> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# FedRAMP-Sicherheitsleitfaden für Administratoren

> FedRAMP-Sicherheitsleitfaden für Devin Desktop zur sicheren Einrichtung, Konfiguration, dem sicheren Betrieb und der sicheren Stilllegung administrativer Konten mit höchster Berechtigungsstufe. Enthält Rollendefinitionen, Verfahren für den Konto-Lifecycle sowie eine Referenztabelle aller administrativ verwalteten Sicherheitseinstellungen.

<div id="fedramp-security-admin-guide">
  # FedRAMP-Sicherheitsleitfaden für Administratoren
</div>

Dieser Leitfaden beschreibt, wie administrative Konten auf oberster Ebene in Devin Desktop sicher eingerichtet, konfiguriert, betrieben und stillgelegt werden. Er behandelt Definitionen administrativer Rollen, Verfahren für den Konto-Lifecycle sowie alle von Administratoren gesteuerten Sicherheitseinstellungen mit ihren jeweiligen Funktionen, Sicherheitsauswirkungen und empfohlenen Werten.

<Note>Dieser Leitfaden wurde für die FedRAMP-Bereitstellung von Devin Desktop verfasst, die auf AWS GovCloud läuft. Die FedRAMP-Bereitstellung verwendet ein dediziertes Enterprise-Portal und SSO-basierte Authentifizierung (OIDC oder SAML 2.0). Einige Funktionen, die in anderer Devin Desktop-Dokumentation für das SaaS-Angebot beschrieben werden, sind in der FedRAMP-Umgebung nicht verfügbar.</Note>

***

<div id="administrative-role-definitions">
  ## Definitionen administrativer Rollen
</div>

Devin Desktop verwendet ein System zur rollenbasierten Zugriffskontrolle (RBAC), um administrative Berechtigungen zu verwalten. Rollen werden im Admin Portal im Bereich Role Management in den Settings verwaltet und können einzelnen Nutzern zugewiesen werden.

<div id="built-in-roles">
  ### Vordefinierte Rollen
</div>

Devin Desktop bietet zwei vordefinierte Rollen, die nicht gelöscht werden können.

| Rolle     | Beschreibung                                                                                                                                                                                                     | Standardberechtigungen               |
| --------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------ |
| **Admin** | Vollständiger administrativer Zugriff auf Organization Settings, Nutzerverwaltung, Analysen und Sicherheitskontrollen. Dies ist die höchste Berechtigungsstufe, die ein Nutzer innerhalb eines Teams haben kann. | Alle Berechtigungen aktiviert        |
| **User**  | Standardzugriff für Endnutzer ohne administrative Berechtigungen. Nutzer können die Coding-Funktionen von Devin Desktop verwenden, jedoch keine Organization Settings anzeigen oder ändern.                      | Keine administrativen Berechtigungen |

<div id="custom-roles">
  ### Benutzerdefinierte Rollen
</div>

Administratoren können benutzerdefinierte Rollen erstellen, um das Prinzip der geringstmöglichen Rechte umzusetzen. Benutzerdefinierte Rollen bestehen aus granularen Berechtigungen, die aus den unten aufgeführten Kategorien ausgewählt werden. Um eine benutzerdefinierte Rolle zu erstellen, gehen Sie zum Admin Portal und öffnen Sie den Abschnitt Role Management unter Settings.

<div id="permission-reference">
  ### Referenz der Berechtigungen
</div>

Die folgende Tabelle listet alle Berechtigungen auf, die in der FedRAMP-Bereitstellung für die Rollenzuweisung verfügbar sind. Jede Berechtigung steuert den Zugriff auf eine bestimmte administrative Funktion.

