Documentation Index
Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
Use this file to discover all available pages before exploring further.
Esta función solo está disponible para usuarios de Enterprise.
Esta función no se aplica a los planes de Cognition Platform. En Cognition Platform, el SSO debe configurarse y gestionarse en Settings.
- SSO de Google
- Microsoft Entra ID
- SSO de Okta
- Azure SCIM
- Okta SCIM
- API de SCIM
- Duo
- PingID
Devin Desktop ahora admite el inicio de sesión con Single Sign-On (SSO) mediante SAML. Si tu organización usa Microsoft Entra, Okta, Google Workspaces o cualquier otro proveedor de identidad compatible con SAML, podrás usar SSO con Devin Desktop.
Devin Desktop solo admite SSO iniciado por SP; actualmente NO se admite el SSO iniciado por IDP.
Configurar la aplicación del IDP
En la consola de administración de Google (admin.google.com), haz clic en Apps -> Web and mobile apps en la barra lateral izquierda.Windsurf y haz clic en Next.La siguiente pantalla de la consola de Google (Google Identity Provider details) contiene datos que tendrás que copiar en la configuración de SSO de Devin Desktop en https://windsurf.com/team/settings.- Copia SSO URL de la consola de Google en la configuración de Devin Desktop, en SSO URL
- Copia Entity ID de la consola de Google en la configuración de Devin Desktop, en Idp Entity ID
- Copia Certificate de la consola de Google en la configuración de Devin Desktop, en X509 Certificate
- Haz clic en Continue en la consola de Google
- Copia Callback URL de la página de configuración de Codeium en la consola de Google, en ACS URL
- Copia SP Entity ID de la página de configuración de Codeium en la consola de Google, en SP Entity ID
- Cambia el formato de Name ID a EMAIL
- Haz clic en Continue en la consola de Google
- Haz clic en Add Mapping, selecciona First name y configura App attributes como firstName
- Haz clic en Add Mapping, selecciona Last name y configura App attributes como lastName
- Haz clic en Finish
Devin Desktop Enterprise ahora admite el inicio de sesión con Single Sign-On (SSO) mediante SAML. Si tu organización usa Microsoft Entra ID (antes Azure AD), podrás usar SSO con Devin Desktop.
Devin Desktop solo admite SSO iniciado por SP; actualmente NO admite SSO iniciado por IDP.
Parte 1: Crear una aplicación Enterprise en Microsoft Entra ID
Todos los pasos de esta sección se realizan en el centro de administración de Microsoft Entra ID.
- En Microsoft Entra ID, haz clic en Agregar y luego en Aplicación empresarial.
- Haz clic en Crear tu propia aplicación.
- Asigna a tu aplicación el nombre Devin Desktop, selecciona Integrar cualquier otra aplicación que no encuentres en la galería y luego haz clic en Crear.
Parte 2: Configurar SAML y los atributos de usuario en Microsoft Entra ID
Todos los pasos de esta sección se realizan en el centro de administración de Microsoft Entra ID.
- En tu nueva aplicación de Devin Desktop, haz clic en Configurar inicio de sesión único y luego en SAML.
- Haz clic en Editar en Configuración básica de SAML.
- Mantén abierta esta pestaña de Entra ID y abre una pestaña nueva para ir a la configuración de SSO de Teams de Devin Desktop en https://windsurf.com/team/settings.
-
En la forma de configuración de SAML de Microsoft Entra ID:
- Identificador (ID de entidad): Copia el valor de ID de entidad de SP desde la página de configuración de SSO de Devin Desktop
- URL de respuesta (URL del servicio de consumidor de aserciones): Copia el valor de URL de callback desde la página de configuración de SSO de Devin Desktop
- Haz clic en Guardar en la parte superior
- Configura los atributos de usuario para que los nombres se muestren correctamente. En Microsoft Entra ID, en Atributos y reclamaciones, haz clic en Editar.
-
Crea 2 nuevas reclamaciones haciendo clic en Agregar nueva reclamación para cada una:
- Primera reclamación: Nombre =
firstName, Atributo de origen =user.givenname - Segunda reclamación: Nombre =
lastName, Atributo de origen =user.surname
- Primera reclamación: Nombre =
Parte 3: Configurar los ajustes de SSO en el portal de Devin Desktop
Completa la configuración en el portal de Devin Desktop (https://windsurf.com/team/settings).
