> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Guía del Admin de seguridad de FedRAMP

> Guía del Admin de seguridad de Devin Desktop para crear, configurar, operar y retirar de forma segura cuentas administrativas de nivel superior. Incluye definiciones de roles, procedimientos del ciclo de vida de las cuentas y una tabla de referencia de todas las configuraciones de seguridad controladas por el Admin.

<div id="fedramp-security-admin-guide">
  # Guía de seguridad para Admin de FedRAMP
</div>

Esta guía describe cómo crear, configurar, operar y dar de baja de forma segura las cuentas administrativas de nivel superior en Devin Desktop. Abarca las definiciones de roles administrativos, los procedimientos del ciclo de vida de las cuentas y todas las opciones de seguridad controladas por el administrador, junto con sus funciones asociadas, repercusiones de seguridad y valores recomendados.

<Note>Esta guía se ha redactado para el despliegue FedRAMP de Devin Desktop, que se ejecuta en AWS GovCloud. El despliegue FedRAMP utiliza un portal empresarial dedicado y autenticación mediante SSO (OIDC o SAML 2.0). Algunas funciones descritas en otra documentación de Devin Desktop para la oferta SaaS no están disponibles en el entorno FedRAMP.</Note>

***

<div id="administrative-role-definitions">
  ## Definiciones de roles administrativos
</div>

Devin Desktop utiliza un sistema de control de acceso basado en roles (RBAC) para gestionar los privilegios administrativos. Los roles se gestionan a través del Admin Portal, en la sección de Settings de gestión de roles, y pueden asignarse a usuarios individuales.

<div id="built-in-roles">
  ### Roles predefinidos
</div>

Devin Desktop incluye dos roles predefinidos que no se pueden eliminar.

| Rol       | Descripción                                                                                                                                                                                                                       | Permisos predeterminados       |
| --------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------ |
| **Admin** | Acceso administrativo completo a la configuración de la organización, la gestión de usuarios, la analítica y los controles de seguridad. Este es el nivel más alto de privilegios que un usuario puede tener dentro de un equipo. | Todos los permisos habilitados |
| **User**  | Acceso estándar para usuarios finales, sin permisos administrativos. Los usuarios pueden acceder a las funciones de programación de Devin Desktop, pero no pueden ver ni modificar la configuración de la organización.           | Sin permisos administrativos   |

<div id="custom-roles">
  ### Roles personalizados
</div>

Los administradores pueden crear roles personalizados para aplicar el principio de mínimo privilegio. Los roles personalizados se componen de permisos granulares seleccionados entre las categorías siguientes. Para crear un rol personalizado, ve al Admin Portal y abre la sección Gestión de roles en Settings.

<div id="permission-reference">
  ### Referencia de permisos
</div>

La siguiente tabla enumera todos los permisos disponibles para la asignación de roles en el despliegue de FedRAMP. Cada permiso controla el acceso a una función administrativa específica.

| Categoría           | Permiso                  | Descripción                                                          |
| ------------------- | ------------------------ | -------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Acceso de solo lectura a la página de gestión de equipos             |
| **Teams**           | Teams Update             | Permite actualizar los roles de los usuarios en la página de equipos |
| **Teams**           | Teams Delete             | Permite eliminar usuarios desde la página de equipos                 |
| **Analytics**       | Analytics Read           | Acceso de lectura a la página de analytics y a los dashboards        |
| **Attribution**     | Attribution Read         | Acceso de lectura a la página de atribución                          |
| **License**         | License Read             | Acceso de lectura a la página de licencia                            |
| **SSO**             | SSO Read                 | Acceso de lectura a la página de configuración de SSO                |
| **SSO**             | SSO Write                | Permite configurar y modificar la configuración del proveedor de SSO |
| **Service Key**     | Service Key Read         | Acceso de lectura a la página de claves de servicio                  |
| **Service Key**     | Service Key Create       | Permite crear nuevas claves de servicio para acceder a la API        |
| **Service Key**     | Service Key Update       | Permite modificar las claves de servicio existentes                  |
| **Service Key**     | Service Key Delete       | Permite revocar y eliminar claves de servicio                        |
| **Role Management** | Role Read                | Acceso de lectura a la pestaña de roles en Settings                  |
| **Role Management** | Role Create              | Permite crear roles nuevos                                           |
| **Role Management** | Role Update              | Permite modificar las definiciones de roles existentes               |
| **Role Management** | Role Delete              | Permite eliminar roles                                               |
| **External Chat**   | External Chat Management | Permite modificar las configuraciones del modelo de chat externo     |
| **Indexing**        | Indexing Read            | Acceso de lectura a la página de configuración de indexación         |
| **Indexing**        | Indexing Create          | Permite crear índices nuevos                                         |
| **Indexing**        | Indexing Update          | Permite actualizar los repositorios indexados existentes             |
| **Indexing**        | Indexing Delete          | Permite eliminar índices                                             |
| **Indexing**        | Indexing Management      | Permite gestionar y depurar la base de datos de índices              |
| **Fine-Tuning**     | Fine-Tuning Read         | Acceso de lectura a la página de ajuste fino                         |
| **Fine-Tuning**     | Fine-Tuning Create       | Permite crear jobs de ajuste fino                                    |
| **Fine-Tuning**     | Fine-Tuning Update       | Permite actualizar jobs de ajuste fino                               |
| **Fine-Tuning**     | Fine-Tuning Delete       | Permite eliminar jobs de ajuste fino                                 |

