成员、SSO 与 SCIM
基于 Cursor 官方 Members、SSO、SCIM 文档解释角色、邀请、domain controls、SAML、JIT、directory groups 和 spend limits。
成员治理决定 Cursor 能不能安全扩到全团队。只发账号不管生命周期,是最常见的企业上线问题。
阅读目标:读完本章,你应该能区分 Member、Admin、Unpaid Admin,并理解 SSO 与 SCIM 如何接管身份和成员生命周期。
1. 三种角色
| Role | 能力 | 是否计费 |
|---|---|---|
| Member | 使用 Cursor Pro features;看自己的 usage 和 budget | 是 |
| Admin | 成员管理、安全设置、SSO、billing、usage controls、analytics | 是 |
| Unpaid Admin | 管理团队但无 Pro features,适合 IT / Finance | 否 |
团队必须始终至少有一个 Admin 和一个 paid member。Unpaid Admin 也要求团队里至少有一个 paid user。
2. 添加成员
官方支持四类方式:
| 方式 | 风险/适用 |
|---|---|
| Email invitation | 最清晰,适合早期试点 |
| Invite link | 快但要定期 revoke |
| SSO | 登录即自动加入,适合企业上线 |
| Domain matching | verified domain 用户 self-serve 加入 |
Invite links 过期时间长。生产团队应定期撤销旧链接,或改用 SSO、domain restrictions、SCIM 控制。
3. 移除成员和数据删除
Admins 可随时移除成员。
官方边界:
- 如果成员使用过 credits,seat 会占用到当前 billing cycle 结束。
- 移除成员后,会永久删除该用户在团队中的数据,包括 Memories 和 Cloud Agent data。
- 删除整个 team 会永久删除所有关联数据。
离职回收 SOP 要包含:移除成员、处理未完成 Cloud Agents、确认 billing 影响、确认数据保留或删除要求。
4. Domain controls
在 team settings 中可配置两个 domain-based controls,要求至少一个 verified domain。
| 控制项 | 行为 |
|---|---|
| Domain matching | verified matching email domain 的用户可直接加入团队 |
| Restrict invites to verified domains | 成员只能邀请匹配 verified domain 的邮箱 |
这些设置适用于未使用 SCIM provisioning 的 Team 和 Enterprise teams。使用 SCIM 后,成员管理应交给 identity provider。
5. SSO
SAML 2.0 SSO 在 Teams 和 Enterprise plans 中可用,官方说明无额外成本。
前置条件:
- Cursor Teams 或 Enterprise plan。
- 身份提供商 admin access,例如 Okta、Azure AD、Google Workspace。
- Cursor organization admin access。
- domain verification。
配置流程:
- 用 admin account 打开 dashboard settings。
- 找到 Single Sign-On section。
- 启动 SSO Provider Connection wizard。
- 在 IdP(Identity Provider,身份提供方,如 Okta / Azure AD)中创建 SAML application。
- 配置 SAML settings。
- 设置 JIT provisioning(Just-In-Time,即时配置——用户首次登录时自动创建账号)。
- 在 Cursor 中验证用户 domain。
多域名组织要逐个 domain verification,并在 IdP 中分别配置。
6. SCIM
SCIM 2.0 provisioning 自动通过 IdP 管理 team members 和 directory groups。
官方条件:
- Enterprise plan。
- SSO 必须先配置并保持 active。
- IdP admin access。
- Cursor organization admin access。
- 需要联系 sales 获取访问。
SCIM 行为:
| 能力 | 行为 |
|---|---|
| User provisioning | 用户被分配到 SCIM app 后自动加入,取消分配后移除 |
| Directory groups | groups 和 membership 从 IdP sync,Cursor 只读显示 |
| Spend management | 可按 directory group 设置 per-user spend limits |
Group limits 优先于 team-level limits。用户在多个 groups 中时,继承最高适用 spend limit。
7. SCIM 限制和排障
常见问题:
| 问题 | 原因/处理 |
|---|---|
| Dashboard 看不到 SCIM | 先确认 SSO 已配置并可用 |
| 用户不同步 | 用户必须显式分配到 SCIM application |
| groups 不出现 | IdP 中要开启 push group provisioning |
| spend limits 不生效 | 检查用户 group membership |
| 想在 Cursor 改 SCIM 用户 | 不支持,必须在 IdP 中管理 |
| 角色映射 | 官方当前不支持 IdP role mapping,用户 provision 后都是 Members |
| 既有用户未自动移除 | SCIM 启用后不会自动清理既有用户,需要手动处理或同步后从 IdP deprovision |
用户首次登录前,已 provision 的账号可能不会出现在 Members Dashboard。
商业级验收
上线前至少确认:
- Member、Admin、Unpaid Admin 分工清楚。
- 至少两个真实 Admin,避免单点。
- invite link、domain matching、restrict invites 取舍明确。
- SSO domain verification 完成。
- IdP 中 Cursor app assignment 流程可复现。
- SCIM 前先启用 SSO,并确认 groups / spend limits。
- 离职、转岗、外包移除的数据和账单影响写进 SOP。
官方来源
- Cursor Members & Roles —— 官方角色、成员管理、domain controls、billing。
- Cursor SSO —— 官方 SAML SSO、domain verification 和排障。
- Cursor SCIM —— 官方 SCIM、directory groups、spend limits 和 FAQ。
- Cursor SSO Help —— 官方 SSO 帮助页。