身份與訪問管理
配置 Cursor 企業身份、SSO、SCIM、RBAC、MDM、擴充套件白名單和 Workspace Trust 的上線流程。
身份與訪問管理決定 Cursor 在企業裡能不能被可靠回收。SSO(Single Sign-On,單點登入)解決登入來源,SCIM(System for Cross-domain Identity Management,跨域身份同步標準)解決生命週期,RBAC(Role-Based Access Control,基於角色的訪問控制)解決管理許可權,MDM(Mobile Device Management,移動裝置管理)解決企業裝置上”只能進正確團隊”的約束。
核驗日期:2026-05-09。SSO、SCIM、MDM key、客戶端版本要求和團隊後臺入口可能變化;上線前按官方文件和當前 Admin Dashboard 複核。
1. 推薦順序
Cursor 官方推薦的順序很明確:
- Set up SSO:先讓企業身份成為唯一入口。
- Enable SCIM:再把使用者增刪和目錄組交給 IdP。
- Deploy MDM policies:再把企業裝置限制到指定 Team ID 和擴充套件策略。
- Assign roles:最後給少數人分配 Admin 或 Unpaid Admin。
不要反過來做。先發賬號再補治理,會出現個人賬號、手工邀請、離職未回收和裝置上混用個人團隊的問題。
2. SSO:統一登入入口
SSO 讓成員用企業 IdP 登入 Cursor,而不是再維護一套 Cursor 密碼。官方文件說明 Cursor 支援 SAML 2.0,並列出 Okta、Azure AD、Google Workspace、OneLogin 等常見 IdP。
上線時建議按這個順序驗收:
- 用測試組先完成 SAML 配置。
- 確認新成員登入會進入正確 Cursor Team。
- 啟用“必須透過 SSO 登入”,防止密碼登入繞過企業身份。
- 記錄 IdP 應用 owner、證書輪換 owner 和回復方式。
SSO 的關鍵不是”能登入”,而是把認證、MFA(Multi-Factor Authentication,多因素認證)、條件訪問、離職鎖定交給企業身份系統。
3. SCIM:自動化成員生命週期
SCIM 2.0 用來從 IdP 自動同步使用者和目錄組。官方文件說明它適用於啟用 SSO 的 Enterprise 計劃。
有 SCIM 後,成員生命週期應該這樣流轉:
- 入職:員工加入指定 IdP group 後自動獲得 Cursor 訪問。
- 轉組:IdP group 變化後,Cursor 側許可權或可見資源隨之變化。
- 離職:員工從 IdP 移除後,Cursor 訪問自動取消。
驗收時不要只測“新增使用者”。必須同時測:
- 從 IdP 移除使用者後,Cursor 訪問是否被回收。
- group membership 變化是否會同步。
- 手工新增的例外賬號是否有 owner 和過期時間。
- 自動化賬號是否應該改用 Service Accounts,而不是真人賬號。
4. RBAC:減少管理員面
Cursor Teams 有三類角色:Members、Admins、Unpaid Admins。
建議把角色分成三層:
- Members:日常開發者,只使用被授權的模型、Agent、整合和團隊規則。
- Admins:少數平臺 owner,負責 SSO、SCIM、隱私、安全、模型、成本和審計。
- Unpaid Admins:安全、IT、採購或財務人員,只做管理和審計,不作為付費開發席位。
管理員不要按職位泛發。Cursor 管理許可權會影響模型、隱私、成員、計費和安全策略,應該按 owner 責任發放。
5. MDM:限制企業裝置只能進企業團隊
MDM 是企業落地 Cursor 的關鍵防線。官方文件說明 Cursor 支援 macOS MDM,也支援 Windows 上的 Intune / Group Policy。
Allowed Team IDs
Allowed Team IDs 用來阻止企業裝置登入個人 Cursor 賬號或錯誤團隊。Cursor 的本地 setting 是:
{
"cursorAuth.allowedTeamId": "1,3,7"
}這個值是逗號分隔的 Team ID 列表。使用者登入不在列表裡的團隊時,Cursor 會強制退出並阻止繼續認證。
企業級下發時應使用 MDM policy:
