Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.devin.ai/llms.txt

Use this file to discover all available pages before exploring further.

Guía de seguridad para Admin de FedRAMP

Esta guía describe cómo crear, configurar, operar y dar de baja de forma segura las cuentas administrativas de nivel superior en Devin Desktop. Abarca las definiciones de roles administrativos, los procedimientos del ciclo de vida de las cuentas y todas las opciones de seguridad controladas por el administrador, junto con sus funciones asociadas, repercusiones de seguridad y valores recomendados.
Esta guía se ha redactado para el despliegue FedRAMP de Devin Desktop, que se ejecuta en AWS GovCloud. El despliegue FedRAMP utiliza un portal empresarial dedicado y autenticación mediante SSO (OIDC o SAML 2.0). Algunas funciones descritas en otra documentación de Devin Desktop para la oferta SaaS no están disponibles en el entorno FedRAMP.

Definiciones de roles administrativos

Devin Desktop utiliza un sistema de control de acceso basado en roles (RBAC) para gestionar los privilegios administrativos. Los roles se gestionan a través del Admin Portal, en la sección de Settings de gestión de roles, y pueden asignarse a usuarios individuales.

Roles predefinidos

Devin Desktop incluye dos roles predefinidos que no se pueden eliminar.
RolDescripciónPermisos predeterminados
AdminAcceso administrativo completo a la configuración de la organización, la gestión de usuarios, la analítica y los controles de seguridad. Este es el nivel más alto de privilegios que un usuario puede tener dentro de un equipo.Todos los permisos habilitados
UserAcceso estándar para usuarios finales, sin permisos administrativos. Los usuarios pueden acceder a las funciones de programación de Devin Desktop, pero no pueden ver ni modificar la configuración de la organización.Sin permisos administrativos

Roles personalizados

Los administradores pueden crear roles personalizados para aplicar el principio de mínimo privilegio. Los roles personalizados se componen de permisos granulares seleccionados entre las categorías siguientes. Para crear un rol personalizado, ve al Admin Portal y abre la sección Gestión de roles en Settings.

Referencia de permisos

La siguiente tabla enumera todos los permisos disponibles para la asignación de roles en el despliegue de FedRAMP. Cada permiso controla el acceso a una función administrativa específica.
CategoríaPermisoDescripción
TeamsTeams Read-OnlyAcceso de solo lectura a la página de gestión de equipos
TeamsTeams UpdatePermite actualizar los roles de los usuarios en la página de equipos
TeamsTeams DeletePermite eliminar usuarios desde la página de equipos
AnalyticsAnalytics ReadAcceso de lectura a la página de analytics y a los dashboards
AttributionAttribution ReadAcceso de lectura a la página de atribución
LicenseLicense ReadAcceso de lectura a la página de licencia
SSOSSO ReadAcceso de lectura a la página de configuración de SSO
SSOSSO WritePermite configurar y modificar la configuración del proveedor de SSO
Service KeyService Key ReadAcceso de lectura a la página de claves de servicio
Service KeyService Key CreatePermite crear nuevas claves de servicio para acceder a la API
Service KeyService Key UpdatePermite modificar las claves de servicio existentes
Service KeyService Key DeletePermite revocar y eliminar claves de servicio
Role ManagementRole ReadAcceso de lectura a la pestaña de roles en Settings
Role ManagementRole CreatePermite crear roles nuevos
Role ManagementRole UpdatePermite modificar las definiciones de roles existentes
Role ManagementRole DeletePermite eliminar roles
External ChatExternal Chat ManagementPermite modificar las configuraciones del modelo de chat externo
IndexingIndexing ReadAcceso de lectura a la página de configuración de indexación
IndexingIndexing CreatePermite crear índices nuevos
IndexingIndexing UpdatePermite actualizar los repositorios indexados existentes
IndexingIndexing DeletePermite eliminar índices
IndexingIndexing ManagementPermite gestionar y depurar la base de datos de índices
Fine-TuningFine-Tuning ReadAcceso de lectura a la página de ajuste fino
Fine-TuningFine-Tuning CreatePermite crear jobs de ajuste fino
Fine-TuningFine-Tuning UpdatePermite actualizar jobs de ajuste fino
Fine-TuningFine-Tuning DeletePermite eliminar jobs de ajuste fino
Varios de estos permisos (como Attribution, License, SSO, Indexing y Fine-Tuning) existen en el sistema RBAC, pero las páginas correspondientes del portal no están disponibles en el despliegue multi-tenant de FedRAMP. Estos permisos se incluyen en la UI de gestión de roles para mayor exhaustividad, pero no conceden acceso a ninguna funcionalidad activa en este entorno.

