Cette documentation concerne les déploiements fédéraux de Devin. Retour à la documentation de Devin
Définitions des rôles administratifs
Rôles intégrés
| Rôle | Description | Autorisations par défaut |
|---|---|---|
| Admin | Accès administratif complet aux Settings de l’organisation, à la gestion des utilisateurs, à l’analyse et aux contrôles de sécurité. Il s’agit du niveau de privilège le plus élevé qu’un utilisateur puisse détenir au sein d’une Team. | Toutes les autorisations activées |
| User | Accès standard pour l’utilisateur final, sans autorisations administratives. Les utilisateurs peuvent accéder aux fonctionnalités de programmation de Devin Desktop, mais ne peuvent ni consulter ni modifier les Settings de l’organisation. | Aucune autorisation administrative |
Rôles personnalisés
Référence des autorisations
| Catégorie | Permission | Description |
|---|---|---|
| Teams | Teams Read-Only | Accès en lecture seule à la page de gestion des Teams |
| Teams | Teams Update | Possibilité de mettre à jour les rôles des utilisateurs sur la page Teams |
| Teams | Teams Delete | Possibilité de supprimer des utilisateurs depuis la page Teams |
| Analytics | Analytics Read | Accès en lecture à la page Analytics et aux tableaux de bord |
| Attribution | Attribution Read | Accès en lecture à la page Attribution |
| License | License Read | Accès en lecture à la page des licences |
| SSO | SSO Read | Accès en lecture à la page de configuration du SSO |
| SSO | SSO Write | Possibilité de configurer et de modifier les paramètres du fournisseur SSO |
| Service Key | Service Key Read | Accès en lecture à la page des clés de service |
| Service Key | Service Key Create | Possibilité de créer de nouvelles clés de service pour l’accès à l’API |
| Service Key | Service Key Update | Possibilité de modifier les clés de service existantes |
| Service Key | Service Key Delete | Possibilité de révoquer et de supprimer des clés de service |
| Role Management | Role Read | Accès en lecture à l’onglet des rôles dans Settings |
| Role Management | Role Create | Possibilité de créer de nouveaux rôles |
| Role Management | Role Update | Possibilité de modifier les définitions de rôles existantes |
| Role Management | Role Delete | Possibilité de supprimer des rôles |
| External Chat | External Chat Management | Possibilité de modifier les configurations des modèles de chat externes |
| Indexing | Indexing Read | Accès en lecture à la page de configuration de l’indexation |
| Indexing | Indexing Create | Possibilité de créer de nouveaux index |
| Indexing | Indexing Update | Possibilité de mettre à jour les dépôts indexés existants |
| Indexing | Indexing Delete | Possibilité de supprimer des index |
| Indexing | Indexing Management | Possibilité d’effectuer des opérations de gestion et de purge de la base de données d’index |
| Fine-Tuning | Fine-Tuning Read | Accès en lecture à la page de fine-tuning |
| Fine-Tuning | Fine-Tuning Create | Possibilité de créer de nouvelles tâches de fine-tuning |
| Fine-Tuning | Fine-Tuning Update | Possibilité de mettre à jour des tâches de fine-tuning |
| Fine-Tuning | Fine-Tuning Delete | Possibilité de supprimer des tâches de fine-tuning |
Un certain nombre de ces autorisations (comme Attribution, License, SSO, Indexing et Fine-Tuning) existent dans le système RBAC, mais les pages du portail correspondantes ne sont pas disponibles dans le déploiement FedRAMP multilocataire. Ces autorisations sont incluses dans l’UI de gestion des rôles par souci d’exhaustivité, mais elles ne donnent accès à aucune fonctionnalité active dans cet environnement.
Procédures du cycle de vie du compte administratif
Configuration du compte
Exigences en matière d’authentification et de MFA
Configuration du compte
Exploitation du compte
Mise hors service du compte
Révoquer le rôle administratif
Accédez à l’Admin Portal, ouvrez l’onglet Manage Team, repérez l’utilisateur, cliquez sur Edit, puis remplacez son rôle Admin par User (ou par un rôle personnalisé sans autorisations administratives).
Révoquer les clés de service
Supprimez toutes les clés de service créées par l’administrateur sur le départ ou utilisées exclusivement par celui-ci. Accédez à Settings, puis à Service Key, et supprimez les clés concernées.
Supprimer ou désactiver le compte
Supprimez l’utilisateur depuis l’onglet Manage Team en cliquant sur Delete à côté de son nom. Cela désactivera le compte Devin Desktop de l’utilisateur et libérera sa licence.
Référence des paramètres de sécurité
| Setting | Function | Security impact | Recommended value |
|---|---|---|---|
| Contrôle d’accès basé sur les rôles (RBAC) | Détermine quelles actions administratives chaque utilisateur peut effectuer en fonction du rôle et des autorisations qui lui sont attribués. Géré dans la section Role Management de Settings. | Limite l’étendue des dommages en cas de compromission d’un compte en restreignant les autorisations à ce dont chaque utilisateur a besoin. Des attributions de rôles trop larges augmentent l’impact potentiel de la compromission d’un seul compte. | Configurez selon le principe du moindre privilège. Créez des rôles personnalisés avec uniquement les autorisations requises par chaque administrateur. Réservez le rôle Admin intégré à un petit nombre d’administrateurs. |
| Autorisations des clés de service | Limite les access tokens d’API à des ensembles d’autorisations spécifiques, afin de contrôler les opérations que les systèmes automatisés peuvent effectuer. Géré dans la section Service Key de Settings. | Des clés de service dotées d’autorisations excessives peuvent être exploitées si elles sont divulguées, accordant un accès non autorisé à la gestion des utilisateurs, à l’analyse ou à d’autres fonctions. | Limitez le périmètre aux autorisations strictement nécessaires. Créez des clés de service dédiées pour chaque intégration, avec uniquement les autorisations dont cette intégration a besoin. Faites pivoter les clés régulièrement. |
| Configuration du fournisseur SSO | Configure le fournisseur d’identité utilisé pour toute l’authentification des utilisateurs, avec prise en charge des protocoles OIDC et SAML 2.0. L’authentification par e-mail/mot de passe n’est pas disponible. La configuration du SSO nécessite une coordination avec l’équipe FedRAMP de Devin Desktop. Géré dans la section SSO de Settings. | Centralise l’authentification via l’IdP de l’organisation, ce qui permet d’appliquer la MFA, l’accès conditionnel et les politiques de session. Une mauvaise configuration pourrait bloquer tous les utilisateurs ou autoriser des accès non autorisés. | Configurez avec le fournisseur d’identité approuvé par votre organisation (OIDC ou SAML 2.0). Vérifiez la configuration en testant la connexion avec un compte non administrateur avant un déploiement à grande échelle. |

