:

    * Single sign-on URL auf [https://auth.windsurf.com/\&#95;\&#95;/auth/handler](https://auth.windsurf.com/\&#95;\&#95;/auth/handler)
    * Audience URI (SP Entity ID) auf [www.codeium.com](http://www.codeium.com)
    * NameID Format auf EmailAddress
    * Application username auf Email

    Konfigurieren Sie die Attributzuweisungen wie folgt und klicken Sie anschließend auf **Next**.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=0903972c21dd13147a1adfe8791f1679" width="1398" height="602" data-path="assets/auth/sso-okta3.png" />
    </Frame>

    Wählen Sie im Feedback-Bereich „This is an internal app that we have created“ und klicken Sie auf **Finish**.

    ### Okta als SAML-Provider registrieren

    Sie sollten zur Registerkarte Sign on unter Ihrer benutzerdefinierten SAML-Anwendung weitergeleitet werden. Übernehmen Sie nun die Informationen auf dieser Seite in die SSO-Einstellungen von Windsurf.

    * Öffnen Sie [https://windsurf.com/team/settings](https://windsurf.com/team/settings) und klicken Sie auf Configure SAML
    * Kopieren Sie den Text hinter ‘Issuer’ auf der Okta-Anwendungsseite und fügen Sie ihn unter IdP Entity ID ein
    * Kopieren Sie den Text hinter ‘Sign on URL’ auf der Okta-Anwendungsseite und fügen Sie ihn unter SSO URL ein
    * Laden Sie das Signing Certificate herunter und fügen Sie es unter X509 certificate ein
    * Aktivieren Sie Enable Login with SAML und klicken Sie dann auf Save
    * Testen Sie die Anmeldung mit der Schaltfläche Test Login. Sie sollten eine Erfolgsmeldung sehen:

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta4.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=574e091c869162bc41dc0aa36cd209fa" width="1046" height="270" data-path="assets/auth/sso-okta4.png" />
    </Frame>

    An diesem Punkt sollte alles konfiguriert sein, und Sie können nun Benutzer zur neuen Windsurf-Okta-Anwendung hinzufügen.

    Teilen Sie Ihren Benutzern die benutzerdefinierte Login-Portal-URL Ihrer Organisation mit und bitten Sie sie, sich über diesen Link anzumelden.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta5.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=f3ccced59b0cbc7d0f0b1b6b39f1ee1c" width="988" height="312" data-path="assets/auth/sso-okta5.png" />
    </Frame>

    Benutzer, die sich über SSO bei Windsurf anmelden, werden automatisch dem Team hinzugefügt.

    ### Hinweise

    Beachten Sie, dass Windsurf derzeit keine IdP-initiierten Anmeldeflüsse unterstützt.

    Wir unterstützen außerdem noch kein OIDC.

    # Fehlerbehebung

    ### Login with SAML config failed: Firebase: Error (auth/operation-not-allowed)

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta6.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=f65534799dfd8f941a68dc9fc72236d4" width="617" height="92" data-path="assets/auth/sso-okta6.png" />
    </Frame>

    Dies weist auf eine ungültige SSO-ID oder eine falsche SSO-URL hin. Stellen Sie sicher, dass diese alphanumerisch ist und keine zusätzlichen Leerzeichen oder ungültigen Zeichen enthält. Bitte gehen Sie die Schritte im Leitfaden erneut durch und vergewissern Sie sich, dass Sie die richtigen Werte verwenden.

    ### Login with SAML config failed: Firebase: SAML Response \<Issuer> mismatch. (auth/invalid-credential)

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/sso-okta7.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=446c8ad9510b7dcc8e744c7b80862c29" width="752" height="117" data-path="assets/auth/sso-okta7.png" />
    </Frame>

    Dies deutet darauf hin, dass Ihre IdP Entity ID ungültig ist. Bitte stellen Sie sicher, dass Sie sie korrekt aus dem Okta-Portal kopieren, ohne zusätzliche Zeichen oder Leerzeichen vor oder nach der Zeichenfolge.