| Kategorie           | Berechtigung             | Beschreibung                                                         |
| ------------------- | ------------------------ | -------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Nur-Lesezugriff auf die Teams-Verwaltungsseite                       |
| **Teams**           | Teams Update             | Möglichkeit, Nutzerrollen auf der Teams-Seite zu aktualisieren       |
| **Teams**           | Teams Delete             | Möglichkeit, Nutzer von der Teams-Seite zu entfernen                 |
| **Analytics**       | Analytics Read           | Lesezugriff auf die Analytics-Seite und Dashboards                   |
| **Attribution**     | Attribution Read         | Lesezugriff auf die Attribution-Seite                                |
| **License**         | License Read             | Lesezugriff auf die Lizenzseite                                      |
| **SSO**             | SSO Read                 | Lesezugriff auf die SSO-Konfigurationsseite                          |
| **SSO**             | SSO Write                | Möglichkeit, SSO-Provider-Settings zu konfigurieren und zu ändern    |
| **Service Key**     | Service Key Read         | Lesezugriff auf die Seite für Service-Schlüssel                      |
| **Service Key**     | Service Key Create       | Möglichkeit, neue Service-Schlüssel für den API-Zugriff zu erstellen |
| **Service Key**     | Service Key Update       | Möglichkeit, bestehende Service-Schlüssel zu ändern                  |
| **Service Key**     | Service Key Delete       | Möglichkeit, Service-Schlüssel zu widerrufen und zu löschen          |
| **Role Management** | Role Read                | Lesezugriff auf den Rollen-Tab in Settings                           |
| **Role Management** | Role Create              | Möglichkeit, neue Rollen zu erstellen                                |
| **Role Management** | Role Update              | Möglichkeit, bestehende Rollendefinitionen zu ändern                 |
| **Role Management** | Role Delete              | Möglichkeit, Rollen zu löschen                                       |
| **External Chat**   | External Chat Management | Möglichkeit, Konfigurationen externer Chat-Modelle zu ändern         |
| **Indexing**        | Indexing Read            | Lesezugriff auf die Indexing-Konfigurationsseite                     |
| **Indexing**        | Indexing Create          | Möglichkeit, neue Indizes zu erstellen                               |
| **Indexing**        | Indexing Update          | Möglichkeit, bestehende indexierte Repositorys zu aktualisieren      |
| **Indexing**        | Indexing Delete          | Möglichkeit, Indizes zu löschen                                      |
| **Indexing**        | Indexing Management      | Möglichkeit, die Index-Datenbank zu verwalten und zu bereinigen      |
| **Fine-Tuning**     | Fine-Tuning Read         | Lesezugriff auf die Fine-Tuning-Seite                                |
| **Fine-Tuning**     | Fine-Tuning Create       | Möglichkeit, Fine-Tuning-Jobs zu erstellen                           |
| **Fine-Tuning**     | Fine-Tuning Update       | Möglichkeit, Fine-Tuning-Jobs zu aktualisieren                       |
| **Fine-Tuning**     | Fine-Tuning Delete       | Möglichkeit, Fine-Tuning-Jobs zu löschen                             |

<Note>Einige dieser Berechtigungen (z. B. Attribution, License, SSO, Indexing, Fine-Tuning) sind im RBAC-System vorhanden, aber die zugehörigen Portalseiten sind in der mandantenfähigen FedRAMP-Bereitstellung nicht verfügbar. Diese Berechtigungen sind der Vollständigkeit halber in der Rollenverwaltungs-UI enthalten, gewähren in dieser Umgebung jedoch keinen Zugriff auf aktive Funktionen.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Verfahren im Lifecycle von Admin-Konten
</div>

Dieser Abschnitt beschreibt den vollständigen Lifecycle eines übergeordneten Admin-Kontos – von der erstmaligen Erstellung bis zur Stilllegung.

<div id="account-setup">
  ### Kontoeinrichtung
</div>

**SSO-basiertes Onboarding** ist die primäre Methode für das Provisioning in der FedRAMP-Bereitstellung. Die Plattform unterstützt sowohl OIDC als auch SAML 2.0 für die Single-Sign-On-Integration. Nutzer authentifizieren sich über den konfigurierten Identity Provider. Nach der ersten Anmeldung, durch die das Konto erstellt wird, weist ein Administrator im Admin Portal die entsprechende Rolle zu. Beachten Sie, dass die SSO-Integration in der FedRAMP-Umgebung eine Abstimmung mit dem Devin Desktop FedRAMP-Team erfordert und nicht im Self-serve-Modell konfiguriert werden kann.

Jedes neue Admin-Konto sollte nach dem Prinzip der geringsten Rechte konfiguriert werden. Bevorzugen Sie benutzerdefinierte Rollen, die nur die für die Aufgaben des Administrators erforderlichen Berechtigungen umfassen, anstatt die vollständige Admin-Rolle zuzuweisen, es sei denn, der Nutzer benötigt vollständigen Systemzugriff.

<div id="authentication-and-mfa-requirements">
  ### Anforderungen an Authentifizierung und MFA
</div>

Das FedRAMP-Bereitstellung verwendet ausschließlich Single Sign-On und unterstützt sowohl die Protokolle OIDC als auch SAML 2.0. Eine E-Mail-/Passwort-Authentifizierung ist nicht verfügbar. Alle Nutzer müssen sich über den konfigurierten Identity Provider authentifizieren.

