Devin Enterprise では、セキュリティの強化と利便性の向上のために、シングルサインオン (SSO) と統合ログインの設定を推奨しています。SSO を設定すると、組織のアイデンティティ プロバイダーを使って、ユーザーが Devin Enterprise にサインインできるようになります。詳しくは Configure SSO in Devin を参照してください。
SSO を設定しない場合、ユーザーは Google など、選択した外部アカウントを使って Devin Enterprise にログインできます。GitHub は、個人の GitHub のメールアドレスと勤務先のメールアドレスが一致しないことが多いため、推奨されません。
Devin の RBAC アーキテクチャの技術概要
- 認証時に、Devin Enterprise は IdP からグループ情報を受け取ります。
- IdP は JWT トークン内のクレームとしてグループ情報を送信します。
- Devin Enterprise はこれらのグループを使用してアクセス権限を決定します。
どの IdP グループに特定の組織へのアクセス権を付与するかを設定できます。
- 既存の IdP グループを Devin Enterprise の組織にマッピングする
- 各グループに適切なロール(member または admin)を割り当てる
- ユーザーは所属する IdP グループに基づいて権限を自動的に引き継ぐ
Devin Enterprise は、複数の方法でユーザーのアクセス権を判断します:
- 直接メンバーシップ: 個々のユーザーが組織に直接割り当てられている場合
- グループメンバーシップ: ユーザーは IdP のグループメンバーシップからアクセス権を継承する場合
- Enterprise admin: Enterprise 管理者は、自身のエンタープライズ内のすべての組織にアクセスできる
Git リポジトリへのアクセスに関して、Devin Enterprise は次のことを行います:
- 組織レベルのアクセス制御から権限を継承する
- リポジトリレベルでのきめ細かなアクセス制御をサポートする
- すべてのコンポーネント間で一貫した認可を維持する
このアプローチにより、既存のアイデンティティ管理システムを活用しつつ、Devin Enterprise のリソースに対して安全なロールベースのアクセスを提供できます。
アイデンティティプロバイダーからユーザーとグループを同期する
{
"sub": "12345",
"name": "山田太郎",
"email": "[email protected]",
"groups": ["Engineering", "Admins"], // グループクレーム
"iss": "https://idp.example.com",
"aud": "your_app_client_id"
}
ユーザーがアイデンティティプロバイダーから削除されると、そのユーザーは Devin Enterprise 上で無効化されます。IdP グループの権限は、エンタープライズ設定から構成できます。詳細については、Custom Roles & RBAC を参照してください。 | アクセス条件 | 説明 |
|---|
| 組織のメンバー | 組織のメンバーであれば、その組織にアクセスできます。 |
| エンタープライズ管理者(エンタープライズの所有者) | エンタープライズおよびその配下の組織にアクセスし、管理・編集できます。 |
| 組織管理者(組織の所有者) | 組織にアクセスし、管理・編集できます。 |
| メンバーである IdP グループに所属している | メンバー/管理者として登録されている IdP グループに所属している場合、そのエンタープライズまたは組織にアクセスできます。 |
IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映するには再認証が必要です。