    ### Failed to verify the signature in samlresponse

    Dies weist auf einen falschen Wert Ihres X509-Zertifikats hin. Bitte stellen Sie sicher, dass Sie den richtigen Schlüssel kopieren und dass er wie folgt formatiert ist:

    ```
    -----BEGIN CERTIFICATE-----
    value
    ------END CERTIFICATE------
    ```
  </Tab>

  <Tab title="Azure SCIM (System für domänenübergreifendes Identitätsmanagement)">
    Windsurf unterstützt SCIM (System für domänenübergreifendes Identitätsmanagement)-Synchronisation für Benutzer und Gruppen mit Microsoft Entra ID / Azure AD. Es ist nicht erforderlich, SSO (Single Sign-On) einzurichten, um die SCIM-Synchronisation zu nutzen, aber es wird dringend empfohlen.

    Sie benötigen:

    * Administratorzugriff auf Microsoft Entra ID / Azure AD
    * Administratorzugriff auf Windsurf
    * Eine vorhandene Windsurf-Anwendung in Entra ID (in der Regel aus Ihrer bestehenden SSO-Anwendung übernommen)

    <Note>
      **Erforderliche Service-Schlüssel-Berechtigungen**

      Der Service-Schlüssel, der für die SCIM-Bereitstellung verwendet wird, muss über die folgenden Berechtigungen verfügen:

      * **Team User Read** - Erforderlich, um Benutzer- und Gruppeninformationen zu lesen
      * **Team User Update** - Erforderlich, um Benutzer und Gruppen zu erstellen und zu aktualisieren
      * **Team User Delete** - Erforderlich, um Benutzer und Gruppen zu deaktivieren oder zu löschen

      Sie können eine benutzerdefinierte Rolle mit diesen Berechtigungen erstellen oder eine vorhandene Admin-Rolle verwenden, die diese umfasst.
    </Note>

    ## Schritt 1: Erstellen Sie eine Rolle mit SCIM-Berechtigungen

    Bevor Sie die SCIM (System für domänenübergreifendes Identitätsmanagement)-Bereitstellung einrichten, müssen Sie eine Rolle mit den erforderlichen Berechtigungen erstellen.

    1. Gehen Sie zu den [Windsurf Team Settings](https://windsurf.com/team/settings)
    2. Unter „Weitere Einstellungen“ klicken Sie auf **Konfigurieren** neben **Rollenverwaltung**
    3. Klicken Sie auf **Add Role** und nennen Sie sie "SCIM Provisioning"
    4. Fügen Sie die folgenden Berechtigungen hinzu:
       * Team User Read
       * Team User Update
       * Team User Delete
    5. Klicken Sie auf **Speichern**

    ## Schritt 2: Navigieren Sie zur vorhandenen Windsurf-Anwendung

    Gehen Sie zu Microsoft Entra ID in Azure, klicken Sie in der linken Seitenleiste auf Enterprise-Anwendungen und dann in der Liste auf die vorhandene Windsurf-Anwendung.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=c2425d24cadc8997c694a4b8a950169a" width="1258" height="664" data-path="assets/auth/scim-azure.png" />
    </Frame>

    ## Schritt 3: SCIM (System für domänenübergreifendes Identitätsmanagement)-Bereitstellung einrichten

    Klicken Sie auf „Erste Schritte" unter „Benutzerkonten bereitstellen" in der Mitte (Schritt 3) und klicken Sie dann erneut auf „Erste Schritte".

    <Frame>
      <img src="https://mintcdn.com/codeium/s3SYO8XdSvmrABvq/assets/auth/scim-azure2.png?fit=max&auto=format&n=s3SYO8XdSvmrABvq&q=85&s=1e9c8417da7568dc587941955f6d0ace" width="2582" height="1858" data-path="assets/auth/scim-azure2.png" />
    </Frame>

    Wählen Sie auf der Seite „Bereitstellung einrichten" die folgenden Optionen aus.

    Bereitstellungsmodus: Automatisch

    Admin-Anmeldedaten > Mandanten-URL: [https://server.codeium.com/scim/v2](https://server.codeium.com/scim/v2)

    <Frame>
      <img src="https://mintcdn.com/codeium/s3SYO8XdSvmrABvq/assets/auth/scim-azure-admin-credentials.png?fit=max&auto=format&n=s3SYO8XdSvmrABvq&q=85&s=ee0b34f8f0f131441eb9ca9e89ccbcda" width="560" height="416" data-path="assets/auth/scim-azure-admin-credentials.png" />
    </Frame>

