Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://docs.devin.ai/llms.txt

Use this file to discover all available pages before exploring further.

FedRAMP-Sicherheitsleitfaden für Administratoren

Dieser Leitfaden beschreibt, wie administrative Konten auf oberster Ebene in Devin Desktop sicher eingerichtet, konfiguriert, betrieben und stillgelegt werden. Er behandelt Definitionen administrativer Rollen, Verfahren für den Konto-Lifecycle sowie alle von Administratoren gesteuerten Sicherheitseinstellungen mit ihren jeweiligen Funktionen, Sicherheitsauswirkungen und empfohlenen Werten.
Dieser Leitfaden wurde für die FedRAMP-Bereitstellung von Devin Desktop verfasst, die auf AWS GovCloud läuft. Die FedRAMP-Bereitstellung verwendet ein dediziertes Enterprise-Portal und SSO-basierte Authentifizierung (OIDC oder SAML 2.0). Einige Funktionen, die in anderer Devin Desktop-Dokumentation für das SaaS-Angebot beschrieben werden, sind in der FedRAMP-Umgebung nicht verfügbar.

Definitionen administrativer Rollen

Devin Desktop verwendet ein System zur rollenbasierten Zugriffskontrolle (RBAC), um administrative Berechtigungen zu verwalten. Rollen werden im Admin Portal im Bereich Role Management in den Settings verwaltet und können einzelnen Nutzern zugewiesen werden.

Vordefinierte Rollen

Devin Desktop bietet zwei vordefinierte Rollen, die nicht gelöscht werden können.
RolleBeschreibungStandardberechtigungen
AdminVollständiger administrativer Zugriff auf Organization Settings, Nutzerverwaltung, Analysen und Sicherheitskontrollen. Dies ist die höchste Berechtigungsstufe, die ein Nutzer innerhalb eines Teams haben kann.Alle Berechtigungen aktiviert
UserStandardzugriff für Endnutzer ohne administrative Berechtigungen. Nutzer können die Coding-Funktionen von Devin Desktop verwenden, jedoch keine Organization Settings anzeigen oder ändern.Keine administrativen Berechtigungen

Benutzerdefinierte Rollen

Administratoren können benutzerdefinierte Rollen erstellen, um das Prinzip der geringstmöglichen Rechte umzusetzen. Benutzerdefinierte Rollen bestehen aus granularen Berechtigungen, die aus den unten aufgeführten Kategorien ausgewählt werden. Um eine benutzerdefinierte Rolle zu erstellen, gehen Sie zum Admin Portal und öffnen Sie den Abschnitt Role Management unter Settings.