<Note>Varios de estos permisos (como Attribution, License, SSO, Indexing y Fine-Tuning) existen en el sistema RBAC, pero las páginas correspondientes del portal no están disponibles en el despliegue multi-tenant de FedRAMP. Estos permisos se incluyen en la UI de gestión de roles para mayor exhaustividad, pero no conceden acceso a ninguna funcionalidad activa en este entorno.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procedimientos del ciclo de vida de la cuenta Admin
</div>

Esta sección describe el ciclo de vida completo de una cuenta administrativa principal, desde su creación inicial hasta su retirada.

<div id="account-setup">
  ### Configuración de la cuenta
</div>

La **incorporación mediante SSO** es el método principal de aprovisionamiento en el despliegue de FedRAMP. La plataforma admite tanto OIDC como SAML 2.0 para la integración de inicio de sesión único. Los usuarios se autentican a través del proveedor de identidad configurado y, después de que el primer inicio de sesión cree su cuenta, un administrador asigna el rol adecuado a través del Portal de Admin. Ten en cuenta que la integración de SSO en el entorno FedRAMP requiere coordinación con el equipo de Devin Desktop FedRAMP y no puede configurarse en modalidad de autoservicio.

Cada cuenta nueva de administrador debe configurarse de acuerdo con el principio de mínimo privilegio. Se deben priorizar los roles personalizados con solo los permisos necesarios para las responsabilidades del administrador, en lugar de asignar el rol completo de Admin, salvo que el usuario requiera acceso completo al sistema.

<div id="authentication-and-mfa-requirements">
  ### Requisitos de autenticación y MFA
</div>

El despliegue de FedRAMP utiliza exclusivamente el inicio de sesión único y admite los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. Todos los usuarios deben autenticarse a través del proveedor de identidad configurado.

La autenticación multifactor (MFA) se exige a través del proveedor de identidad de la organización. Devin Desktop hereda las políticas de MFA configuradas en el IdP conectado, lo que significa que todos los requisitos de fortaleza de autenticación (como exigir un segundo factor, autenticadores resistentes al phishing o políticas de acceso condicional) se administran en el nivel del IdP. Las organizaciones deben configurar su IdP para exigir MFA a todos los usuarios que accedan a la aplicación de Devin Desktop, especialmente en las cuentas con roles administrativos.

<Warning>Devin Desktop recomienda encarecidamente exigir MFA para todas las cuentas administrativas. Configura tu proveedor de identidad para exigir MFA como condición para acceder a la aplicación de Devin Desktop.</Warning>

<div id="account-setup">
  ### Configuración de la cuenta
</div>

Después de crear una cuenta administrativa, deben completarse los siguientes pasos de configuración.

**La asignación de roles** determina el ámbito del acceso administrativo de la cuenta. Asigne roles a través del Admin Portal; para ello, vaya a la pestaña Manage Team, localice al usuario, haga clic en Edit y seleccione el rol adecuado en el menú desplegable. Los cambios surten efecto de inmediato.

**La gestión de claves de servicio** es necesaria cuando el administrador requiere acceso a la API para automatización o analítica. Las claves de servicio se crean en Settings con permisos de ámbito limitado acordes con el uso previsto de la clave. Cada clave de servicio debe tener un nombre descriptivo (por ejemplo, "Panel de analítica") y asignarse a un rol con los permisos mínimos necesarios.

<div id="account-operation">
  ### Operación de la cuenta
</div>

Las prácticas operativas continuas para las cuentas administrativas incluyen las siguientes.

**Las revisiones periódicas de acceso** deben realizarse para verificar que las cuentas administrativas sigan requiriendo su nivel actual de acceso. Revise periódicamente la lista de usuarios con el rol de Admin en la pestaña Manage Team y ajuste los roles a medida que cambien las responsabilidades.

