> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# OIDC-SSO-Einrichtung

> Single Sign-On mit einem generischen OpenID-Connect-Identity Provider einrichten

Wenn Ihre Organisation einen OpenID-Connect-(OIDC)-Identity Provider verwendet, der nicht Microsoft Entra ID oder Okta ist (z. B. Ping Identity, OneLogin, Keycloak, Auth0 oder einen anderen OIDC-kompatiblen IdP), können Sie SSO für Devin Enterprise mithilfe einer generischen OIDC-Verbindung einrichten.

<Note>
  Diese Anleitung richtet sich an Kunden, deren Identity Provider **nicht** von den Integrationen für [Microsoft Entra ID (OIDC)](/de/enterprise/security-access/sso/azure) oder [Okta (OIDC)](/de/enterprise/security-access/sso/okta) nativ unterstützt wird. Wenn Ihr IdP Microsoft Entra ID oder Okta ist, empfehlen wir stattdessen die Verwendung der nativen Integration, da sie eine vereinfachte Einrichtung ermöglicht.
</Note>

<div id="what-youll-need">
  ## Was Sie benötigen
</div>

Die folgenden Informationen sind erforderlich, um OIDC-SSO für Devin einzurichten. Sie erfassen diese während der unten beschriebenen Einrichtungs­schritte und senden sie im letzten Schritt an Ihr Cognition Account-Team.

* **Discovery-URL** – Der OIDC-Discovery-Endpunkt Ihres IdP (z. B. `https://idp.example.com/.well-known/openid-configuration`)
* **Client-ID** – Die Anwendungs-Client-ID aus Ihrem IdP
* **Client-Secret** – Das Anwendungs-Client-Secret aus Ihrem IdP
* **Identity-Provider-Domains** – Alle Unternehmens-E-Mail-Domains, die sich über diesen IdP authentifizieren (z. B. `example.com`, `subsidiary.example.com`)
* **Scopes** – Die anzufordernden OIDC-Scopes (typischerweise `openid profile email`; fügen Sie `groups` hinzu, wenn Sie IdP-Gruppen verwenden)

<div id="setup-instructions">
  ## Anleitung zur Einrichtung
</div>

<div id="step-1-register-an-application-in-your-idp">
  ### Schritt 1: Registrieren Sie eine Anwendung bei Ihrem IdP
</div>

Erstellen Sie in der Administrationskonsole Ihres Identitätsanbieters (IdP) eine neue OIDC-/OAuth-2.0-Anwendung (manchmal als „Web Application“ oder „Confidential Client“ bezeichnet) mit den folgenden Einstellungen:

| Einstellung                             | Wert                                   |
| :-------------------------------------- | :------------------------------------- |
| **Application Type**                    | Web Application / Confidential Client  |
| **Sign-in Redirect URI (Callback URL)** | `https://auth.devin.ai/login/callback` |
| **Sign-out Redirect URI**               | Leer lassen                            |
| **Grant Type**                          | Authorization Code                     |
| **Token Endpoint Authentication**       | Client Secret (POST)                   |

Notieren Sie sich nach dem Erstellen der Anwendung die vom IdP bereitgestellte **Client ID** und das **Client Secret**.

<div id="step-2-locate-your-discovery-url">
  ### Schritt 2: Ermitteln Sie Ihre Discovery-URL
</div>

Die meisten OIDC-konformen Identity Provider veröffentlichen ein OpenID-Connect-Discovery-Dokument. Diese URL ermöglicht es Devin, die Autorisierungs-, Token- und Userinfo-Endpunkte Ihres IdP automatisch abzurufen.

Die Discovery-URL folgt in der Regel diesem Muster:

```
https://<your-idp-domain>/.well-known/openid-configuration
```

<Note>
  Häufige Discovery-URL-Formate nach Anbieter:

  * **Keycloak**: `https://<host>/realms/<realm>/.well-known/openid-configuration`
  * **Ping Identity**: `https://<host>/<tenant-id>/as/.well-known/openid-configuration`
  * **OneLogin**: `https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration`
  * **Auth0**: `https://<domain>/.well-known/openid-configuration`
  * **Google Workspace**: `https://accounts.google.com/.well-known/openid-configuration`

  Sie können die URL überprüfen, indem Sie sie in einem Browser öffnen – dann sollte ein JSON-Dokument angezeigt werden, das Felder wie `authorization_endpoint`, `token_endpoint` und `issuer` enthält.
</Note>