Referenz der Berechtigungen

Die folgende Tabelle listet alle Berechtigungen auf, die in der FedRAMP-Bereitstellung für die Rollenzuweisung verfügbar sind. Jede Berechtigung steuert den Zugriff auf eine bestimmte administrative Funktion.
KategorieBerechtigungBeschreibung
TeamsTeams Read-OnlyNur-Lesezugriff auf die Teams-Verwaltungsseite
TeamsTeams UpdateMöglichkeit, Nutzerrollen auf der Teams-Seite zu aktualisieren
TeamsTeams DeleteMöglichkeit, Nutzer von der Teams-Seite zu entfernen
AnalyticsAnalytics ReadLesezugriff auf die Analytics-Seite und Dashboards
AttributionAttribution ReadLesezugriff auf die Attribution-Seite
LicenseLicense ReadLesezugriff auf die Lizenzseite
SSOSSO ReadLesezugriff auf die SSO-Konfigurationsseite
SSOSSO WriteMöglichkeit, SSO-Provider-Settings zu konfigurieren und zu ändern
Service KeyService Key ReadLesezugriff auf die Seite für Service-Schlüssel
Service KeyService Key CreateMöglichkeit, neue Service-Schlüssel für den API-Zugriff zu erstellen
Service KeyService Key UpdateMöglichkeit, bestehende Service-Schlüssel zu ändern
Service KeyService Key DeleteMöglichkeit, Service-Schlüssel zu widerrufen und zu löschen
Role ManagementRole ReadLesezugriff auf den Rollen-Tab in Settings
Role ManagementRole CreateMöglichkeit, neue Rollen zu erstellen
Role ManagementRole UpdateMöglichkeit, bestehende Rollendefinitionen zu ändern
Role ManagementRole DeleteMöglichkeit, Rollen zu löschen
External ChatExternal Chat ManagementMöglichkeit, Konfigurationen externer Chat-Modelle zu ändern
IndexingIndexing ReadLesezugriff auf die Indexing-Konfigurationsseite
IndexingIndexing CreateMöglichkeit, neue Indizes zu erstellen
IndexingIndexing UpdateMöglichkeit, bestehende indexierte Repositorys zu aktualisieren
IndexingIndexing DeleteMöglichkeit, Indizes zu löschen
IndexingIndexing ManagementMöglichkeit, die Index-Datenbank zu verwalten und zu bereinigen
Fine-TuningFine-Tuning ReadLesezugriff auf die Fine-Tuning-Seite
Fine-TuningFine-Tuning CreateMöglichkeit, Fine-Tuning-Jobs zu erstellen
Fine-TuningFine-Tuning UpdateMöglichkeit, Fine-Tuning-Jobs zu aktualisieren
Fine-TuningFine-Tuning DeleteMöglichkeit, Fine-Tuning-Jobs zu löschen
Einige dieser Berechtigungen (z. B. Attribution, License, SSO, Indexing, Fine-Tuning) sind im RBAC-System vorhanden, aber die zugehörigen Portalseiten sind in der mandantenfähigen FedRAMP-Bereitstellung nicht verfügbar. Diese Berechtigungen sind der Vollständigkeit halber in der Rollenverwaltungs-UI enthalten, gewähren in dieser Umgebung jedoch keinen Zugriff auf aktive Funktionen.

Verfahren im Lifecycle von Admin-Konten

Dieser Abschnitt beschreibt den vollständigen Lifecycle eines übergeordneten Admin-Kontos – von der erstmaligen Erstellung bis zur Stilllegung.

Kontoeinrichtung

SSO-basiertes Onboarding ist die primäre Methode für das Provisioning in der FedRAMP-Bereitstellung. Die Plattform unterstützt sowohl OIDC als auch SAML 2.0 für die Single-Sign-On-Integration. Nutzer authentifizieren sich über den konfigurierten Identity Provider. Nach der ersten Anmeldung, durch die das Konto erstellt wird, weist ein Administrator im Admin Portal die entsprechende Rolle zu. Beachten Sie, dass die SSO-Integration in der FedRAMP-Umgebung eine Abstimmung mit dem Devin Desktop FedRAMP-Team erfordert und nicht im Self-serve-Modell konfiguriert werden kann. Jedes neue Admin-Konto sollte nach dem Prinzip der geringsten Rechte konfiguriert werden. Bevorzugen Sie benutzerdefinierte Rollen, die nur die für die Aufgaben des Administrators erforderlichen Berechtigungen umfassen, anstatt die vollständige Admin-Rolle zuzuweisen, es sei denn, der Nutzer benötigt vollständigen Systemzugriff.