Die Multi-Faktor-Authentifizierung (MFA) wird über den Identity Provider der Organisation durchgesetzt. Devin Desktop übernimmt die im verbundenen IdP konfigurierten MFA-Richtlinien. Das bedeutet, dass alle Anforderungen an die Authentifizierungsstärke (z. B. ein zweiter Faktor, phishing-resistente Authentifikatoren oder Conditional-Access-Richtlinien) auf IdP-Ebene festgelegt werden. Organisationen sollten ihren IdP so konfigurieren, dass MFA für alle Nutzer erforderlich ist, die auf die Devin-Desktop-Anwendung zugreifen, insbesondere für Konten mit administrativen Rollen.

<Warning>Devin Desktop empfiehlt nachdrücklich, MFA für alle administrativen Konten vorzuschreiben. Konfigurieren Sie Ihren Identity Provider so, dass MFA als Voraussetzung für den Zugriff auf die Devin-Desktop-Anwendung durchgesetzt wird.</Warning>

<div id="account-configuration">
  ### Kontokonfiguration
</div>

Nachdem ein Administratorkonto erstellt wurde, sollten die folgenden Konfigurationsschritte durchgeführt werden.

**Rollenzuweisung** bestimmt den Geltungsbereich des administrativen Zugriffs des Kontos. Weisen Sie Rollen im Admin Portal zu, indem Sie zur Registerkarte Manage Team wechseln, den Nutzer suchen, auf Edit klicken und die passende Rolle aus dem Dropdown-Menü auswählen. Änderungen werden sofort wirksam.

**Service-Schlüssel-Verwaltung** ist erforderlich, wenn der Administrator API-Zugriff für Automatisierung oder Analysen benötigt. Service-Schlüssel werden unter Settings mit Berechtigungen im passenden Geltungsbereich für den vorgesehenen Verwendungszweck des Schlüssels erstellt. Jeder Service-Schlüssel sollte aussagekräftig benannt werden (zum Beispiel „Analytics Dashboard“) und einer Rolle mit den minimal erforderlichen Berechtigungen zugewiesen werden.

<div id="account-operation">
  ### Kontobetrieb
</div>

Zu den laufenden betrieblichen Maßnahmen für Administratorkonten gehören die folgenden.

**Regelmäßige Zugriffsüberprüfungen** sollten durchgeführt werden, um sicherzustellen, dass Administratorkonten weiterhin ihren aktuellen Zugriffsumfang benötigen. Überprüfen Sie regelmäßig die Liste der Nutzer mit der Admin-Rolle im Tab Manage Team und passen Sie Rollen an, wenn sich Zuständigkeiten ändern.

**Aktivitätsüberwachung** ist über die integrierten Analytics-Dashboards verfügbar. Administratoren mit der Berechtigung Analytics Read können Nutzeraktivitäten, Interaktionsmetriken und die Funktionsnutzung verfolgen. Die Analytics API bietet programmatischen Zugriff auf diese Daten zur Integration mit externen Überwachungssystemen.

**Rotation von Service-Schlüsseln** sollte regelmäßig erfolgen. Für die Rotation eines Schlüssels erstellen Sie einen neuen Service-Schlüssel mit denselben Berechtigungen, aktualisieren das nutzende System auf den neuen Schlüssel und löschen dann den alten Schlüssel.

<div id="account-decommissioning">
  ### Stilllegung von Konten
</div>

Wenn ein Administrator keinen Zugriff mehr benötigt, sollte das Konto umgehend mithilfe des folgenden Verfahrens stillgelegt werden.

<Steps>
  <Step title="Administrative Rolle entziehen">
    Navigieren Sie zum Admin Portal, öffnen Sie den Tab „Manage Team“, suchen Sie den Nutzer, klicken Sie auf „Edit“ und ändern Sie seine Rolle von „Admin“ zu „User“ (oder zu einer benutzerdefinierten Rolle ohne Administratorberechtigungen).
  </Step>

  <Step title="Service-Schlüssel widerrufen">
    Löschen Sie alle Service-Schlüssel, die vom ausscheidenden Administrator erstellt oder ausschließlich von ihm verwendet wurden. Navigieren Sie zu „Settings“, dann zu „Service Key“, und löschen Sie die relevanten Schlüssel.
  </Step>