<div id="step-3-configure-scopes">
  ### Schritt 3: Scopes konfigurieren
</div>

OIDC-Scopes legen fest, welche Benutzerinformationen Devin während der Authentifizierung erhält. Fordern Sie mindestens die folgenden Scopes an:

| Scope     | Zweck                                                                   | Erforderlich                       |
| :-------- | :---------------------------------------------------------------------- | :--------------------------------- |
| `openid`  | Erforderlich für alle OIDC-Flows                                        | Ja                                 |
| `profile` | Gibt den Anzeigenamen des Benutzers zurück                              | Ja                                 |
| `email`   | Gibt die E-Mail-Adresse des Benutzers zurück                            | Ja                                 |
| `groups`  | Gibt die Gruppenmitgliedschaften des Benutzers zurück (für IdP-Gruppen) | Nur bei Verwendung von IdP-Gruppen |

Ihre Scope-Zeichenfolge sollte lauten: `openid profile email` (oder `openid profile email groups`, wenn Sie IdP-Gruppen verwenden).

<Note>
  Einige IdPs verwenden einen anderen Scope-Namen für Gruppen-Claims (z. B. `roles` oder einen benutzerdefinierten Scope). Prüfen Sie die Dokumentation Ihres IdP für den korrekten Scope-Namen, der Informationen zu Gruppenmitgliedschaften zurückgibt.
</Note>

<div id="step-4-configure-group-claims-required-for-idp-groups">
  ### Schritt 4: Gruppen-Claims konfigurieren (erforderlich für IdP-Gruppen)
</div>

<Warning>
  Wenn Sie die [IdP-Gruppenintegration](/de/enterprise/security-access/idp-groups) für rollenbasierte Zugriffskontrolle in Devin verwenden möchten, **müssen** Sie Ihren IdP so konfigurieren, dass die Gruppenmitgliedschaft im ID-Token oder in der `userinfo`-Antwort enthalten ist. Andernfalls können sich Nutzer zwar erfolgreich authentifizieren, aber IdP-Gruppen werden nicht synchronisiert.
</Warning>

So aktivieren Sie die Synchronisierung von IdP-Gruppen:

1. Stellen Sie in Ihrem IdP sicher, dass der `groups`-Scope für die Anwendung verfügbar ist.
2. Konfigurieren Sie Ihren IdP so, dass ein `groups`-Claim im ID-Token oder in der `userinfo`-Antwort enthalten ist.

<Note>
  Wenn Ihr IdP Gruppen-Claims nicht standardmäßig einbezieht, müssen Sie möglicherweise einen benutzerdefinierten Scope erstellen oder eine Claims-Mapping-Richtlinie konfigurieren. Konsultieren Sie die Dokumentation Ihres IdP für Anleitungen zum Hinzufügen von Gruppen-Claims zu OIDC-Tokens.
</Note>

<div id="step-5-send-configuration-to-cognition">
  ### Schritt 5: Konfiguration an Cognition senden
</div>

Senden Sie Folgendes an das Account-Team von Cognition:

1. **Discovery-URL** (z. B. `https://idp.example.com/.well-known/openid-configuration`)
2. **Client-ID**
3. **Client-Secret**
4. **Identity-Provider-Domains** (alle E-Mail-Domains dieses IdP)
5. **Scopes** (z. B. `openid profile email groups`)

Das Account-Team von Cognition konfiguriert die OIDC-Verbindung so, dass IdP-Gruppen bei jeder Benutzeranmeldung automatisch synchronisiert werden.

<div id="verifying-your-setup">
  ## Überprüfung Ihres Setups
</div>

Nachdem Ihr Cognition-Account-Team bestätigt hat, dass die Konfiguration abgeschlossen ist:

1. Navigieren Sie zu Ihrer Devin Enterprise-URL (z. B. `https://<your_subdomain>.devinenterprise.com`)
2. Klicken Sie auf **Sign in with OIDC** (oder die entsprechende SSO-Schaltfläche), um den Anmeldevorgang zu starten
3. Sie sollten auf die Anmeldeseite Ihres IdP weitergeleitet werden
4. Nach der Authentifizierung sollten Sie in Ihrer Devin Enterprise-Organisation landen

So prüfen Sie, ob IdP-Gruppen funktionieren:

1. Gehen Sie in der Devin-Web-App zu **Settings** > **IdP Groups**
2. Sie sollten Ihre IdP-Gruppen sehen, nachdem sich mindestens ein Gruppenmitglied angemeldet hat
3. Gruppen werden bei jeder Anmeldung synchronisiert, daher werden alle Mitgliedschaftsänderungen in Ihrem IdP bei der nächsten Anmeldung eines Nutzers wirksam

<Note>
  IdP-Gruppen werden bei der Benutzeranmeldung abgerufen, daher erfordern Änderungen an der Gruppenmitgliedschaft eine erneute Authentifizierung. Weitere Details zur Konfiguration der gruppenbasierten Zugriffskontrolle finden Sie unter [IdP Group Integration](/de/enterprise/security-access/idp-groups).
</Note>
