成員、SSO 與 SCIM
基於 Cursor 官方 Members、SSO、SCIM 文件解釋角色、邀請、domain controls、SAML、JIT、directory groups 和 spend limits。
📖 本篇術語速查表
| 英文 / 縮寫 | 中文 | 一句話解釋 |
|---|---|---|
| SSO | 單點登入 | 用企業身份統一登入。 |
| SCIM | 使用者同步協議 | 自動同步成員賬號。 |
| 成員管理 | members | 增刪改成員和許可權。 |
不想讀完?把下面這段提示詞丟給 AI 幫你跑完——幫你配好團隊的成員管理、SSO 和 SCIM。
你是 Cursor 成員與身份同步顧問。
【角色】
Cursor 成員與身份同步顧問,按最小夠用、安全合規優先的原則給可落地方案。
【輸入】
- 企業的身份體系(IdP):___
- 成員規模和變動頻率:___
- 是否需要自動同步(SCIM):___
- 合規要求:___
【工作流程】
1. 給 SSO 接入步驟
2. 配 SCIM 自動同步
3. 設計成員許可權分配
4. 給驗證和審計
【輸出規範】
▌一、SSO 接入
▌二、SCIM 同步設定
▌三、成員許可權分配
▌四、驗證與審計
【硬約束】
- SSO / SCIM 設定走企業 IdP 標準
- 成員許可權最小必要
- 離職成員及時回收許可權
- 不要替我臆測情況或編造不存在的能力,資訊不全先問清
- 不確定的設定或介面一律以官方文件為準,禁止照搬過時寫法
- 給的每條結論都要落到具體可照做的步驟或示例,不停留在「建議」「考慮一下」這類沒法直接執行的空泛表述成員治理決定 Cursor 能不能安全擴到全團隊。只發賬號不管生命週期,是最常見的企業上線問題。
閱讀目標:讀完本章,你應該能區分 Member、Admin、Unpaid Admin,並理解 SSO 與 SCIM 如何接管身份和成員生命週期。
1. 三種角色
| Role | 能力 | 是否計費 |
|---|---|---|
| Member | 使用 Cursor Pro features;看自己的 usage 和 budget | 是 |
| Admin | 成員管理、安全設定、SSO、billing、usage controls、analytics | 是 |
| Unpaid Admin | 管理團隊但無 Pro features,適合 IT / Finance | 否 |
團隊必須始終至少有一個 Admin 和一個 paid member。Unpaid Admin 也要求團隊裡至少有一個 paid user。
2. 新增成員
官方支援四類方式:
| 方式 | 風險/適用 |
|---|---|
| Email invitation | 最清晰,適合早期試點 |
| Invite link | 快但要定期 revoke |
| SSO | 登入即自動加入,適合企業上線 |
| Domain matching | verified domain 使用者 self-serve 加入 |
Invite links 過期時間長。生產團隊應定期撤銷舊連結,或改用 SSO、domain restrictions、SCIM 控制。
3. 移除成員和資料刪除
Admins 可隨時移除成員。
官方邊界:
- 如果成員使用過 credits,seat 會佔用到目前 billing cycle 結束。
- 移除成員後,會永久刪除該使用者在團隊中的資料,包括 Memories 和 Cloud Agent data。
- 刪除整個 team 會永久刪除所有關聯資料。
離職回收 SOP 要包含:移除成員、處理未完成 Cloud Agents、確認 billing 影響、確認資料保留或刪除要求。
4. Domain controls
在 team settings 中可設定兩個 domain-based controls,要求至少一個 verified domain。
| 控制項 | 行為 |
|---|---|
| Domain matching | verified matching email domain 的使用者可直接加入團隊 |
| Restrict invites to verified domains | 成員只能邀請匹配 verified domain 的郵箱 |
這些設定適用於未使用 SCIM provisioning 的 Team 和 Enterprise teams。使用 SCIM 後,成員管理應交給 identity provider。
5. SSO
SAML 2.0 SSO 在 Teams 和 Enterprise plans 中可用,官方說明無額外成本。
前置條件:
- Cursor Teams 或 Enterprise plan。
- 身份提供商 admin access,例如 Okta、Azure AD、Google Workspace。
- Cursor organization admin access。
- domain verification。
設定流程:
- 用 admin account 開啟 dashboard settings。
- 找到 Single Sign-On section。
- 啟動 SSO Provider Connection wizard。
- 在 IdP(Identity Provider,身份提供方,如 Okta / Azure AD)中建立 SAML application。
- 設定 SAML settings。
- 設定 JIT provisioning(Just-In-Time,即時設定——使用者首次登入時自動建立賬號)。
- 在 Cursor 中驗證使用者 domain。
多域名組織要逐個 domain verification,並在 IdP 中分別設定。
6. SCIM
SCIM 2.0 provisioning 自動透過 IdP 管理 team members 和 directory groups。
官方條件:
- Enterprise plan。
- SSO 必須先設定並保持 active。
- IdP admin access。
- Cursor organization admin access。
- 需要聯絡 sales 獲取訪問。
SCIM 行為:
| 能力 | 行為 |
|---|---|
| User provisioning | 使用者被分配到 SCIM app 後自動加入,取消分配後移除 |
| Directory groups | groups 和 membership 從 IdP sync,Cursor 只讀顯示 |
| Spend management | 可按 directory group 設定 per-user spend limits |
Group limits 優先於 team-level limits。使用者在多個 groups 中時,繼承最高適用 spend limit。
7. SCIM 限制和排障
常見問題:
| 問題 | 原因/處理 |
|---|---|
| Dashboard 看不到 SCIM | 先確認 SSO 已設定並可用 |
| 使用者不同步 | 使用者必須顯式分配到 SCIM application |
| groups 不出現 | IdP 中要開啟 push group provisioning |
| spend limits 不生效 | 檢查使用者 group membership |
| 想在 Cursor 改 SCIM 使用者 | 不支援,必須在 IdP 中管理 |
| 角色對映 | 官方目前不支援 IdP role mapping,使用者 provision 後都是 Members |
| 既有使用者未自動移除 | SCIM 啟用後不會自動清理既有使用者,需要手動處理或同步後從 IdP deprovision |
使用者首次登入前,已 provision 的賬號可能不會出現在 Members Dashboard。
商業級驗收
上線前至少確認:
- Member、Admin、Unpaid Admin 分工清楚。
- 至少兩個真實 Admin,避免單點。
- invite link、domain matching、restrict invites 取捨明確。
- SSO domain verification 完成。
- IdP 中 Cursor app assignment 流程可復現。
- SCIM 前先啟用 SSO,並確認 groups / spend limits。
- 離職、轉崗、外包移除的資料和賬單影響寫進 SOP。
官方來源
- Cursor Members & Roles —— 官方角色、成員管理、domain controls、billing。
- Cursor SSO —— 官方 SAML SSO、domain verification 和排障。
- Cursor SCIM —— 官方 SCIM、directory groups、spend limits 和 FAQ。
- Cursor SSO Help —— 官方 SSO 幫助頁。