Anforderungen an Authentifizierung und MFA

Das FedRAMP-Bereitstellung verwendet ausschließlich Single Sign-On und unterstützt sowohl die Protokolle OIDC als auch SAML 2.0. Eine E-Mail-/Passwort-Authentifizierung ist nicht verfügbar. Alle Nutzer müssen sich über den konfigurierten Identity Provider authentifizieren. Die Multi-Faktor-Authentifizierung (MFA) wird über den Identity Provider der Organisation durchgesetzt. Devin Desktop übernimmt die im verbundenen IdP konfigurierten MFA-Richtlinien. Das bedeutet, dass alle Anforderungen an die Authentifizierungsstärke (z. B. ein zweiter Faktor, phishing-resistente Authentifikatoren oder Conditional-Access-Richtlinien) auf IdP-Ebene festgelegt werden. Organisationen sollten ihren IdP so konfigurieren, dass MFA für alle Nutzer erforderlich ist, die auf die Devin-Desktop-Anwendung zugreifen, insbesondere für Konten mit administrativen Rollen.
Devin Desktop empfiehlt nachdrücklich, MFA für alle administrativen Konten vorzuschreiben. Konfigurieren Sie Ihren Identity Provider so, dass MFA als Voraussetzung für den Zugriff auf die Devin-Desktop-Anwendung durchgesetzt wird.

Kontokonfiguration

Nachdem ein Administratorkonto erstellt wurde, sollten die folgenden Konfigurationsschritte durchgeführt werden. Rollenzuweisung bestimmt den Geltungsbereich des administrativen Zugriffs des Kontos. Weisen Sie Rollen im Admin Portal zu, indem Sie zur Registerkarte Manage Team wechseln, den Nutzer suchen, auf Edit klicken und die passende Rolle aus dem Dropdown-Menü auswählen. Änderungen werden sofort wirksam. Service-Schlüssel-Verwaltung ist erforderlich, wenn der Administrator API-Zugriff für Automatisierung oder Analysen benötigt. Service-Schlüssel werden unter Settings mit Berechtigungen im passenden Geltungsbereich für den vorgesehenen Verwendungszweck des Schlüssels erstellt. Jeder Service-Schlüssel sollte aussagekräftig benannt werden (zum Beispiel „Analytics Dashboard“) und einer Rolle mit den minimal erforderlichen Berechtigungen zugewiesen werden.

Kontobetrieb

Zu den laufenden betrieblichen Maßnahmen für Administratorkonten gehören die folgenden. Regelmäßige Zugriffsüberprüfungen sollten durchgeführt werden, um sicherzustellen, dass Administratorkonten weiterhin ihren aktuellen Zugriffsumfang benötigen. Überprüfen Sie regelmäßig die Liste der Nutzer mit der Admin-Rolle im Tab Manage Team und passen Sie Rollen an, wenn sich Zuständigkeiten ändern. Aktivitätsüberwachung ist über die integrierten Analytics-Dashboards verfügbar. Administratoren mit der Berechtigung Analytics Read können Nutzeraktivitäten, Interaktionsmetriken und die Funktionsnutzung verfolgen. Die Analytics API bietet programmatischen Zugriff auf diese Daten zur Integration mit externen Überwachungssystemen. Rotation von Service-Schlüsseln sollte regelmäßig erfolgen. Für die Rotation eines Schlüssels erstellen Sie einen neuen Service-Schlüssel mit denselben Berechtigungen, aktualisieren das nutzende System auf den neuen Schlüssel und löschen dann den alten Schlüssel.

Stilllegung von Konten

Wenn ein Administrator keinen Zugriff mehr benötigt, sollte das Konto umgehend mithilfe des folgenden Verfahrens stillgelegt werden.
1

Administrative Rolle entziehen

Navigieren Sie zum Admin Portal, öffnen Sie den Tab „Manage Team“, suchen Sie den Nutzer, klicken Sie auf „Edit“ und ändern Sie seine Rolle von „Admin“ zu „User“ (oder zu einer benutzerdefinierten Rolle ohne Administratorberechtigungen).
2

Service-Schlüssel widerrufen

Löschen Sie alle Service-Schlüssel, die vom ausscheidenden Administrator erstellt oder ausschließlich von ihm verwendet wurden. Navigieren Sie zu „Settings“, dann zu „Service Key“, und löschen Sie die relevanten Schlüssel.
3

Konto entfernen oder deaktivieren

Entfernen Sie den Nutzer im Tab „Manage Team“, indem Sie neben seinem Namen auf „Delete“ klicken. Dadurch wird das Devin Desktop-Konto des Nutzers deaktiviert und sein Lizenzplatz freigegeben.
4

