> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuration du SSO OIDC

> Configurer l’authentification unique (Single Sign-On, SSO) avec un fournisseur d’identité OpenID Connect générique

Si votre organisation utilise un fournisseur d’identité OpenID Connect (OIDC) autre que Microsoft Entra ID ou Okta (par exemple, Ping Identity, OneLogin, Keycloak, Auth0 ou un autre fournisseur compatible OIDC), vous pouvez configurer le SSO pour Devin Enterprise à l’aide d’une connexion OIDC générique.

<Note>
  Ce guide s’adresse aux clients dont le fournisseur d’identité **n’est pas** pris en charge de manière native par les intégrations [Microsoft Entra ID (OIDC)](/fr/enterprise/security-access/sso/azure) ou [Okta (OIDC)](/fr/enterprise/security-access/sso/okta). Si votre fournisseur d’identité est Microsoft Entra ID ou Okta, nous vous recommandons plutôt d’utiliser l’intégration native, car elle offre une expérience de configuration plus simple.
</Note>

<div id="what-youll-need">
  ## Ce dont vous aurez besoin
</div>

Les informations suivantes sont requises pour configurer le SSO OIDC pour Devin. Vous les rassemblerez au cours des étapes de configuration ci-dessous, puis les enverrez à l’équipe en charge de votre compte Cognition lors de l’étape finale.

* **Discovery URL** - Le point de terminaison OIDC Discovery de votre IdP (par exemple, `https://idp.example.com/.well-known/openid-configuration`)
* **Client ID** - Le Client ID de l’application fourni par votre IdP
* **Client Secret** - Le Client Secret de l’application fourni par votre IdP
* **Identity Provider Domains** - Tous les domaines de messagerie de l’entreprise qui s’authentifieront via cet IdP (par exemple, `example.com`, `subsidiary.example.com`)
* **Scopes** - Les scopes OIDC à demander (généralement `openid profile email` ; ajoutez `groups` si vous utilisez les groupes IdP)

<div id="setup-instructions">
  ## Instructions de configuration
</div>

<div id="step-1-register-an-application-in-your-idp">
  ### Étape 1 : Enregistrer une application dans votre IdP
</div>

Dans la console d'administration de votre fournisseur d'identité (IdP), créez une nouvelle application OIDC / OAuth 2.0 (parfois appelée « Web Application » ou « Confidential Client ») avec les paramètres suivants :

| Paramètre                               | Valeur                                 |
| :-------------------------------------- | :------------------------------------- |
| **Application Type**                    | Web Application / Confidential Client  |
| **Sign-in Redirect URI (Callback URL)** | `https://auth.devin.ai/login/callback` |
| **Sign-out Redirect URI**               | Laissez vide                           |
| **Grant Type**                          | Authorization Code                     |
| **Token Endpoint Authentication**       | Client Secret (POST)                   |

Après avoir créé l'application, notez l'**ID client** et le **secret client** fournis par votre IdP.

<div id="step-2-locate-your-discovery-url">
  ### Étape 2 : Identifier votre URL de découverte
</div>

La plupart des fournisseurs d’identité compatibles OIDC publient un document OpenID Connect Discovery. Cette URL permet à Devin de récupérer automatiquement les points de terminaison d’autorisation, de jeton et d’informations utilisateur (userinfo) de votre IdP.

L’URL de découverte suit généralement ce schéma :

```
https://<your-idp-domain>/.well-known/openid-configuration
```

<Note>
  Formats courants d’URL de découverte (Discovery) par fournisseur :

  * **Keycloak** : `https://<host>/realms/<realm>/.well-known/openid-configuration`
  * **Ping Identity** : `https://<host>/<tenant-id>/as/.well-known/openid-configuration`
  * **OneLogin** : `https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration`
  * **Auth0** : `https://<domain>/.well-known/openid-configuration`
  * **Google Workspace** : `https://accounts.google.com/.well-known/openid-configuration`

  Vous pouvez vérifier l’URL en l’ouvrant dans un navigateur : elle doit renvoyer un document JSON contenant des champs comme `authorization_endpoint`, `token_endpoint` et `issuer`.
</Note>