AllowedTeamId = "1,3,7"MDM policy 會覆蓋使用者本地的 cursorAuth.allowedTeamId。這比要求員工自己配置可靠,因為它直接把企業裝置和企業 Team ID 繫結起來。
Allowed Extensions
擴充套件可以讀取工作區,所以不能預設全開放。Cursor 支援用 extensions.allowed 控制允許安裝的 publisher 或完整 extension ID:
{
"anysphere": true,
"github": true,
"esbenp.prettier-vscode": true,
"ms-azuretools.vscode-containers": false,
"dbaeumer.vscode-eslint": ["3.0.0"],
"github.vscode-pull-request-github": "stable"
}官方文件說明 Admin Portal 裡的 Allowed Extensions 需要 Cursor client 2.1 或更高版本;MDM AllowedExtensions 會覆蓋 Admin Portal 和使用者本地設定。
生產環境建議:
- 預設只允許基礎開發擴充套件、公司自有擴充套件和已審查的安全擴充套件。
- 高許可權擴充套件必須有 owner、用途、版本範圍和回復方案。
- 擴充套件白名單變更要進入安全審查或平臺變更流程。
6. .cursor 資料夾:共享規則前先查敏感資訊
專案開啟後,Cursor 會在儲存庫根目錄建立 .cursor 資料夾。官方文件說明它可能包含:
- 專案級 settings。
- indexing cache。
- rules 和專案上下文。
這個目錄可以提交到 Git,讓團隊共享規則和配置。但提交前必須檢查:
- rules 裡沒有金鑰、token、賬號、內部 URL、客戶資料。
- 專案規則只寫工作方式,不寫不能公開的憑據。
- 公共儲存庫、開源儲存庫和外包儲存庫要單獨審查。
可以提交 .cursor/rules,不等於整個 .cursor 都適合提交。快取、臨時檔案和敏感上下文要按專案規則排除。
7. Workspace Trust:降低陌生工作區風險
Workspace Trust 控制使用者開啟新工作區時是否需要確認信任。對應 setting 是:
{
"security.workspace.trust.enabled": true
}MDM policy 是:
WorkspaceTrustEnabled = true啟用後,未信任 workspace 會以受限模式執行,減少開啟未知目錄、外部儲存庫或下載包時的風險。
8. 商業級驗收
上線前至少完成這些檢查:
- SSO 已強制,普通密碼登入無法繞過。
- SCIM 的新增、轉組、離職回收都實測透過。
- 企業裝置只能登入指定 Cursor Team ID。
- Admin 和 Unpaid Admin 有 owner 名單,不靠預設全員管理。
- Allowed Extensions 有白名單、版本策略和變更記錄。
.cursor提交策略寫進儲存庫規則,敏感資訊掃描透過。- Workspace Trust 策略在 macOS 和 Windows 裝置上都已驗證。
- 例外賬號、外包賬號和自動化賬號都有到期時間。
9. 常見失敗點
- SSO 能登入,但沒有禁止密碼登入。
- SCIM 只測新增,沒測離職回收。
- 企業裝置仍能登入個人賬號,導致 Privacy Mode 和模型策略失控。
- 擴充套件白名單隻按 publisher 放開,沒有限制高風險擴充套件。
- 把
.cursor目錄全部提交,帶入快取、內部路徑或敏感上下文。 - 給太多人 Admin,後來沒人知道誰改了安全和計費策略。
官方來源
- https://cursor.com/docs/enterprise/identity-and-access-management.md
- https://cursor.com/docs/account/teams/sso.md
- https://cursor.com/docs/account/teams/scim.md
- https://cursor.com/docs/account/teams/members.md
- https://cursor.com/docs/enterprise/deployment-patterns.md