Procedimientos del ciclo de vida de la cuenta Admin

Esta sección describe el ciclo de vida completo de una cuenta administrativa principal, desde su creación inicial hasta su retirada.

Configuración de la cuenta

La incorporación mediante SSO es el método principal de aprovisionamiento en el despliegue de FedRAMP. La plataforma admite tanto OIDC como SAML 2.0 para la integración de inicio de sesión único. Los usuarios se autentican a través del proveedor de identidad configurado y, después de que el primer inicio de sesión cree su cuenta, un administrador asigna el rol adecuado a través del Portal de Admin. Ten en cuenta que la integración de SSO en el entorno FedRAMP requiere coordinación con el equipo de Devin Desktop FedRAMP y no puede configurarse en modalidad de autoservicio. Cada cuenta nueva de administrador debe configurarse de acuerdo con el principio de mínimo privilegio. Se deben priorizar los roles personalizados con solo los permisos necesarios para las responsabilidades del administrador, en lugar de asignar el rol completo de Admin, salvo que el usuario requiera acceso completo al sistema.

Requisitos de autenticación y MFA

El despliegue de FedRAMP utiliza exclusivamente el inicio de sesión único y admite los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. Todos los usuarios deben autenticarse a través del proveedor de identidad configurado. La autenticación multifactor (MFA) se exige a través del proveedor de identidad de la organización. Devin Desktop hereda las políticas de MFA configuradas en el IdP conectado, lo que significa que todos los requisitos de fortaleza de autenticación (como exigir un segundo factor, autenticadores resistentes al phishing o políticas de acceso condicional) se administran en el nivel del IdP. Las organizaciones deben configurar su IdP para exigir MFA a todos los usuarios que accedan a la aplicación de Devin Desktop, especialmente en las cuentas con roles administrativos.
Devin Desktop recomienda encarecidamente exigir MFA para todas las cuentas administrativas. Configura tu proveedor de identidad para exigir MFA como condición para acceder a la aplicación de Devin Desktop.

Configuración de la cuenta

Después de crear una cuenta administrativa, deben completarse los siguientes pasos de configuración. La asignación de roles determina el ámbito del acceso administrativo de la cuenta. Asigne roles a través del Admin Portal; para ello, vaya a la pestaña Manage Team, localice al usuario, haga clic en Edit y seleccione el rol adecuado en el menú desplegable. Los cambios surten efecto de inmediato. La gestión de claves de servicio es necesaria cuando el administrador requiere acceso a la API para automatización o analítica. Las claves de servicio se crean en Settings con permisos de ámbito limitado acordes con el uso previsto de la clave. Cada clave de servicio debe tener un nombre descriptivo (por ejemplo, “Panel de analítica”) y asignarse a un rol con los permisos mínimos necesarios.

Operación de la cuenta

Las prácticas operativas continuas para las cuentas administrativas incluyen las siguientes. Las revisiones periódicas de acceso deben realizarse para verificar que las cuentas administrativas sigan requiriendo su nivel actual de acceso. Revise periódicamente la lista de usuarios con el rol de Admin en la pestaña Manage Team y ajuste los roles a medida que cambien las responsabilidades. El monitoreo de actividad está disponible a través de los paneles integrados de analytics. Los administradores con el permiso Analytics Read pueden hacer seguimiento de la actividad de los usuarios, las métricas de interacción y el uso de funciones. La Analytics API proporciona acceso programático a estos datos para su integración con sistemas de monitoreo externos. La rotación de claves de servicio debe realizarse periódicamente. Para rotar una clave, cree una nueva clave de servicio con los mismos permisos, actualice el sistema que la consume para usar la nueva clave y luego elimine la clave anterior.

