Vai al contenuto principale

Documentation Index

Fetch the complete documentation index at: https://docs.devin.ai/llms.txt

Use this file to discover all available pages before exploring further.

guida per l’amministratore della sicurezza FedRAMP

Questa guida descrive come impostare, configurare, gestire e dismettere in sicurezza gli account amministrativi di livello superiore in Devin Desktop. Include le definizioni dei ruoli amministrativi, le procedure relative al ciclo di vita degli account e tutte le impostazioni di sicurezza controllate dagli amministratori, con le rispettive funzioni, gli impatti sulla sicurezza e i valori consigliati.
Questa guida è scritta per la distribuzione FedRAMP di Devin Desktop, in esecuzione su AWS GovCloud. La distribuzione FedRAMP utilizza un portale Enterprise dedicato e l’autenticazione basata su SSO (OIDC o SAML 2.0). Alcune funzionalità descritte in altra documentazione di Devin Desktop per l’offerta SaaS non sono disponibili nell’ambiente FedRAMP.

Definizioni dei ruoli amministrativi

Devin Desktop utilizza un sistema di controllo degli accessi basato sui ruoli (RBAC) per gestire i privilegi amministrativi. I ruoli vengono gestiti tramite l’Admin Portal, nella sezione Settings di Role Management, e possono essere assegnati a singoli utenti.

Ruoli predefiniti

Devin Desktop offre due ruoli predefiniti che non possono essere eliminati.
RuoloDescrizioneAutorizzazioni predefinite
AdminAccesso amministrativo completo alle Settings dell’organizzazione, alla gestione degli utenti, all’analisi e ai controlli di sicurezza. È il livello di privilegio più elevato che un utente può avere all’interno di un team.Tutte le autorizzazioni abilitate
UserAccesso standard per l’utente finale, senza autorizzazioni amministrative. Gli utenti possono accedere alle funzionalità di coding di Devin Desktop, ma non possono visualizzare o modificare le Settings dell’organizzazione.Nessuna autorizzazione amministrativa

Ruoli personalizzati

Gli amministratori possono creare ruoli personalizzati per applicare il principio del privilegio minimo. I ruoli personalizzati sono composti da autorizzazioni granulari selezionate tra le categorie riportate di seguito. Per creare un ruolo personalizzato, vai al Admin Portal e apri la sezione Role Management in Settings.

Riferimento delle autorizzazioni

La tabella seguente elenca tutte le autorizzazioni disponibili per l’assegnazione dei ruoli nella distribuzione FedRAMP. Ogni autorizzazione controlla l’accesso a una specifica funzione amministrativa.
CategoryPermissionDescription
TeamTeam di sola letturaAccesso di sola lettura alla pagina di gestione dei team
TeamAggiornamento teamPossibilità di aggiornare i ruoli degli utenti nella pagina dei team
TeamEliminazione teamPossibilità di rimuovere utenti dalla pagina dei team
AnalyticsLettura analyticsAccesso in lettura alla pagina di analytics e ai dashboard
AttribuzioneLettura attribuzioneAccesso in lettura alla pagina di attribuzione
LicenzaLettura licenzaAccesso in lettura alla pagina della licenza
SSOLettura SSOAccesso in lettura alla pagina di configurazione di SSO
SSOScrittura SSOPossibilità di configurare e modificare le impostazioni del provider SSO
Chiave di servizioLettura chiave di servizioAccesso in lettura alla pagina delle chiavi di servizio
Chiave di servizioCreazione chiave di servizioPossibilità di creare nuove chiavi di servizio per l’accesso API
Chiave di servizioAggiornamento chiave di servizioPossibilità di modificare le chiavi di servizio esistenti
Chiave di servizioEliminazione chiave di servizioPossibilità di revocare ed eliminare le chiavi di servizio
Role ManagementLettura ruoliAccesso in lettura alla scheda dei ruoli in Settings
Role ManagementCreazione ruoliPossibilità di creare nuovi ruoli
Role ManagementAggiornamento ruoliPossibilità di modificare le definizioni dei ruoli esistenti
Role ManagementEliminazione ruoliPossibilità di eliminare i ruoli
Chat esternaGestione chat esternaPossibilità di modificare le configurazioni del modello di chat esterna
IndicizzazioneLettura indicizzazioneAccesso in lettura alla pagina di configurazione dell’indicizzazione
IndicizzazioneCreazione indicizzazionePossibilità di creare nuovi indici
IndicizzazioneAggiornamento indicizzazionePossibilità di aggiornare le repository indicizzate esistenti
IndicizzazioneEliminazione indicizzazionePossibilità di eliminare gli indici
IndicizzazioneGestione indicizzazionePossibilità di eseguire operazioni di gestione e pulizia del database degli indici
Fine-tuningLettura fine-tuningAccesso in lettura alla pagina di fine-tuning
Fine-tuningCreazione fine-tuningPossibilità di creare job di fine-tuning
Fine-tuningAggiornamento fine-tuningPossibilità di aggiornare job di fine-tuning
Fine-tuningEliminazione fine-tuningPossibilità di eliminare job di fine-tuning
Alcune di queste autorizzazioni (come Attribuzione, Licenza, SSO, Indicizzazione e Fine-tuning) esistono nel sistema RBAC, ma le corrispondenti pagine del portale non sono disponibili nella distribuzione FedRAMP multi-tenant. Queste autorizzazioni sono incluse nell’interfaccia utente di Role Management per completezza, ma non concedono l’accesso ad alcuna funzionalità attiva in questo ambiente.

