Passer au contenu principal
Cette documentation concerne les déploiements fédéraux de Devin. Retour à la documentation de Devin
Ce guide explique comment configurer, gérer et mettre hors service en toute sécurité les comptes administratifs de plus haut niveau dans Devin Desktop. Il couvre les définitions des rôles administratifs, les procédures du cycle de vie des comptes, ainsi que tous les paramètres de sécurité contrôlés par les administrateurs, avec leurs fonctions associées, leur impact sur la sécurité et les valeurs recommandées.

Définitions des rôles administratifs

Devin Desktop utilise un système de contrôle d’accès basé sur les rôles (RBAC) pour régir les privilèges administratifs. Les rôles sont gérés via l’Admin Portal, dans la section Role Management des Settings, et peuvent être attribués à des utilisateurs individuels.

Rôles intégrés

Devin Desktop propose deux rôles intégrés qui ne peuvent pas être supprimés.
RôleDescriptionAutorisations par défaut
AdminAccès administratif complet aux Settings de l’organisation, à la gestion des utilisateurs, à l’analyse et aux contrôles de sécurité. Il s’agit du niveau de privilège le plus élevé qu’un utilisateur puisse détenir au sein d’une Team.Toutes les autorisations activées
UserAccès standard pour l’utilisateur final, sans autorisations administratives. Les utilisateurs peuvent accéder aux fonctionnalités de programmation de Devin Desktop, mais ne peuvent ni consulter ni modifier les Settings de l’organisation.Aucune autorisation administrative

Rôles personnalisés

Les administrateurs peuvent créer des rôles personnalisés pour appliquer le principe du moindre privilège. Les rôles personnalisés se composent d’autorisations fines sélectionnées dans les catégories ci-dessous. Pour créer un rôle personnalisé, accédez à l’Admin Portal et ouvrez la section Role Management dans Settings.

Référence des autorisations

Le tableau ci-dessous répertorie toutes les autorisations disponibles pour l’attribution des rôles dans le déploiement FedRAMP. Chaque autorisation contrôle l’accès à une fonction administrative spécifique.
CatégoriePermissionDescription
TeamsTeams Read-OnlyAccès en lecture seule à la page de gestion des Teams
TeamsTeams UpdatePossibilité de mettre à jour les rôles des utilisateurs sur la page Teams
TeamsTeams DeletePossibilité de supprimer des utilisateurs depuis la page Teams
AnalyticsAnalytics ReadAccès en lecture à la page Analytics et aux tableaux de bord
AttributionAttribution ReadAccès en lecture à la page Attribution
LicenseLicense ReadAccès en lecture à la page des licences
SSOSSO ReadAccès en lecture à la page de configuration du SSO
SSOSSO WritePossibilité de configurer et de modifier les paramètres du fournisseur SSO
Service KeyService Key ReadAccès en lecture à la page des clés de service
Service KeyService Key CreatePossibilité de créer de nouvelles clés de service pour l’accès à l’API
Service KeyService Key UpdatePossibilité de modifier les clés de service existantes
Service KeyService Key DeletePossibilité de révoquer et de supprimer des clés de service
Role ManagementRole ReadAccès en lecture à l’onglet des rôles dans Settings
Role ManagementRole CreatePossibilité de créer de nouveaux rôles
Role ManagementRole UpdatePossibilité de modifier les définitions de rôles existantes
Role ManagementRole DeletePossibilité de supprimer des rôles
External ChatExternal Chat ManagementPossibilité de modifier les configurations des modèles de chat externes
IndexingIndexing ReadAccès en lecture à la page de configuration de l’indexation
IndexingIndexing CreatePossibilité de créer de nouveaux index
IndexingIndexing UpdatePossibilité de mettre à jour les dépôts indexés existants
IndexingIndexing DeletePossibilité de supprimer des index
IndexingIndexing ManagementPossibilité d’effectuer des opérations de gestion et de purge de la base de données d’index
Fine-TuningFine-Tuning ReadAccès en lecture à la page de fine-tuning
Fine-TuningFine-Tuning CreatePossibilité de créer de nouvelles tâches de fine-tuning
Fine-TuningFine-Tuning UpdatePossibilité de mettre à jour des tâches de fine-tuning
Fine-TuningFine-Tuning DeletePossibilité de supprimer des tâches de fine-tuning
Un certain nombre de ces autorisations (comme Attribution, License, SSO, Indexing et Fine-Tuning) existent dans le système RBAC, mais les pages du portail correspondantes ne sont pas disponibles dans le déploiement FedRAMP multilocataire. Ces autorisations sont incluses dans l’UI de gestion des rôles par souci d’exhaustivité, mais elles ne donnent accès à aucune fonctionnalité active dans cet environnement.