Desactivación de cuentas

Cuando un administrador ya no necesite acceso, la cuenta debe desactivarse de inmediato mediante el siguiente procedimiento.
1

Revocar el rol administrativo

Vaya al Admin Portal, abra la pestaña Manage Team, localice al usuario, haga clic en Edit y cambie su rol de Admin a User (o a un rol personalizado sin permisos administrativos).
2

Revocar las claves de servicio

Elimine cualquier clave de servicio que haya sido creada por el administrador saliente o utilizada exclusivamente por él. Vaya a Settings, luego a Service Key, y elimine las claves correspondientes.
3

Eliminar o desactivar la cuenta

Elimine al usuario desde la pestaña Manage Team haciendo clic en Delete junto a su nombre. Esto desactivará la cuenta de Devin Desktop del usuario y liberará su licencia.
4

Revisar el acceso residual

Verifique que la cuenta desactivada ya no aparezca en ningún rol administrativo revisando la lista de usuarios de Manage Team filtrada por el rol Admin. Confirme que se hayan eliminado todas las claves de servicio asociadas con la cuenta.
Desactive las cuentas administrativas de inmediato cuando un administrador cambie de rol o deje la organización. Retrasar la desactivación genera una exposición de seguridad innecesaria.

Referencia de configuración de seguridad

La siguiente tabla documenta toda la configuración de seguridad controlada por administradores disponible en el portal de Admin del despliegue FedRAMP. Cada entrada describe la función de la configuración, su impacto en la seguridad y el valor recomendado para un despliegue con altos requisitos de seguridad.
SettingFunctionSecurity impactRecommended value
Control de acceso basado en roles (RBAC)Controla qué acciones administrativas puede realizar cada usuario según el rol y los permisos que tenga asignados. Se gestiona en la sección Role Management de Settings.Limita el alcance de una cuenta comprometida al restringir los permisos a solo lo que cada usuario necesita. Las asignaciones de roles demasiado amplias aumentan el impacto potencial de que se vea comprometida una sola cuenta.Configurar con privilegios mínimos. Crea roles personalizados con solo los permisos que necesita cada administrador. Reserva el rol integrado Admin para un número reducido de administradores.
Permisos de la clave de servicioLimita los tokens de acceso de la API a conjuntos de permisos específicos, controlando qué operaciones pueden realizar los sistemas automatizados. Se gestiona en la sección Service Key de Settings.Las claves de servicio con permisos excesivos pueden aprovecharse si se filtran, lo que otorga acceso no autorizado a la gestión de usuarios, análisis u otras funciones.Limitar a los permisos mínimos necesarios. Crea claves de servicio dedicadas para cada integración con solo los permisos que esa integración necesita. Rota las claves periódicamente.
Configuración del proveedor de SSOConfigura el proveedor de identidad utilizado para toda la autenticación de usuarios, con compatibilidad con los protocolos OIDC y SAML 2.0. La autenticación con correo electrónico y contraseña no está disponible. La configuración de SSO requiere coordinación con el equipo de Devin Desktop FedRAMP. Se gestiona en la sección SSO de Settings.Centraliza la autenticación a través del IdP de la organización, lo que permite aplicar MFA, acceso condicional y políticas de sesión. Una configuración incorrecta podría bloquear a todos los usuarios o permitir acceso no autorizado.Configurar con el proveedor de identidad aprobado por tu organización (OIDC o SAML 2.0). Verifica la configuración probando el inicio de sesión con una cuenta sin privilegios de administrador antes de implementarla de forma generalizada.
Última actualización: 28 de enero de 2026