Procedure per il ciclo di vita dell’account Admin

Questa sezione descrive il ciclo di vita completo di un account amministrativo di livello superiore, dalla creazione iniziale fino alla dismissione.

Configurazione dell’account

L’onboarding basato su SSO è il principale metodo di provisioning nella distribuzione FedRAMP. La piattaforma supporta sia OIDC sia SAML 2.0 per l’integrazione Single Sign-On. Gli utenti si autenticano tramite il provider di identità configurato e, dopo che il loro primo accesso ha creato l’account, un amministratore assegna il ruolo appropriato tramite l’Admin Portal. Tieni presente che l’integrazione SSO nell’ambiente FedRAMP richiede il coordinamento con il team Devin Desktop FedRAMP e non può essere configurata in modalità Self-serve. Ogni nuovo account amministratore deve essere configurato secondo il principio del privilegio minimo. È preferibile usare ruoli personalizzati con solo le autorizzazioni necessarie per le responsabilità dell’amministratore, anziché assegnare il ruolo Admin completo, a meno che l’utente non richieda l’accesso completo al sistema.

Requisiti di autenticazione e MFA

La distribuzione FedRAMP utilizza esclusivamente il Single Sign-On, con supporto per i protocolli OIDC e SAML 2.0. L’autenticazione con email e password non è disponibile. Tutti gli utenti devono autenticarsi tramite il provider di identità configurato. L’autenticazione a più fattori (MFA) viene applicata tramite il provider di identità dell’organizzazione. Devin Desktop eredita le policy MFA configurate nell’IdP collegato, il che significa che tutti i requisiti relativi al livello di sicurezza dell’autenticazione, come l’obbligo di un secondo fattore, l’uso di autenticatori resistenti al phishing o le policy di accesso condizionale, sono gestiti a livello di IdP. Le organizzazioni devono configurare il proprio IdP in modo da richiedere l’MFA per tutti gli utenti che accedono all’applicazione Devin Desktop, in particolare per gli account con ruoli amministrativi.
Devin Desktop raccomanda vivamente di richiedere l’MFA per tutti gli account amministrativi. Configura il tuo provider di identità in modo che applichi l’MFA come requisito per accedere all’applicazione Devin Desktop.

Configurazione dell’account

Dopo la creazione di un account amministrativo, è necessario completare i seguenti passaggi di configurazione. Assegnazione dei ruoli determina l’ambito dell’accesso amministrativo dell’account. Assegna i ruoli tramite l’Admin Portal andando alla scheda Manage Team, individuando l’utente, facendo clic su Edit e selezionando il ruolo appropriato dal menu a discesa. Le modifiche hanno effetto immediato. Gestione delle chiavi di servizio è necessaria quando l’amministratore ha bisogno dell’accesso API per automazione o analisi. Le chiavi di servizio vengono create in Settings con autorizzazioni definite in base all’ambito d’uso previsto per la chiave. A ogni chiave di servizio deve essere assegnato un nome descrittivo (per esempio, “Dashboard di analisi”) e un ruolo con le autorizzazioni minime necessarie.