<div id="step-3-configure-scopes">
  ### Étape 3 : Configurer les scopes
</div>

Les scopes OIDC contrôlent les informations utilisateur que Devin reçoit lors de l’authentification. Au minimum, demandez les scopes suivants :

| Scope     | Objectif                                                                      | Obligatoire                                 |
| :-------- | :---------------------------------------------------------------------------- | :------------------------------------------ |
| `openid`  | Requis pour tous les flux OIDC                                                | Oui                                         |
| `profile` | Renvoie le nom d’affichage de l’utilisateur                                   | Oui                                         |
| `email`   | Renvoie l’adresse e-mail de l’utilisateur                                     | Oui                                         |
| `groups`  | Renvoie les appartenances aux groupes de l’utilisateur (pour les groupes IdP) | Uniquement si vous utilisez des groupes IdP |

Votre chaîne de scopes doit être : `openid profile email` (ou `openid profile email groups` si vous utilisez des groupes IdP).

<Note>
  Certains IdP utilisent un nom de scope différent pour les claims de groupe (par exemple, `roles` ou un scope personnalisé). Consultez la documentation de votre IdP pour identifier le nom de scope approprié qui renvoie les informations d’appartenance aux groupes.
</Note>

<div id="step-4-configure-group-claims-required-for-idp-groups">
  ### Étape 4 : Configurer les revendications de groupe (obligatoire pour les groupes IdP)
</div>

<Warning>
  Si vous souhaitez utiliser l'[intégration des groupes IdP](/fr/enterprise/security-access/idp-groups) pour le contrôle d'accès basé sur les rôles dans Devin, vous **devez** configurer votre IdP pour inclure l'appartenance à des groupes dans l'ID token ou la réponse `userinfo`. Sans cela, les utilisateurs s'authentifieront avec succès, mais les groupes IdP ne seront pas synchronisés.
</Warning>

Pour activer la synchronisation des groupes IdP :

1. Dans votre IdP, vérifiez que le scope `groups` est disponible pour l'application
2. Configurez votre IdP pour inclure une revendication `groups` dans l'ID token ou la réponse `userinfo`

<Note>
  Si votre IdP n'inclut pas de revendications de groupe par défaut, vous devrez peut-être créer un scope personnalisé ou configurer une stratégie de mappage de revendications. Consultez la documentation de votre IdP pour obtenir des instructions sur l'ajout de revendications de groupe aux jetons OIDC.
</Note>

<div id="step-5-send-configuration-to-cognition">
  ### Étape 5 : Envoyer la configuration à Cognition
</div>

Envoyez les informations suivantes à l’équipe en charge de votre compte Cognition :

1. **URL de découverte (Discovery URL)** (par exemple : `https://idp.example.com/.well-known/openid-configuration`)
2. **Client ID**
3. **Client Secret**
4. **Domaines du fournisseur d’identité (Identity Provider Domains)** (tous les domaines e‑mail pour cet IdP)
5. **Scopes** (par exemple : `openid profile email groups`)

L’équipe en charge de votre compte Cognition configurera la connexion OIDC afin que les groupes IdP se synchronisent automatiquement à chaque connexion utilisateur.

<div id="verifying-your-setup">
  ## Vérification de votre configuration
</div>

Une fois que l'équipe de compte Cognition a confirmé que la configuration est terminée :

1. Accédez à votre URL Devin Enterprise (par exemple, `https://<your_subdomain>.devinenterprise.com`)
2. Cliquez sur **Sign in with OIDC** (ou sur le bouton SSO équivalent) pour lancer le processus de connexion
3. Vous devriez être redirigé vers la page de connexion de votre fournisseur d'identité (IdP)
4. Après authentification, vous devriez arriver dans votre organisation Devin Enterprise

Pour vérifier que les groupes IdP fonctionnent :

1. Allez dans **Settings** > **IdP Groups** dans l'application web Devin
2. Vous devriez voir vos groupes IdP répertoriés après la connexion d'au moins un membre du groupe
3. Les groupes sont synchronisés à chaque connexion, de sorte que toute modification d'appartenance dans votre IdP prendra effet lors de la prochaine connexion d'un utilisateur

<Note>
  Les groupes IdP sont récupérés lors de la connexion de l'utilisateur, de sorte que les changements d'appartenance à un groupe nécessiteront une nouvelle authentification. Voir [Intégration des groupes IdP](/fr/enterprise/security-access/idp-groups) pour plus de détails sur la configuration du contrôle d'accès basé sur les groupes.
</Note>
