メインコンテンツへスキップ

Devin Enterprise へのサインイン

セキュリティ強化と使いやすさ向上のため、SSO(シングルサインオン)と統合ログインの設定を推奨します。SSO を使用すると、組織のアイデンティティプロバイダーを利用して、ユーザーが Devin Enterprise にサインインできるようになります。詳しくは、Devin での SSO 設定 を参照してください。 SSO を設定しない場合、ユーザーは Google などで指定した外部アカウントを使って Devin Enterprise にサインインできます。 GitHub アカウントの利用は推奨しません。多くの場合、個人の GitHub アカウントのメールアドレスと勤務先のメールアドレスが一致しないためです。

Devin の RBAC アーキテクチャの技術概要

Devin Enterprise では、既存のアイデンティティ基盤と連携する包括的なロールベースのアクセス制御(RBAC)システムを実装しています。本セクションでは、組織で RBAC を設定・活用する方法について説明します。

アイデンティティプロバイダとの統合

Identity Provider(IdP)で Devin Enterprise を構成した後、認証フローは次のようになります。
  1. 認証時に、Devin Enterprise は IdP からグループ情報を受け取ります
  2. IdP は JWT トークン内のクレームとしてグループ情報を送信します
  3. Devin Enterprise はこれらのグループを使用してアクセス権限を決定します

グループベースのアクセス制御の設定

どの IdP グループにどの組織へのアクセス権を付与するかを設定できます。
  1. 既存の IdP グループを Devin Enterprise の組織に対応付ける
  2. 各グループに適切なロール(メンバーまたは管理者)を割り当てる
  3. ユーザーには、所属する IdP グループに基づいた権限が自動的に付与される

アクセス制御の実装

Devin Enterprise は、複数の方法を通じてユーザーのアクセス権を決定します。
  • 直接メンバーシップ: 個々のユーザーを組織に割り当てる方法
  • グループメンバーシップ: ユーザーが IdP のグループメンバーシップからアクセス権を継承する方法
  • Enterprise 管理者: 管理者は、自身の Enterprise 内のすべての組織にアクセスできます
直接メンバーシップとグループメンバーシップは 加算的 に扱われます。ユーザーは、直接メンバーシップとグループメンバーシップの両方を通じて割り当てられたすべてのロールに基づく権限が合算されます。これらの割り当て種別の間に優先順位の上下関係はありません。

リポジトリアクセス制御

Git リポジトリへのアクセスに関して、Devin Enterprise では次のように動作します。
  • 組織レベルのアクセス制御から権限を継承します
  • リポジトリ単位でのきめ細かなアクセス制御をサポートします
  • すべてのコンポーネント間で一貫した認可を維持します
この方式により、既存のアイデンティティ管理システムを活用しつつ、Devin Enterprise のリソースに対する安全なロールベースのアクセス制御を実現できます。

IdP からユーザーとグループを同期する

IdP から Devin Enterprise にユーザーとグループを同期して、ユーザーが適切なアクセス権を確実に持てるようにします。グループにはメンバーまたは管理者ロールを割り当てられ、複数の組織に所属させることもできます。 ユーザーの自動マッチングを有効にするには、グループとロールおよび組織とのマッピングを設定します。認証後、Devin Enterprise は IdP から送信された JWT トークンからグループ情報を抽出し、その情報に基づいてユーザーを対応するロールおよび組織に割り当てます。 
{
  "sub": "12345",
  "name": "John Doe",
  "email": "[email protected]",
  "groups": ["Engineering", "Admins"],  // グループクレーム
  "iss": "https://idp.example.com",
  "aud": "your_app_client_id"
}
SCIM の利用を希望される場合は、お問い合わせください(mailto:[email protected])。
ユーザーがアイデンティティプロバイダーから削除されると、そのユーザーは Devin Enterprise 上で無効化されます。Enterprise の設定で IdP グループ権限を構成できます。詳しくは Custom Roles & RBAC を参照してください。

Enterprise アクセス制御

Devin Enterprise では、作成できる組織の数に上限はありません。
アクセス条件説明
組織のメンバーメンバーであれば、その組織にアクセスできます。
組織管理者(組織の所有者)組織へのアクセスおよび編集ができます。
Enterprise 管理者(Enterprise の所有者)Enterprise および、その配下の組織へのアクセスおよび編集ができます。
メンバー / 管理者向け IdP グループに所属メンバー / 管理者として設定された IdP グループに所属している場合、その Enterprise または組織にアクセスできます。
IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映するには再認証が必要です。