    Lassen Sie die Azure-Bereitstellungsseite geöffnet, gehen Sie nun zum Windsurf-Webportal und klicken Sie auf das Profilsymbol in der Navigationsleiste oben auf der Seite. Wählen Sie unter Team-Einstellungen Service-Schlüssel aus und klicken Sie auf Service-Schlüssel hinzufügen. Geben Sie einen beliebigen Schlüsselnamen ein (wie 'Azure SCIM-Bereitstellung'), **wählen Sie die zuvor erstellte Rolle „SCIM-Bereitstellung"**, und klicken Sie auf Service-Schlüssel erstellen. Kopieren Sie den ausgegebenen Schlüssel, gehen Sie zurück zur Azure-Seite und fügen Sie ihn in das Feld Geheimes Token ein.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=80477c2c0d31631e38e217b22e9f42a3" width="1612" height="1013" data-path="assets/auth/scim-azure3.png" />
    </Frame>

    (Was Sie nach dem Erstellen des Schlüssels auf Windsurf sehen sollten)

    Klicken Sie auf der Bereitstellungsseite auf „Verbindung testen". Dadurch sollte die SCIM (System für domänenübergreifendes Identitätsmanagement)-Verbindung verifiziert werden.

    Klicken Sie nun über dem Bereitstellungsformular auf Speichern.

    ## Schritt 4: SCIM-Bereitstellung konfigurieren

    Nach dem Klicken auf „Speichern" sollte eine neue Option „Zuordnungen" auf der Bereitstellungsseite erschienen sein. Erweitern Sie „Zuordnungen" und klicken Sie auf „Microsoft Entra ID-Benutzer bereitstellen"

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure4.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=276791b068bd34c2bcbe5321e95abfd6" width="666" height="438" data-path="assets/auth/scim-azure4.png" />
    </Frame>

    Unter Attribut-Zuordnungen löschen Sie alle Felder unter displayName und behalten nur die Felder userName, active und displayName bei.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure5.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=ddb9440614a4bc04f7c561bbf64a2d5a" width="1260" height="190" data-path="assets/auth/scim-azure5.png" />
    </Frame>

    Für aktive Elemente klicken Sie nun auf Bearbeiten. Unter Ausdruck ändern Sie das Feld zu

    ```
    NOT([IsSoftDeleted])
    ```

    Klicken Sie dann auf OK.

    Ihre Benutzerattribute sollten wie folgt aussehen

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure6.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=2beab12c979d3272d522293080634811" width="2826" height="490" data-path="assets/auth/scim-azure6.png" />
    </Frame>

    Klicken Sie auf der Seite „Attributzuordnung" oben auf „Speichern" und navigieren Sie zurück zur Seite „Bereitstellung".

    Klicken Sie nun auf derselben Seite unter „Zuordnungen" auf „Microsoft Entra ID-Gruppen bereitstellen". Löschen Sie nun nur die externalId und klicken Sie oben auf „Speichern". Navigieren Sie zurück zur Bereitstellungsseite.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure7.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=11e89ce7d057c455ea00e0f469351b61" width="1258" height="203" data-path="assets/auth/scim-azure7.png" />
    </Frame>

    Auf der Bereitstellungsseite sollte sich unten auch ein Schalter für den Bereitstellungsstatus befinden. Stellen Sie diesen auf „Ein", um die SCIM (System für domänenübergreifendes Identitätsmanagement)-Synchronisation zu aktivieren. Nun werden alle 40 Minuten Ihre Benutzer und Gruppen für die Entra ID-Anwendung mit Windsurf synchronisiert.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/scim-azure8.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=1214073ce82bd85a1c2a57834005608f" width="686" height="306" data-path="assets/auth/scim-azure8.png" />
    </Frame>

    Klicken Sie auf Speichern, um den Vorgang abzuschließen. Sie haben nun die Benutzer- und Gruppensynchronisation für SCIM (System für domänenübergreifendes Identitätsmanagement) aktiviert. Nur Benutzer und Gruppen, die der Anwendung zugewiesen sind, werden mit Windsurf synchronisiert. Beachten Sie, dass das Entfernen von Benutzern aufgrund von Azures SCIM-Design lediglich deren Zugriff auf Windsurf deaktiviert (und verhindert, dass sie einen Lizenzplatz belegen), anstatt die Benutzer zu löschen.
  </Tab>

  <Tab title="Okta SCIM (System für domänenübergreifendes Identitätsmanagement)">
    Windsurf unterstützt die SCIM-Synchronisierung für Benutzer und Gruppen mit Okta. Es ist nicht erforderlich, SSO einzurichten, um die SCIM-Synchronisierung zu verwenden, wird jedoch dringend empfohlen.