**El monitoreo de actividad** está disponible a través de los paneles integrados de analytics. Los administradores con el permiso Analytics Read pueden hacer seguimiento de la actividad de los usuarios, las métricas de interacción y el uso de funciones. La Analytics API proporciona acceso programático a estos datos para su integración con sistemas de monitoreo externos.

**La rotación de claves de servicio** debe realizarse periódicamente. Para rotar una clave, cree una nueva clave de servicio con los mismos permisos, actualice el sistema que la consume para usar la nueva clave y luego elimine la clave anterior.

<div id="account-decommissioning">
  ### Desactivación de cuentas
</div>

Cuando un administrador ya no necesite acceso, la cuenta debe desactivarse de inmediato mediante el siguiente procedimiento.

<Steps>
  <Step title="Revocar el rol administrativo">
    Vaya al Admin Portal, abra la pestaña Manage Team, localice al usuario, haga clic en Edit y cambie su rol de Admin a User (o a un rol personalizado sin permisos administrativos).
  </Step>

  <Step title="Revocar las claves de servicio">
    Elimine cualquier clave de servicio que haya sido creada por el administrador saliente o utilizada exclusivamente por él. Vaya a Settings, luego a Service Key, y elimine las claves correspondientes.
  </Step>

  <Step title="Eliminar o desactivar la cuenta">
    Elimine al usuario desde la pestaña Manage Team haciendo clic en Delete junto a su nombre. Esto desactivará la cuenta de Devin Desktop del usuario y liberará su licencia.
  </Step>

  <Step title="Revisar el acceso residual">
    Verifique que la cuenta desactivada ya no aparezca en ningún rol administrativo revisando la lista de usuarios de Manage Team filtrada por el rol Admin. Confirme que se hayan eliminado todas las claves de servicio asociadas con la cuenta.
  </Step>
</Steps>

<Warning>Desactive las cuentas administrativas de inmediato cuando un administrador cambie de rol o deje la organización. Retrasar la desactivación genera una exposición de seguridad innecesaria.</Warning>

***

<div id="security-settings-reference">
  ## Referencia de configuración de seguridad
</div>

La siguiente tabla documenta toda la configuración de seguridad controlada por administradores disponible en el portal de Admin del despliegue FedRAMP. Cada entrada describe la función de la configuración, su impacto en la seguridad y el valor recomendado para un despliegue con altos requisitos de seguridad.

| Setting                                      | Function                                                                                                                                                                                                                                                                                                                                               | Security impact                                                                                                                                                                                                                           | Recommended value                                                                                                                                                                                                                                 |
| -------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Control de acceso basado en roles (RBAC)** | Controla qué acciones administrativas puede realizar cada usuario según el rol y los permisos que tenga asignados. Se gestiona en la sección Role Management de Settings.                                                                                                                                                                              | Limita el alcance de una cuenta comprometida al restringir los permisos a solo lo que cada usuario necesita. Las asignaciones de roles demasiado amplias aumentan el impacto potencial de que se vea comprometida una sola cuenta.        | **Configurar con privilegios mínimos.** Crea roles personalizados con solo los permisos que necesita cada administrador. Reserva el rol integrado Admin para un número reducido de administradores.                                               |
| **Permisos de la clave de servicio**         | Limita los tokens de acceso de la API a conjuntos de permisos específicos, controlando qué operaciones pueden realizar los sistemas automatizados. Se gestiona en la sección Service Key de Settings.                                                                                                                                                  | Las claves de servicio con permisos excesivos pueden aprovecharse si se filtran, lo que otorga acceso no autorizado a la gestión de usuarios, análisis u otras funciones.                                                                 | **Limitar a los permisos mínimos necesarios.** Crea claves de servicio dedicadas para cada integración con solo los permisos que esa integración necesita. Rota las claves periódicamente.                                                        |
| **Configuración del proveedor de SSO**       | Configura el proveedor de identidad utilizado para toda la autenticación de usuarios, con compatibilidad con los protocolos OIDC y SAML 2.0. La autenticación con correo electrónico y contraseña no está disponible. La configuración de SSO requiere coordinación con el equipo de Devin Desktop FedRAMP. Se gestiona en la sección SSO de Settings. | Centraliza la autenticación a través del IdP de la organización, lo que permite aplicar MFA, acceso condicional y políticas de sesión. Una configuración incorrecta podría bloquear a todos los usuarios o permitir acceso no autorizado. | **Configurar con el proveedor de identidad aprobado por tu organización (OIDC o SAML 2.0).** Verifica la configuración probando el inicio de sesión con una cuenta sin privilegios de administrador antes de implementarla de forma generalizada. |

*Última actualización: 28 de enero de 2026*