  <Step title="Konto entfernen oder deaktivieren">
    Entfernen Sie den Nutzer im Tab „Manage Team“, indem Sie neben seinem Namen auf „Delete“ klicken. Dadurch wird das Devin Desktop-Konto des Nutzers deaktiviert und sein Lizenzplatz freigegeben.
  </Step>

  <Step title="Verbleibenden Zugriff überprüfen">
    Vergewissern Sie sich, dass das stillgelegte Konto in keiner administrativen Rolle mehr erscheint, indem Sie die nach der Rolle „Admin“ gefilterte Nutzerliste in „Manage Team“ prüfen. Bestätigen Sie, dass alle mit dem Konto verknüpften Service-Schlüssel gelöscht wurden.
  </Step>
</Steps>

<Warning>Legen Sie administrative Konten sofort still, wenn ein Administrator die Rolle wechselt oder die Organisation verlässt. Eine verzögerte Stilllegung erhöht das Sicherheitsrisiko unnötig.</Warning>

***

<div id="security-settings-reference">
  ## Referenz der Sicherheitseinstellungen
</div>

Die folgende Tabelle dokumentiert alle von Admins gesteuerten Sicherheitseinstellungen, die im Admin-Portal der FedRAMP-Bereitstellung verfügbar sind. Jeder Eintrag beschreibt die Funktion der Einstellung, ihre Auswirkungen auf die Sicherheit und die empfohlene Konfiguration für eine sicherheitsorientierte Bereitstellung.

| Einstellung                                 | Funktion                                                                                                                                                                                                                                                                                                                                                | Auswirkungen auf die Sicherheit                                                                                                                                                                                                                                       | Empfohlener Wert                                                                                                                                                                                                                                                             |
| ------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Rollenbasierte Zugriffskontrolle (RBAC)** | Legt fest, welche administrativen Aktionen einzelne Nutzer basierend auf ihrer zugewiesenen Rolle und ihren Berechtigungen ausführen können. Verwaltet im Abschnitt „Role Management“ in Settings.                                                                                                                                                      | Begrenzt den Schadensradius kompromittierter Konten, indem Berechtigungen auf das beschränkt werden, was die jeweiligen Nutzer tatsächlich benötigen. Zu weit gefasste Rollenzuweisungen erhöhen die potenziellen Auswirkungen einer einzelnen Kontokompromittierung. | **Nach dem Prinzip der geringsten Rechte konfigurieren.** Erstellen Sie benutzerdefinierte Rollen, die nur die Berechtigungen enthalten, die die jeweiligen Administratoren benötigen. Reservieren Sie die integrierte Admin-Rolle für eine kleine Zahl von Administratoren. |
| **Berechtigungen für Service-Schlüssel**    | Begrenzen API-Zugriffstoken auf bestimmte Berechtigungssätze und steuern so, welche Operationen automatisierte Systeme ausführen können. Verwaltet im Abschnitt „Service Key“ in Settings.                                                                                                                                                              | Service-Schlüssel mit übermäßigen Berechtigungen können bei einem Leak missbraucht werden und unbefugten Zugriff auf die Nutzerverwaltung, Analytics oder andere Funktionen ermöglichen.                                                                              | **Auf die minimal erforderlichen Berechtigungen beschränken.** Erstellen Sie dedizierte Service-Schlüssel für jede Integration, die nur die Berechtigungen enthält, die diese Integration benötigt. Rotieren Sie Schlüssel regelmäßig.                                       |
| **Konfiguration des SSO-Providers**         | Konfiguriert den Identity Provider, der für die gesamte Nutzer-Authentifizierung verwendet wird, und unterstützt sowohl OIDC- als auch SAML-2.0-Protokolle. Eine Authentifizierung per E-Mail/Passwort ist nicht verfügbar. Die SSO-Einrichtung erfordert eine Abstimmung mit dem Devin Desktop FedRAMP-Team. Verwaltet im Abschnitt „SSO“ in Settings. | Zentralisiert die Authentifizierung über den Identity Provider der Organisation und ermöglicht so die Durchsetzung von MFA, bedingtem Zugriff und Sitzungsrichtlinien. Eine Fehlkonfiguration könnte alle Nutzer aussperren oder unbefugten Zugriff ermöglichen.      | **Mit dem genehmigten Identity Provider Ihrer Organisation (OIDC oder SAML 2.0) konfigurieren.** Überprüfen Sie die Konfiguration, indem Sie die Anmeldung mit einem Nicht-Admin-Konto testen, bevor Sie sie breit ausrollen.                                                |

*Aktualisiert zuletzt: 28. Januar 2026*