Verbleibenden Zugriff überprüfen

Vergewissern Sie sich, dass das stillgelegte Konto in keiner administrativen Rolle mehr erscheint, indem Sie die nach der Rolle „Admin“ gefilterte Nutzerliste in „Manage Team“ prüfen. Bestätigen Sie, dass alle mit dem Konto verknüpften Service-Schlüssel gelöscht wurden.
Legen Sie administrative Konten sofort still, wenn ein Administrator die Rolle wechselt oder die Organisation verlässt. Eine verzögerte Stilllegung erhöht das Sicherheitsrisiko unnötig.

Referenz der Sicherheitseinstellungen

Die folgende Tabelle dokumentiert alle von Admins gesteuerten Sicherheitseinstellungen, die im Admin-Portal der FedRAMP-Bereitstellung verfügbar sind. Jeder Eintrag beschreibt die Funktion der Einstellung, ihre Auswirkungen auf die Sicherheit und die empfohlene Konfiguration für eine sicherheitsorientierte Bereitstellung.
EinstellungFunktionAuswirkungen auf die SicherheitEmpfohlener Wert
Rollenbasierte Zugriffskontrolle (RBAC)Legt fest, welche administrativen Aktionen einzelne Nutzer basierend auf ihrer zugewiesenen Rolle und ihren Berechtigungen ausführen können. Verwaltet im Abschnitt „Role Management“ in Settings.Begrenzt den Schadensradius kompromittierter Konten, indem Berechtigungen auf das beschränkt werden, was die jeweiligen Nutzer tatsächlich benötigen. Zu weit gefasste Rollenzuweisungen erhöhen die potenziellen Auswirkungen einer einzelnen Kontokompromittierung.Nach dem Prinzip der geringsten Rechte konfigurieren. Erstellen Sie benutzerdefinierte Rollen, die nur die Berechtigungen enthalten, die die jeweiligen Administratoren benötigen. Reservieren Sie die integrierte Admin-Rolle für eine kleine Zahl von Administratoren.
Berechtigungen für Service-SchlüsselBegrenzen API-Zugriffstoken auf bestimmte Berechtigungssätze und steuern so, welche Operationen automatisierte Systeme ausführen können. Verwaltet im Abschnitt „Service Key“ in Settings.Service-Schlüssel mit übermäßigen Berechtigungen können bei einem Leak missbraucht werden und unbefugten Zugriff auf die Nutzerverwaltung, Analytics oder andere Funktionen ermöglichen.Auf die minimal erforderlichen Berechtigungen beschränken. Erstellen Sie dedizierte Service-Schlüssel für jede Integration, die nur die Berechtigungen enthält, die diese Integration benötigt. Rotieren Sie Schlüssel regelmäßig.
Konfiguration des SSO-ProvidersKonfiguriert den Identity Provider, der für die gesamte Nutzer-Authentifizierung verwendet wird, und unterstützt sowohl OIDC- als auch SAML-2.0-Protokolle. Eine Authentifizierung per E-Mail/Passwort ist nicht verfügbar. Die SSO-Einrichtung erfordert eine Abstimmung mit dem Devin Desktop FedRAMP-Team. Verwaltet im Abschnitt „SSO“ in Settings.Zentralisiert die Authentifizierung über den Identity Provider der Organisation und ermöglicht so die Durchsetzung von MFA, bedingtem Zugriff und Sitzungsrichtlinien. Eine Fehlkonfiguration könnte alle Nutzer aussperren oder unbefugten Zugriff ermöglichen.Mit dem genehmigten Identity Provider Ihrer Organisation (OIDC oder SAML 2.0) konfigurieren. Überprüfen Sie die Konfiguration, indem Sie die Anmeldung mit einem Nicht-Admin-Konto testen, bevor Sie sie breit ausrollen.
Aktualisiert zuletzt: 28. Januar 2026