Procédures du cycle de vie du compte administratif

Cette section décrit l’ensemble du cycle de vie d’un compte administratif principal, depuis sa création initiale jusqu’à sa mise hors service.

Configuration du compte

La prise en main via SSO (authentification unique) est la principale méthode de provisionnement dans le déploiement FedRAMP. La plateforme prend en charge OIDC et SAML 2.0 pour l’intégration de l’authentification unique. Les utilisateurs s’authentifient via le fournisseur d’identité configuré et, lors de leur première connexion, leur compte est créé, puis un administrateur leur attribue le rôle approprié via l’Admin Portal. Notez que l’intégration SSO dans l’environnement FedRAMP nécessite une coordination avec l’équipe FedRAMP de Devin Desktop et ne peut pas être configurée en libre-service. Chaque nouveau compte administrateur doit être configuré conformément au principe du moindre privilège. Privilégiez des rôles personnalisés n’accordant que les autorisations nécessaires aux responsabilités de l’administrateur, plutôt que d’attribuer le rôle Admin complet, sauf si l’utilisateur a besoin d’un accès complet au système.

Exigences en matière d’authentification et de MFA

Le déploiement FedRAMP utilise exclusivement l’authentification unique et prend en charge les protocoles OIDC et SAML 2.0. L’authentification par e-mail et mot de passe n’est pas disponible. Tous les utilisateurs doivent s’authentifier via le fournisseur d’identité configuré. L’authentification multifacteur (MFA) est imposée via le fournisseur d’identité de l’organisation. Devin Desktop hérite des politiques MFA configurées dans l’IdP connecté, ce qui signifie que toutes les exigences de robustesse de l’authentification (comme l’obligation d’un second facteur, de méthodes d’authentification résistantes au phishing ou de politiques d’accès conditionnel) sont définies au niveau de l’IdP. Les organisations doivent configurer leur IdP pour exiger l’authentification multifacteur pour tous les utilisateurs accédant à l’application Devin Desktop, en particulier pour les comptes dotés de rôles administratifs.
Devin Desktop recommande vivement d’exiger l’authentification multifacteur pour tous les comptes administratifs. Configurez votre fournisseur d’identité pour imposer la MFA comme condition d’accès à l’application Devin Desktop.

Configuration du compte

Après la création d’un compte administratif, les étapes de configuration suivantes doivent être réalisées. L’attribution des rôles détermine le périmètre de l’accès administratif du compte. Attribuez les rôles dans l’Admin Portal en accédant à l’onglet Manage Team, en recherchant l’utilisateur, en cliquant sur Edit, puis en sélectionnant le rôle approprié dans la liste déroulante. Les modifications prennent effet immédiatement. La gestion des clés de service est requise lorsque l’administrateur a besoin d’un accès à l’API pour l’automatisation ou l’analyse. Les clés de service sont créées dans Settings avec des autorisations limitées au périmètre correspondant à l’usage prévu de la clé. Chaque clé de service doit avoir un nom explicite (par exemple, “Tableau de bord d’analyse”) et se voir attribuer un rôle disposant des autorisations minimales requises.

Exploitation du compte

Les pratiques opérationnelles continues pour les comptes administratifs comprennent les éléments suivants. Des revues d’accès régulières doivent être effectuées afin de vérifier que les comptes administratifs ont toujours besoin de leur niveau d’accès actuel. Passez régulièrement en revue la liste des utilisateurs ayant le rôle Admin dans l’onglet Manage Team, et ajustez les rôles à mesure que les responsabilités évoluent. Le suivi de l’activité est disponible via les tableaux de bord d’analyse intégrés. Les administrateurs disposant de l’autorisation Analytics Read peuvent suivre l’activité des utilisateurs, les métriques d’engagement et l’utilisation des fonctionnalités. L’Analytics API fournit un accès programmatique à ces données pour une intégration avec des systèmes de surveillance externes. La rotation des clés de service doit être effectuée régulièrement. Pour effectuer la rotation d’une clé, créez une nouvelle clé de service avec les mêmes autorisations, mettez à jour le système qui l’utilise afin d’employer la nouvelle clé, puis supprimez l’ancienne clé.