-
En la página de configuración de SSO de Devin Desktop:
- Elige tu ID de SSO: Elige un identificador único para el portal de inicio de sesión de tu equipo (esto no se puede cambiar más adelante)
- ID de entidad del IdP: Copia el valor de Microsoft Entra ID en Configurar Devin Desktop → Identificador de Microsoft Entra
La URL del ID de entidad del IdP debe terminar con una
/final (p. ej.,https://sts.windows.net/{tenant-id}/). Si la URL no incluye la barra final, agrégala manualmente. - URL de SSO: Copia el valor de URL de inicio de sesión de Microsoft Entra ID
- Certificado X509: Descarga el certificado SAML (Base64) de Microsoft Entra ID, abre el archivo y pega aquí su contenido de texto
- En el portal de Devin Desktop, haz clic en Habilitar inicio de sesión con SAML y luego en Guardar.
- Prueba la configuración: Haz clic en Probar inicio de sesión para verificar que la configuración de SSO funcione correctamente.
Importante: No cierres sesión ni cierres la página de configuración de Devin Desktop hasta que hayas probado correctamente el inicio de sesión. Si la prueba falla, es posible que tengas que solucionar el problema de configuración antes de continuar.
Devin Desktop Enterprise ahora admite el inicio de sesión único (SSO) mediante SAML. Si tu organización usa Microsoft Entra, Okta, Google Workspaces o cualquier otro proveedor de identidad compatible con SAML, podrás usar SSO con Devin Desktop.
Devin Desktop solo admite SSO iniciado por el SP; actualmente NO se admite SSO iniciado por el IDP.
Configurar la aplicación del IdP
Haz clic en Applications en la barra lateral izquierda y luego en Create App Integration- Single sign-on URL como https://auth.windsurf.com/__/auth/handler
- Audience URI (SP Entity ID) como www.codeium.com
- NameID format como EmailAddress
- Application username como Email
Registrar Okta como proveedor de SAML
Deberías ser redirigido a la pestaña Sign on de tu aplicación SAML personalizada. Ahora debes tomar la información de esta página y completarla en la configuración de SSO de Devin Desktop.- Abre https://windsurf.com/team/settings y haz clic en Configure SAML
- Copia el texto después de ‘Issuer’ en la página de la aplicación de Okta y pégalo en Idp Entity ID
- Copia el texto después de ‘Sign on URL’ en la página de la aplicación de Okta y pégalo en SSO URL
- Descarga el Signing Certificate y pégalo en X509 certificate
- Marca Enable Login with SAML y luego haz clic en Save
- Prueba el inicio de sesión con el botón Test Login. Deberías ver un mensaje de éxito:
Limitaciones
Ten en cuenta que Devin Desktop actualmente no admite flujos de inicio de sesión iniciados por el IDP.Tampoco admitimos aún OIDC.Solución de problemas
Error en la configuración de inicio de sesión con SAML: Firebase: Error (auth/operation-not-allowed)
Error en la configuración de inicio de sesión con SAML: Firebase: SAML Response <Issuer> mismatch. (auth/invalid-credential)
No se pudo verificar la firma en samlresponse
Esto indica que el valor de tu certificado X509 es incorrecto. Asegúrate de copiar la clave correcta y de que tenga el siguiente formato:-----BEGIN CERTIFICATE-----
value
------END CERTIFICATE------
Devin Desktop admite la sincronización SCIM para usuarios y grupos con Microsoft Entra ID / Azure AD. No es necesario configurar el SSO para usar la sincronización SCIM, pero se recomienda encarecidamente.Necesitarás:
- Acceso de Admin a Microsoft Entra ID / Azure AD
- Acceso de Admin a Devin Desktop
- Una aplicación de escritorio de Devin ya existente en Entra ID (normalmente, de tu aplicación de SSO existente)
Permisos requeridos para la clave de servicioLa clave de servicio utilizada para el aprovisionamiento de SCIM debe tener los siguientes permisos:
- Team User Read - Necesario para leer información de usuarios y grupos
- Team User Update - Necesario para crear y actualizar usuarios y grupos
- Team User Delete - Necesario para desactivar/eliminar usuarios y grupos
Paso 1: Crear un rol con permisos SCIM
Antes de configurar el aprovisionamiento SCIM, debes crear un rol con los permisos necesarios.- Ve a Windsurf Team Settings
- En “Other Settings”, haz clic en Configurar junto a Gestión de roles
- Haz clic en Agregar rol y asígnale el nombre de “Aprovisionamiento SCIM”
- Agrega los siguientes permisos:
- Ver usuario del equipo
- Actualizar usuario del equipo
- Eliminar usuario del equipo
- Haz clic en Guardar
Step 2: Ir a la aplicación de escritorio de Devin existente
Ve a Microsoft Entra ID en Azure, haz clic en Enterprise applications en la barra lateral izquierda y luego haz clic en la aplicación Devin Desktop existente en la lista.Paso 3: Configurar el aprovisionamiento SCIM