    Sie benötigen:

    * Administratorzugriff auf Okta
    * Administratorzugriff auf Windsurf
    * Eine vorhandene Windsurf-Anwendung in Okta (in der Regel aus Ihrer bestehenden SSO-Anwendung)

    ## Schritt 1: Navigieren Sie zur bestehenden Windsurf-Anwendung

    Gehen Sie zu Okta, klicken Sie auf Applications, dann auf Applications in der linken Seitenleiste und anschließend in der Anwendungsliste auf die bestehende Windsurf-Anwendung.

    ## Schritt 2: SCIM-Provisionierung aktivieren

    Unter dem Tab General > App Settings klicken Sie oben rechts auf Edit. Aktivieren Sie das Kontrollkästchen „Enable SCIM Provisioning“ und klicken Sie anschließend auf Save. Oben sollte ein neuer Provisioning-Tab erschienen sein.

    Gehen Sie nun zu Provisioning, klicken Sie auf Edit und geben Sie in die folgenden Felder ein:

    SCIM connector base URL: [https://server.codeium.com/scim/v2](https://server.codeium.com/scim/v2)

    Unique identifier field for users: email

    Supported provisioning actions: Push New Users, Push Profile Updates, Push Groups

    Authentication Mode: HTTP Header

    Für HTTP Header - Authorization können Sie das Token generieren unter

    * [https://windsurf.com/team/settings](https://windsurf.com/team/settings) und gehen Sie zur Service Key Configuration
    * Klicken Sie auf Configure, dann Add Service Key, und geben Sie Ihrem API-Schlüssel einen Namen
    * Kopieren Sie den API-Schlüssel, gehen Sie zurück zu Okta und fügen Sie ihn bei HTTP Header - Authorization ein

    Klicken Sie nach dem Ausfüllen von Provisioning Integration auf Save.

    ## Schritt 3: Provisioning einrichten

    Unter dem Provisioning-Tab sollten links zwei neue Tabs erscheinen. Klicken Sie auf To App und Edit Provisioning to App. Aktivieren Sie die Kontrollkästchen für Create Users, Update User Attributes und Deactivate Users und klicken Sie auf Save.

    Nach diesem Schritt werden alle der Gruppe zugewiesenen Benutzer mit Windsurf synchronisiert.

    ## Schritt 4: Gruppen-Provisioning einrichten (optional)

    Um Gruppen mit Windsurf zu synchronisieren, müssen Sie angeben, welche Gruppen gepusht werden sollen. Klicken Sie unter der Anwendung oben auf den Tab Push Groups. Klicken Sie nun auf + Push Groups -> Find Groups by name. Filtern Sie nach der Gruppe, die Sie hinzufügen möchten, stellen Sie sicher, dass „Push group memberships immediately“ aktiviert ist, und klicken Sie dann auf Save. Die Gruppe wird erstellt und Gruppenmitglieder werden mit Windsurf synchronisiert. Gruppen können anschließend auf der Analytics-Seite verwendet werden, um nach Gruppen-Analytics zu filtern.
  </Tab>

  <Tab title="SCIM (System für domänenübergreifendes Identitätsmanagement) API">
    Diese Anleitung zeigt, wie Sie Gruppen in Windsurf mit der SCIM (System für domänenübergreifendes Identitätsmanagement)-API erstellen und verwalten.

    Es gibt Gründe, warum man Gruppen manuell bereitstellen möchte, anstatt über den Identity Provider (Azure/Okta). Unternehmen möchten möglicherweise Gruppen aus einer anderen internen Quelle (HR-Website, Quellcode-Management-Tool usw.) bereitstellen, auf die Windsurf keinen Zugriff hat, oder Unternehmen benötigen eine feinere Kontrolle über Gruppen, als ihr Identity Provider bietet. Gruppen können daher stattdessen über eine API per HTTP-Anfrage erstellt werden. Im Folgenden finden Sie Beispiele für die HTTP-Anfrage über CURL.

