Saltar al contenido principal
Si su organización utiliza un proveedor de identidad (IdP) basado en SAML (por ejemplo, Azure AD mediante SAML, ADFS, Ping Identity, OneLogin u otro IdP compatible con SAML 2.0), pueden configurar SSO para Devin Enterprise usando SAML genérico.
Esta guía es para clientes que desean usar SAML en lugar de las integraciones nativas de Azure AD (OIDC) u Okta (OIDC). En general, recomendamos usar la integración nativa de OIDC siempre que sea posible, pero hay ciertas situaciones en las que se prefiere el SSO con SAML.

Lo que necesitas

La siguiente información es necesaria para configurar SAML SSO para Devin. La recopilarás durante los pasos de configuración a continuación y la enviarás a tu equipo de cuentas de Cognition en el paso final.
  • Sign In URL - El endpoint de SAML SSO de tu IdP (por ejemplo, https://idp.example.com/sso/saml)
  • X509 Signing Certificate - El certificado público que tu IdP usa para firmar las afirmaciones SAML
  • Identity Provider Domains - Todos los dominios de correo electrónico de la empresa que se autenticarán mediante este IdP (por ejemplo, example.com, subsidiary.example.com)
  • Group Attribute Name (si usas grupos del IdP) - El nombre del atributo SAML que tu IdP usa para enviar las membresías de grupo

Instrucciones de configuración

Paso 1: Crea una aplicación SAML en tu IdP

En la consola de administración de tu proveedor de identidad, crea una nueva aplicación SAML 2.0 con la siguiente configuración:
ConfiguraciónValor
ACS (Assertion Consumer Service) URLhttps://auth.devin.ai/login/callback
Entity ID / Audience URIDéjalo en blanco por ahora — consulta el Paso 5
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (recomendado) o persistent
Name ID ValueDirección de correo electrónico del usuario
Signature AlgorithmRSA-SHA256
Digest AlgorithmSHA256
Response BindingHTTP-POST

Paso 2: Configurar atributos SAML

Asegúrate de que tu IdP envíe los siguientes atributos en la aserción SAML:
Atributo SAMLDescripciónObligatorio
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierIdentificador único de usuario (normalmente la dirección de correo electrónico del usuario)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressDirección de correo electrónico del usuario
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameNombre para mostrar del usuarioRecomendado
Devin usa el atributo nameidentifier para identificar a los usuarios. La mayoría de los IdP lo completan automáticamente a partir del valor Name ID de SAML. Si tu IdP no envía nameidentifier como un atributo separado, asegúrate de que el Name ID Value del Paso 1 esté configurado con la dirección de correo electrónico del usuario.

Paso 3: Configurar aserciones de grupos (obligatorio para grupos de IdP)

Si desea usar la integración de grupos de IdP para el control de acceso basado en roles en Devin, debe configurar su IdP para enviar la pertenencia a grupos en la aserción SAML. De lo contrario, los usuarios se autenticarán correctamente, pero los grupos del IdP no se sincronizarán.
Para habilitar la sincronización de grupos del IdP, configure un atributo de grupo en su aplicación SAML:
Atributo SAMLValor
Nombre del atributohttp://schemas.xmlsoap.org/claims/Group
Valor del atributoPertenencia del usuario a grupos
El nombre exacto del atributo puede variar según su IdP. Nombres de atributo comunes para grupos incluyen:
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • groups
  • memberOf
Comparta el nombre exacto del atributo que configure con su equipo de cuenta de Cognition para que podamos mapearlo correctamente de nuestro lado.

Azure AD (Entra ID) con SAML

Si usas Azure AD con SAML en lugar de la integración nativa de OIDC:
  1. En el portal de Azure, ve a Enterprise Applications > tu aplicación SAML > Single sign-on
  2. En Attributes & Claims, haz clic en Add a group claim
  3. Selecciona Groups assigned to the application (recomendado) o All groups
  4. Establece Source attribute en un valor adecuado para tu configuración (por ejemplo, sAMAccountName o Display name)
  5. Anota el Claim name que genera Azure (por ejemplo, http://schemas.microsoft.com/ws/2008/06/identity/claims/groups) y compártelo con el equipo de cuenta de Cognition

Otros proveedores de identidad SAML

Para otros IdP (ADFS, Ping Identity, OneLogin, etc.):
  1. Agrega una declaración de atributo de grupo a la configuración de tu aplicación SAML
  2. Configúrala para enviar las membresías de grupo del usuario
  3. Anota el nombre exacto del atributo y compártelo con tu equipo de cuenta de Cognition

Paso 4: Enviar la configuración a Cognition

Envía la siguiente información al equipo de cuentas de Cognition:
  1. URL de inicio de sesión (por ejemplo, https://idp.example.com/sso/saml)
  2. Certificado de firma X509 (el archivo de certificado público o el texto codificado en PEM)
  3. Dominios del proveedor de identidad (todos los dominios de correo electrónico gestionados por este IdP)
  4. Nombre del atributo de grupo (si se usan grupos del IdP) — el nombre exacto del atributo SAML configurado en el Paso 3

Paso 5: Completar la configuración con Cognition

Después de recibir tu configuración, el equipo de cuentas de Cognition:
  1. Creará la conexión SAML y te proporcionará el Entity ID / Audience URI y un nombre de conexión
  2. Configurará el mapeo de tu atributo de grupo (si aplica) para que los grupos del IdP se sincronicen automáticamente en cada inicio de sesión de usuario
Una vez que recibas el Entity ID, actualiza la configuración de Entity ID / Audience URI de tu aplicación SAML con el valor proporcionado.
Devin envía solicitudes de autenticación SAML firmadas. Tu archivo de metadatos SAML estará disponible en:
https://auth.devin.ai/samlp/metadata?connection=<connection_name>
donde <connection_name> es el nombre de conexión proporcionado por el equipo de cuentas de Cognition. Importa estos metadatos en tu IdP para completar la configuración de confianza y habilitar la verificación de la firma de las solicitudes.

Verificar tu configuración

Después de actualizar el Entity ID y de que tu equipo de cuentas de Cognition confirme que la configuración está completa:
  1. Navega a tu URL de Devin Enterprise (por ejemplo, https://<your_subdomain>.devinenterprise.com)
  2. Haz clic en Sign in with SAML (o el botón de SSO equivalente) para iniciar el flujo de inicio de sesión
  3. Deberías ser redirigido a la página de inicio de sesión de tu IdP
  4. Después de autenticarte, deberías acceder a tu organización de Devin Enterprise
Para verificar que los grupos del IdP estén funcionando:
  1. Ve a Settings > IdP Groups en la aplicación web de Devin
  2. Deberías ver tus grupos de IdP listados después de que al menos un miembro del grupo haya iniciado sesión
  3. Los grupos se sincronizan en cada inicio de sesión, por lo que cualquier cambio en la pertenencia de usuarios a grupos en tu IdP tendrá efecto la próxima vez que un usuario inicie sesión
Los grupos de IdP se obtienen al inicio de sesión del usuario, por lo que los cambios en la pertenencia a grupos requerirán que el usuario vuelva a autenticarse. Consulta IdP Group Integration para más detalles sobre cómo configurar el control de acceso basado en grupos.