Gestione operativa dell’account

Le pratiche operative continue per gli account amministrativi includono quanto segue. Revisioni periodiche degli accessi dovrebbero essere effettuate per verificare che gli account amministrativi necessitino ancora del loro attuale livello di accesso. Esamina periodicamente l’elenco degli utenti con il ruolo Admin nella scheda Manage Team e modifica i ruoli in base ai cambiamenti delle responsabilità. Il monitoraggio dell’attività è disponibile tramite i dashboard di analytics integrati. Gli amministratori con l’autorizzazione Analytics Read possono monitorare l’attività degli utenti, le metriche di coinvolgimento e l’utilizzo delle funzionalità. L’Analytics API fornisce accesso programmatico a questi dati per l’integrazione con sistemi di monitoraggio esterni. La rotazione delle chiavi di servizio dovrebbe essere eseguita regolarmente. Per ruotare una chiave, crea una nuova chiave di servizio con le stesse autorizzazioni, aggiorna il sistema che la utilizza in modo che usi la nuova chiave, quindi elimina la vecchia chiave.

Disattivazione dell’account

Quando un amministratore non necessita più dell’accesso, l’account deve essere disattivato tempestivamente seguendo la procedura riportata di seguito.
1

Revocare il ruolo amministrativo

Vai all’Admin Portal, apri la scheda Manage Team, individua l’utente, fai clic su Edit e cambia il ruolo da Admin a User (o a un ruolo personalizzato privo di autorizzazioni amministrative).
2

Revocare le chiavi di servizio

Elimina tutte le chiavi di servizio create da o utilizzate esclusivamente dall’amministratore uscente. Vai in Settings, quindi in chiave di servizio, ed elimina le chiavi pertinenti.
3

Rimuovere o disattivare l'account

Rimuovi l’utente tramite la scheda Manage Team facendo clic su Delete accanto al suo nome. Questa operazione disattiverà l’account Devin Desktop dell’utente e libererà la licenza assegnata.
4

Verificare l'accesso residuo

Verifica che l’account disattivato non compaia più in alcun ruolo amministrativo controllando l’elenco degli utenti in Manage Team filtrato per il ruolo Admin. Conferma che tutte le chiavi di servizio associate all’account siano state eliminate.
Disattiva immediatamente gli account amministrativi quando un amministratore cambia ruolo o lascia l’organizzazione. Ritardare la disattivazione comporta rischi di sicurezza non necessari.

Riferimento delle impostazioni di sicurezza

La tabella seguente documenta tutte le impostazioni di sicurezza controllate dagli amministratori disponibili nell’Admin Portal della distribuzione FedRAMP. Ogni voce descrive la funzione dell’impostazione, il relativo impatto sulla sicurezza e la configurazione consigliata per una distribuzione attenta alla sicurezza.
ImpostazioneFunzioneImpatto sulla sicurezzaValore consigliato
Controllo degli accessi basato sui ruoli (RBAC)Controlla quali azioni amministrative può eseguire ciascun utente in base al ruolo e alle autorizzazioni assegnati. Gestito nella sezione Role Management in Settings.Limita l’impatto di eventuali account compromessi restringendo le autorizzazioni a quelle strettamente necessarie per ciascun utente. Assegnazioni di ruolo troppo ampie aumentano il potenziale impatto della compromissione di un singolo account.Configura secondo il principio del privilegio minimo. Crea ruoli personalizzati con solo le autorizzazioni necessarie a ciascun amministratore. Riserva il ruolo Admin integrato a un numero limitato di amministratori.
Autorizzazioni della chiave di servizioLimita gli access token API a set specifici di autorizzazioni, controllando quali operazioni possono eseguire i sistemi automatizzati. Gestito nella sezione chiave di servizio in Settings.Le chiavi di servizio con autorizzazioni eccessive possono essere sfruttate se esposte, concedendo accesso non autorizzato alla gestione degli utenti, ad analytics o ad altre funzionalità.Limita alle autorizzazioni minime richieste. Crea chiavi di servizio dedicate per ogni integrazione, con solo le autorizzazioni necessarie a tale integrazione. Ruota regolarmente le chiavi.
Configurazione del provider SSOConfigura il provider di identità usato per tutta l’autenticazione degli utenti, con supporto sia per i protocolli OIDC sia per SAML 2.0. L’autenticazione tramite email/password non è disponibile. La configurazione di SSO richiede il coordinamento con il team FedRAMP di Devin Desktop. Gestito nella sezione SSO in Settings.Centralizza l’autenticazione tramite l’IdP dell’organizzazione, consentendo l’applicazione di MFA, accesso condizionale e policy di sessione. Una configurazione errata potrebbe bloccare l’accesso a tutti gli utenti o consentire accessi non autorizzati.Configura con il provider di identità approvato dalla tua organizzazione (OIDC o SAML 2.0). Verifica la configurazione testando l’accesso con un account non amministratore prima di estenderla su larga scala.
Ultimo aggiornamento: 28 gennaio 2026