Mise hors service du compte

Lorsqu’un administrateur n’a plus besoin d’un accès, son compte doit être mis hors service rapidement en suivant la procédure ci-dessous.
1

Révoquer le rôle administratif

Accédez à l’Admin Portal, ouvrez l’onglet Manage Team, repérez l’utilisateur, cliquez sur Edit, puis remplacez son rôle Admin par User (ou par un rôle personnalisé sans autorisations administratives).
2

Révoquer les clés de service

Supprimez toutes les clés de service créées par l’administrateur sur le départ ou utilisées exclusivement par celui-ci. Accédez à Settings, puis à Service Key, et supprimez les clés concernées.
3

Supprimer ou désactiver le compte

Supprimez l’utilisateur depuis l’onglet Manage Team en cliquant sur Delete à côté de son nom. Cela désactivera le compte Devin Desktop de l’utilisateur et libérera sa licence.
4

Vérifier les accès résiduels

Vérifiez que le compte mis hors service n’apparaît plus dans aucun rôle administratif en consultant la liste des utilisateurs dans Manage Team, filtrée sur le rôle Admin. Confirmez que toutes les clés de service associées au compte ont bien été supprimées.
Mettez immédiatement hors service les comptes administratifs lorsqu’un administrateur change de rôle ou quitte l’organisation. Retarder cette opération crée une exposition inutile aux risques de sécurité.

Référence des paramètres de sécurité

Le tableau ci-dessous présente tous les paramètres de sécurité contrôlés par les administrateurs disponibles dans l’Admin Portal du déploiement FedRAMP. Chaque entrée décrit la fonction du paramètre, son impact sur la sécurité et la configuration recommandée pour un déploiement soucieux de la sécurité.
SettingFunctionSecurity impactRecommended value
Contrôle d’accès basé sur les rôles (RBAC)Détermine quelles actions administratives chaque utilisateur peut effectuer en fonction du rôle et des autorisations qui lui sont attribués. Géré dans la section Role Management de Settings.Limite l’étendue des dommages en cas de compromission d’un compte en restreignant les autorisations à ce dont chaque utilisateur a besoin. Des attributions de rôles trop larges augmentent l’impact potentiel de la compromission d’un seul compte.Configurez selon le principe du moindre privilège. Créez des rôles personnalisés avec uniquement les autorisations requises par chaque administrateur. Réservez le rôle Admin intégré à un petit nombre d’administrateurs.
Autorisations des clés de serviceLimite les access tokens d’API à des ensembles d’autorisations spécifiques, afin de contrôler les opérations que les systèmes automatisés peuvent effectuer. Géré dans la section Service Key de Settings.Des clés de service dotées d’autorisations excessives peuvent être exploitées si elles sont divulguées, accordant un accès non autorisé à la gestion des utilisateurs, à l’analyse ou à d’autres fonctions.Limitez le périmètre aux autorisations strictement nécessaires. Créez des clés de service dédiées pour chaque intégration, avec uniquement les autorisations dont cette intégration a besoin. Faites pivoter les clés régulièrement.
Configuration du fournisseur SSOConfigure le fournisseur d’identité utilisé pour toute l’authentification des utilisateurs, avec prise en charge des protocoles OIDC et SAML 2.0. L’authentification par e-mail/mot de passe n’est pas disponible. La configuration du SSO nécessite une coordination avec l’équipe FedRAMP de Devin Desktop. Géré dans la section SSO de Settings.Centralise l’authentification via l’IdP de l’organisation, ce qui permet d’appliquer la MFA, l’accès conditionnel et les politiques de session. Une mauvaise configuration pourrait bloquer tous les utilisateurs ou autoriser des accès non autorisés.Configurez avec le fournisseur d’identité approuvé par votre organisation (OIDC ou SAML 2.0). Vérifiez la configuration en testant la connexion avec un compte non administrateur avant un déploiement à grande échelle.
Mis à jour pour la dernière fois : 28 janvier 2026