概要
- Entra の承認時に要求されるのは
User.Readのみで、これは ID の確認だけに使用されます - Entra の承認だけでは、リポジトリやコードへのアクセス権は付与されません
- すべてのリポジトリへのアクセスは、Azure DevOps で割り当てる権限によって制御されます
前提条件
- 統合を管理する権限を持つ Enterprise の Devin アカウント
- アプリケーションに管理者の同意を付与できる Microsoft Entra 管理者
- ユーザーを追加し、権限を割り当てられる Azure DevOps 組織管理者
統合の設定
- app.devin.ai で Devin アカウントにサインインします。
- 別のブラウザまたはシークレット ウィンドウで、Azure DevOps にサインインします (手順 6 で必要です) 。
- Enterprise の Devin アカウントで、Settings > Enterprise Settings > 統合 に移動し、Azure DevOps を選択します。
- Connect ボタンのドロップダウンを開き、Connect with service principal を選択します。
-
Devin にテナントへのアクセス許可を付与するため、Microsoft にリダイレクトされます。承認すると、Devin の Azure DevOps 統合ページに戻り、Add organization with service principal セクションが表示されます。
- 承認すると、Microsoft Entra テナントにサービス プリンシパルが作成されます
- この手順で要求されるのは
User.Readのみで、リポジトリへのアクセスは付与されません
-
Azure DevOps で、Organization Settings > Users に移動します。
- Add Users をクリックし、サービス プリンシパル (
Cognition Azure DevOps Service Principal) を追加します - アクセス レベルには Basic を選択します (Stakeholder では不十分で、API には Basic が必要です)
- Devin にアクセスを許可したいすべてのプロジェクトに追加します
- 関連する Azure DevOps グループ (通常は Project Contributors) にサービス プリンシパルを割り当てます
- Add Users をクリックし、サービス プリンシパル (
- Devin に戻り、Azure DevOps 統合ページの Add organization with service principal セクションで、前の手順で使用した Azure DevOps の組織名を入力し、Add をクリックします。
- Devin で Azure DevOps 統合の Git 権限 を選択し、サブ組織を選んで、グループ レベルまたはリポジトリ レベルで権限を付与します。
- 権限が付与された各組織について、Devin’s Settings > Devin’s Machine に移動し、+ Repository をクリックして、リポジトリを連携します。
Devin がアクセスできる範囲
| 機能 | 説明 |
|---|---|
| リポジトリを一覧表示 | 利用可能なリポジトリとそのメタデータを閲覧する |
| ブランチを読み取る | ブランチ情報とコミット履歴にアクセスする |
| プルリクエストを作成する | コード変更のための新しい PR を作成する |
| プルリクエストを閲覧する | PR のイベント、コメント、ステータスにアクセスする |
| コードをプッシュする | 新しいブランチとコミットをリポジトリにプッシュする |
今後、組織で Devin に Azure DevOps の追加領域への対応が必要になった場合は、要件についてご相談いただくため、enterprise@cognition.ai までご連絡ください。
セキュリティ上の考慮事項
- 最小限の Entra 権限 — 要求されるのは
User.Readのみです。ディレクトリ全体の読み取りアクセス、グループメンバーシップの参照、管理者権限は含まれません。 - 明示的な認可 — Entra で承認されただけでは、Azure DevOps へのアクセス権は付与されません。すべてのリポジトリへのアクセスは、Azure DevOps 管理者が明示的に割り当てる必要があります。
- 暗号化された認証情報 — すべてのトークンは暗号化され、安全に保存されます。
- スコープを限定したアクセス — Devin の Enterprise UI から、権限を特定のプロジェクト、リポジトリ、操作に限定できます。
- 監査性 — アクティビティは Entra のサインインログと Azure DevOps の監査ログに記録されます。
- ブランチポリシーを遵守 — Devin の PR は、ほかのコントリビューターと同様に、同じブランチポリシーとレビュー要件の対象となります。
ベストプラクティス
- リポジトリレベルの権限を利用する — Devin には組織全体ではなく、必要な特定のリポジトリとプロジェクトにのみアクセス権を付与してください。
- ブランチポリシーを有効にする — Azure DevOps でブランチポリシーを設定し、すべての変更がマージされる前に適切なレビュープロセスを経るようにします。
- 監査ログを確認する — サービス プリンシパルのアクティビティについて、Azure DevOps の監査ログと Entra のサインイン ログを定期的に確認してください。
トラブルシューティング
- 承認を行うユーザーに、Entra テナント内のアプリケーションに対して管理者の同意を付与する権限があることを確認してください
- テナントでアプリケーションへの同意が制限されている場合は、Global Administrator または Cloud Application Administrator による同意の付与が必要になることがあります
- Entra ポータルの Enterprise Applications で、管理者による同意が正常に完了していることを確認してください (
Cognition Azure DevOps Service Principalを探してください) - サービス プリンシパルが Organization Settings > Users から Azure DevOps 組織に明示的に追加されていることを確認してください
- サービス プリンシパルが MFA を強制する Conditional Access ポリシーの対象になっている場合、トークンの更新は通知なく失敗します。Devin アプリケーションに対して、サービス プリンシパルを除外する Conditional Access の例外を作成してください。
- サービス プリンシパルが Organization Settings > Users から Azure DevOps 組織に追加されていることを確認してください
- アクセス レベルが Basic に設定されていることを確認してください (API アクセスには Stakeholder では不十分です)
- Devin の Enterprise Settings でリポジトリ権限が付与されていることを確認してください
- リポジトリが Devin’s Machine に追加されていることを確認してください
- サービス プリンシパルに対象リポジトリの Contributor 権限があることを確認してください
- ブランチ ポリシーによって PR の作成がブロックされていないことを確認してください
- 対象ブランチが存在し、アクセス可能であることを確認してください