    Es gibt hier 5 Haupt-APIs: Gruppe erstellen, Gruppenmitglieder hinzufügen, Gruppenmitglieder ersetzen, Gruppe löschen und Benutzer in einer Gruppe auflisten.

    ### Gruppe erstellen

    ```
    curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
    "displayName": "<Gruppenname>",
    "schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
    }' -H "Authorization: Bearer <API-Geheimschlüssel>" -H "Content-Type: application/scim+json"
    ```

    ### Gruppenmitglieder hinzufügen

    ```
    curl -X PATCH https://server.codeium.com/scim/v2/Groups/<Gruppenname> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
    "Operations":[
    {
    "op": "add",
    "path":"members",
    "value": [{"value": "<E-Mail 1>"}, {"value": "<E-Mail 2>"}]
    }]}' -H "Authorization: Bearer <API-Geheimschlüssel>" -H "Content-Type: application/scim+json"
    ```

    ### Gruppenmitglieder ersetzen

    ```
    curl -X PATCH https://server.codeium.com/scim/v2/Groups/<Gruppenname> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
    "Operations":[
    {
    "op": "replace",
    "path":"members",
    "value": [{"value": "<E-Mail 1>"}, {"value": "<E-Mail 2>"}]
    }]}' -H "Authorization: Bearer <API-Geheimschlüssel>" -H "Content-Type: application/scim+json"
    ```

    ### Gruppe löschen

    ```
    curl -X DELETE https://server.codeium.com/scim/v2/Groups/<Gruppenname> -H "Authorization: Bearer <API-Geheimschlüssel>" -H "Content-Type: application/scim+json"
    ```

    ### Listengruppe

    ```
    curl -X GET -H "Authorization: Bearer <API-Geheimschlüssel>" "https://server.codeium.com/scim/v2/Groups"
    ```

    ### Benutzer in einer Gruppe auflisten

    ```
    curl -X GET -H "Authorization: Bearer <API-Geheimschlüssel>" "https://server.codeium.com/scim/v2/Groups/<Gruppen-ID>"
    ```

    Sie müssen zunächst mindestens die Gruppe erstellen und dann die Gruppe ersetzen, um eine Gruppe mit Mitgliedern darin zu erstellen. Außerdem müssen Sie die Gruppennamen URL-kodieren, wenn Ihr Gruppenname Sonderzeichen wie Leerzeichen enthält. Ein Gruppenname wie 'Engineering Group' muss daher in der URL als 'Engineering%20Group' angegeben werden.

    Beachten Sie, dass Benutzer zunächst in Windsurf angelegt werden müssen (über SCIM (System für domänenübergreifendes Identitätsmanagement) oder durch manuelles Erstellen des Kontos), bevor sie einer Gruppe hinzugefügt werden können.

    ## Benutzer-APIs

    Es gibt auch APIs für Benutzer. Im Folgenden sind einige der gängigen SCIM (System für domänenübergreifendes Identitätsmanagement)-APIs aufgeführt, die Windsurf unterstützt.

    Benutzer deaktivieren (Zum Aktivieren false durch true ersetzen):

    ```
    curl -X PATCH \
      https://server.codeium.com/scim/v2/Users/<Benutzer-API-Schlüssel> \
      -H 'Content-Type: application/scim+json' \
      -H 'Authorization: Bearer <API-Geheimschlüssel>' \
      -d '{
        "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
        "Operations": [
          {
            "op": "replace",
            "path": "active",
            "value": false
          }
        ]
      }'
    ```

    Benutzer erstellen:

    ```
    curl -X POST \
      https://server.codeium.com/scim/v2/Users \
      -H 'Content-Type: application/scim+json' \
      -H 'Authorization: Bearer <API-Geheimschlüssel>' \
      -d '{
        "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
        "userName": "<email>",
        "displayName": "<full name>",
        "active": true,
    }'
    ```

    Name aktualisieren:

    ```
    curl -X PATCH \
      'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<user api key>' \
        -H 'Authorization: Bearer <service key>' \
        -H 'Content-Type: application/scim+json' \
        -d '{
          "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
          "Operations": [
            {
              "op": "Replace",
              "path": "displayName",
              "value": "<new name>"
            }
          ]
       }'
    ```