Haz clic en Get started, debajo de Provision User Accounts en el centro (paso 3), y luego haz clic en Get started nuevamente.Paso 4: Configurar el aprovisionamiento SCIM
Después de hacer clic en Save, debería aparecer una nueva opción llamada Mappings en la página de aprovisionamiento. Expanda Mappings y haga clic en Provision Microsoft Entra ID Users.NOT([IsSoftDeleted])
Devin Desktop admite la sincronización SCIM de usuarios y grupos con Okta. No es necesario configurar SSO para usar la sincronización SCIM, pero es muy recomendable.Necesitarás:
- Acceso de Admin a Okta
- Acceso de Admin a Devin Desktop
- Una aplicación existente de Devin Desktop en Okta (normalmente, tu aplicación de SSO existente)
Paso 1: Ve a la aplicación existente de Devin Desktop
Ve a Okta, haz clic en Applications, luego en Applications en la barra lateral izquierda y, después, haz clic en la aplicación existente de Devin Desktop en la lista de aplicaciones.Paso 2: Habilita el aprovisionamiento SCIM
En la pestaña general, en App Settings, haz clic en Edit en la parte superior derecha. Luego marca la casilla ‘Enable SCIM Provisioning’ y haz clic en Save. Debería aparecer una nueva pestaña de aprovisionamiento en la parte superior.Ahora ve a provisioning, haz clic en Edit e introduce lo siguiente en los campos correspondientes:SCIM connector base URL: https://server.codeium.com/scim/v2Campo de identificador único para usuarios: emailAcciones de aprovisionamiento compatibles: Push New Users, Push Profile Updates, Push GroupsModo de autenticación: HTTP HeaderPara HTTP Header - Authorization, puedes generar el token desde:- https://windsurf.com/team/settings y ve a Service Key Configuration
- Haz clic en Configure, luego en Add Service Key, y ponle un nombre a tu API key
- Copia la API key, vuelve a Okta y pégala en HTTP Header - Authorization
Paso 3: Configura el aprovisionamiento
En la pestaña provisioning, debería haber dos pestañas nuevas a la izquierda. Haz clic en To App y luego en Edit Provisioning to App. Marca las casillas Create Users, Update User Attributes y Deactivate Users, y haz clic en Save.Después de este paso, todos los usuarios asignados al grupo se sincronizarán con Devin Desktop.Paso 4: Configura el aprovisionamiento de grupos (opcional)
Para sincronizar grupos con Devin Desktop, tendrás que especificar qué grupos enviar. En la aplicación, haz clic en la pestaña Push Groups en la parte superior. Luego haz clic en + Push Groups -> Find Groups by name. Filtra el grupo que quieras agregar, asegúrate de que Push group memberships immediately esté marcado y, después, haz clic en Save. Se creará el grupo y sus miembros se sincronizarán con Devin Desktop. Luego, los grupos se pueden usar para filtrar la analítica por grupo en la página de analytics.Esta guía explica cómo crear y administrar grupos en Devin Desktop mediante la API de SCIM.Hay casos en los que puede ser preferible aprovisionar grupos de forma manual en lugar de hacerlo a través del Identity Provider (Azure/Okta). Es posible que las empresas deseen aprovisionar Groups desde una fuente interna diferente (sitio web de RR. HH., herramienta de gestión de código fuente, etc.) a la que Devin Desktop no tiene acceso, o que necesiten un control más granular sobre los Groups del que ofrece su Identity Provider. En ese caso, los Groups pueden crearse mediante una API a través de una solicitud HTTP. A continuación se muestran ejemplos de la solicitud HTTP mediante CURL.Aquí hay 5 APIs principales: Create Group, Add group members, Replace group members, Delete Group y List Users in a Group.Primero deberás crear el grupo y luego reemplazarlo para crear un grupo con miembros. También deberás codificar en URL los nombres de grupo si el nombre contiene un carácter especial como un espacio; por ejemplo, un nombre de grupo como ‘Engineering Group’ deberá escribirse como ‘Engineering%20Group’ en la URL.Ten en cuenta que los usuarios deben crearse en Devin Desktop (mediante SCIM o creando la cuenta manualmente) antes de poder agregarlos a un grupo.Deshabilitar el acceso CLI para un usuario (establezca El atributo Actualizar nombre:
Crear grupo
curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
"displayName": "<group name>",
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Agregar miembros al grupo
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "add",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Reemplazar miembros del grupo
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "replace",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Eliminar grupo
curl -X DELETE https://server.codeium.com/scim/v2/Groups/<group name> -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Listar grupo
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups"
Listar usuarios en un grupo