    ## Erstellen eines API-Secret-Keys

    Gehen Sie zu [https://windsurf.com/team/settings](https://windsurf.com/team/settings). Klicken Sie unter Service-Schlüssel-Konfiguration auf Service-Schlüssel hinzufügen. Geben Sie einen beliebigen Schlüsselnamen ein (wie „Azure Provisioning Key") und klicken Sie auf Service-Schlüssel erstellen. Kopieren Sie den ausgegebenen Schlüssel und speichern Sie ihn. Sie können den Schlüssel nun verwenden, um die oben genannten APIs zu autorisieren.
  </Tab>

  <Tab title="Duo">
    ## Voraussetzungen

    Dieser Leitfaden setzt voraus, dass Duo konfiguriert ist und als Ihr organisatorischer IdP fungiert oder dass ein externer IdP konfiguriert ist.

    Sie benötigen Administratorzugriff auf sowohl Duo- als auch Windsurf-Konten.

    ## Duo für Windsurf konfigurieren

    1. Navigieren Sie zu Applications und fügen Sie einen Generic SAML Service Provider hinzu.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/duo-sso-1.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=7e598d7e9a9ee2c3884caa1c60ba68ff" width="2230" height="920" data-path="assets/auth/duo-sso-1.png" />
    </Frame>

    2. Navigieren Sie in den Team Settings zu SSO.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/windsurf-sso-team-settings.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=df8dde8b5b66a27532a3f42cdd803a17" width="1676" height="1444" data-path="assets/auth/windsurf-sso-team-settings.png" />
    </Frame>

    3. Beim erstmaligen Aktivieren von SAML müssen Sie Ihre SSO-ID festlegen. **Sie können diese später nicht mehr ändern.**

       Es wird empfohlen, hierfür den Namen Ihrer Organisation oder Ihres Teams zu verwenden, ausschließlich alphanumerische Zeichen.

    4. Kopieren Sie den Wert von `Entity ID` aus dem Duo-Portal und fügen Sie ihn in das Feld `IdP Entity ID` im Windsurf-Portal ein.

    5. Kopieren Sie den Wert von `Single Sign-On URL` aus dem Duo-Portal und fügen Sie ihn in das Feld `SSO URL` im Windsurf-Portal ein.

    6. Kopieren Sie den Zertifikatswert aus dem Duo-Portal und fügen Sie ihn in das Feld `X509 Certificate` im Windsurf-Portal ein.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/duo-sso-3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=a7594c846a32e958a1bacfc01c5d3ef3" width="1536" height="290" data-path="assets/auth/duo-sso-3.png" />
    </Frame>

    7. Kopieren Sie den Wert von `SP Identity ID` aus dem Windsurf-Portal und fügen Sie ihn in das Feld `Entity ID` im Duo-Portal ein.

    8. Kopieren Sie die `Callback URL (Assertion Consumer Service URL)` aus dem Windsurf-Portal und fügen Sie sie in das Feld `Assertion Consumer Service (ACS) URL` im Duo-Portal ein.

    9. Konfigurieren Sie im Duo-Portal die Attributzuweisungen wie folgt:

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/duo-sso-4.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=bb3b514b94a6b0ebba19aa492c8be4a2" width="1676" height="290" data-path="assets/auth/duo-sso-4.png" />
    </Frame>

    10. Aktivieren Sie die SAML-Anmeldung im Windsurf-Portal, damit Sie sie testen können.

    **HINWEIS: MELDEN SIE SICH AN DIESER STELLE NICHT AB UND SCHLIESSEN SIE DAS FENSTER NICHT.**

    Wenn ein Fehler auftritt oder ein Timeout erfolgt, beheben Sie Ihre Einstellungen, andernfalls müssen Sie Ihre SAML-Einstellungen im Windsurf-Portal deaktivieren.

    **Wenn Sie sich abmelden oder das Fenster schließen, ohne einen erfolgreichen Test zu bestätigen, könnten Sie ausgesperrt werden.**

    11. Sobald Ihr Test erfolgreich war, können Sie sich abmelden. Sie können sich nun per SSO anmelden, wenn Sie zu Ihrer Team-/Organisationsseite mit der in Schritt 3 konfigurierten SSO-ID navigieren.

    [https://www.codeium.com/yourssoid/login](https://www.codeium.com/yourssoid/login)
  </Tab>

  <Tab title="PingID">
    ## Voraussetzungen

    Diese Anleitung setzt voraus, dass Sie PingID konfiguriert haben und es als Ihr organisationsweiter IdP fungiert oder dass ein externer IdP konfiguriert ist.

    Sie benötigen Administratorzugriff auf sowohl PingID- als auch Windsurf-Konten.

    ## PingID für Windsurf konfigurieren

    1. Navigieren Sie zu Applications und fügen Sie Windsurf als SAML Application hinzu.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/pingid-1.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=f86f6145e0eac599178ca9d9ee66b776" width="2258" height="1068" data-path="assets/auth/pingid-1.png" />
    </Frame>

    2. Navigieren Sie zu SSO in den Team Settings.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/windsurf-sso-team-settings.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=df8dde8b5b66a27532a3f42cdd803a17" width="1676" height="1444" data-path="assets/auth/windsurf-sso-team-settings.png" />
    </Frame>

    3. Beim erstmaligen Aktivieren von SAML müssen Sie Ihre SSO-ID einrichten. **Sie können diese später nicht mehr ändern.**

    Es wird empfohlen, hierfür den Namen Ihrer Organisation oder Ihres Teams zu verwenden, ausschließlich mit alphanumerischen Zeichen.

    4. In PingID – wählen Sie die manuelle Eingabe der Konfiguration und füllen Sie die Felder mit den folgenden Werten aus:

    * ACS URLs – dies ist die `Callback URL (Assertion Consumer Service URL)` aus dem Windsurf-Portal.
    * Entity ID – dies ist die `SP Entity ID` aus dem Windsurf-Portal.

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/pingid-3.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=e33dc0b9d021309da0fcdb2ac4f08bbb" width="974" height="672" data-path="assets/auth/pingid-3.png" />
    </Frame>

    5. Kopieren Sie die `Issuer ID` aus PingID in den Wert `IdP Entity ID` im Windsurf-Portal.

    6. Kopieren Sie den Wert `Single Signon Service` aus PingID in den Wert `SSO URL` im Windsurf-Portal.

    7. Laden Sie das Signing Certificate aus PingID als X509 PEM (.crt) herunter, öffnen Sie die Datei und kopieren Sie ihren Inhalt in den Wert `X509 Certificate` im Windsurf-Portal.

    **Hinweis:** Stellen Sie sicher, dass die vollständigen BEGIN- und END-Zeilen mit 5 Bindestrichen (-) enthalten sind und keine anderen Zeichen kopiert werden!

    8. Stellen Sie in den Attributzuordnungen sicher, Folgendes zuzuordnen:

    * `saml_subject` – Email Address
    * `firstName` – Given Name
    * `lastName` – Family Name

    <Frame>
      <img src="https://mintcdn.com/codeium/DnGnXhZxl1qb2EWt/assets/auth/pingid-4.png?fit=max&auto=format&n=DnGnXhZxl1qb2EWt&q=85&s=4ff17f07bfb897072fb68e212ee2ac12" width="1398" height="780" data-path="assets/auth/pingid-4.png" />
    </Frame>

    9. Fügen Sie alle weiteren Richtlinien und Zugriffe hinzu bzw. bearbeiten Sie diese nach Bedarf entsprechend Ihrer Umgebung/Organisation.

    10. Aktivieren Sie die SAML-Anmeldung im Windsurf-Portal, damit Sie testen können.

    **HINWEIS: MELDEN SIE SICH AN DIESER STELLE NICHT AB UND SCHLIESSEN SIE NICHT DAS FENSTER.**

    Wenn ein Fehler auftritt oder ein Timeout erfolgt, beheben Sie Ihre Einstellungen, andernfalls müssen Sie Ihre SAML-Einstellungen im Windsurf-Portal deaktivieren.

    **Wenn Sie sich abmelden oder das Fenster schließen, ohne einen erfolgreichen Test zu bestätigen, könnten Sie ausgesperrt werden.**

    11. Sobald Ihr Test erfolgreich abgeschlossen wurde, können Sie sich abmelden. Sie können sich nun per SSO anmelden, wenn Sie zu Ihrer Team-/Organisationsseite mit der in Schritt 3 konfigurierten SSO-ID navigieren.

    [https://www.codeium.com/yourssoid/login](https://www.codeium.com/yourssoid/login)
  </Tab>
</Tabs>