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups/<group_id>"
APIs de usuario
También existen APIs para usuarios. A continuación se muestran algunas de las APIs de SCIM más comunes que Devin Desktop admite.Deshabilitar un usuario (para habilitarlo, reemplaza false por true):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": false
}
]
}'
cliActive en true para volver a habilitarlo):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "cliActive",
"value": false
}
]
}'
cliActive controla si un usuario puede acceder a Devin CLI. Es independiente del atributo active: deshabilitar el acceso a la CLI no afecta la licencia del usuario ni su acceso a otros productos de Devin Desktop. Si cliActive no está configurado para un usuario, se aplica la política de acceso a la CLI predeterminada del equipo.Crear un usuario:curl -X POST \
https://server.codeium.com/scim/v2/Users \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "<email>",
"displayName": "<full name>",
"active": true
}'
curl -X PATCH \
'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<user api key>' \
-H 'Authorization: Bearer <service key>' \
-H 'Content-Type: application/scim+json' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "<new name>"
}
]
}'
Creación de una clave secreta de API
Ve a https://windsurf.com/team/settings. En Service Key Configuration, haz clic en Add Service Key. Ingresa cualquier nombre para la clave (como ‘Azure Provisioning Key’) y haz clic en Create Service Key. Copia la clave generada y guárdala; ya puedes usarla para autorizar las APIs mencionadas anteriormente.Requisitos previos
Esta guía asume que tienes Duo configurado y que actúa como el IdP de tu organización, o bien que tienes configurado un IdP externo.Necesitarás acceso de administrador tanto a las cuentas de Duo como a las de Devin Desktop.Configurar Duo para Devin Desktop
- Ve a Applications y agrega un proveedor de servicios SAML genérico
- Ve a SSO en Team Settings
- Al habilitar SAML por primera vez, se te pedirá que configures tu ID de SSO. No podrás cambiarlo después. Se recomienda usar el nombre de tu organización o equipo y solo caracteres alfanuméricos.
-
Copia el valor de
Entity IDdel portal de Duo y pégalo en el campoIdP Entity IDdel portal de Devin Desktop. -
Copia el valor de
Single Sign-On URLdel portal de Duo y pégalo en el campoSSO URLdel portal de Devin Desktop. -
Copia el valor del certificado del portal de Duo y pégalo en el campo
X509 Certificatedel portal de Devin Desktop
-
Copia el valor de
SP Identity IDdel portal de Devin Desktop y pégalo en el campoEntity IDdel portal de Duo. -
Copia la
Callback URL (Assertion Consumer Service URL)del portal de Devin Desktop y pégala en el campoAssertion Consumer Service (ACS) URLdel portal de Duo. - En el portal de Duo, configura las declaraciones de atributos de la siguiente manera:
- Habilita el inicio de sesión SAML en el portal de Devin Desktop para poder probarlo.
- Una vez que la prueba se haya completado correctamente, puedes cerrar sesión. Ahora puedes usar el inicio de sesión con SSO al entrar en la página de tu equipo/organización con el ID de SSO que configuraste en el paso 3.
Requisitos previos
Esta guía asume que tienes PingID configurado y que actúa como tu IdP organizacional, o que tienes un IdP externo configurado.Necesitarás acceso de administrador tanto a las cuentas de PingID como a las de Devin Desktop.Configurar PingID para Devin Desktop
- Ve a Applications y agrega Devin Desktop como una aplicación SAML
- Ve a SSO en Team Settings
- Al habilitar SAML por primera vez, deberás configurar tu ID de SSO. No podrás cambiarlo más adelante.
- En PingID, elige ingresar la configuración manualmente y completa los campos con los siguientes valores:
- ACS URLs - esta es la
Callback URL (Assertion Consumer Service URL)del portal de Devin Desktop. - Entity ID - este es el
SP Entity IDdel portal de Devin Desktop.
-
Copia el
Issuer IDde PingID en el valorIdP Entity IDdel portal de Devin Desktop. -
Copia el valor
Single Signon Servicede PingID en el valorSSO URLdel portal de Devin Desktop. -
Descarga el certificado de firma desde PingID como X509 PEM (.crt), abre el archivo y copia su contenido en el valor
X509 Certificatedel portal de Devin Desktop.
- En los mapeos de atributos, asegúrate de mapear:
saml_subject- Dirección de correo electrónicofirstName- NombrelastName- Apellido
- Agrega o edita cualquier otra política y acceso según lo requiera tu configuración/organización
- Habilita el inicio de sesión SAML en el portal de Devin Desktop para poder probarlo.
- Una vez que la prueba se haya completado correctamente, puedes cerrar sesión. Ahora puedes usar el inicio de sesión con SSO al ir a la página de tu equipo/organización con el ID de SSO que configuraste en el paso 3.