メインコンテンツへスキップ

Devin Enterprise にサインインする

より高いセキュリティと利便性の向上のため、SSO(シングルサインオン)と統合ログインの設定を推奨します。SSO を使用すると、ユーザーは組織のアイデンティティプロバイダー(IdP)を使って Devin Enterprise にサインインできます。詳しくは、Devin で SSO を設定するを参照してください。 SSO を設定しない場合、ユーザーは Google などの指定した外部アカウントを使用して Devin Enterprise にサインインできます。 GitHub は、個人の GitHub のメールアドレスと仕事用メールアドレスが一致しないことが多いため、推奨しません。

Devin の RBAC アーキテクチャの技術概要

Devin Enterprise は、既存のアイデンティティ基盤と連携する包括的なロールベースのアクセス制御(RBAC)システムを実装しています。本セクションでは、組織で RBAC を設定および活用する方法を説明します。

アイデンティティプロバイダー統合

Devin Enterprise をアイデンティティプロバイダー (IdP) と統合すると、認証フローは次のようになります。
  1. 認証時に、Devin Enterprise は IdP からグループ情報を受け取ります
  2. IdP は JWT トークン内のクレームとしてグループ情報を送信します
  3. Devin Enterprise はこれらのグループ情報に基づいてアクセス権限を判定します

グループベースのアクセス設定

どの IdP グループにどの組織へのアクセス権を付与するかを設定できます:
  1. 既存の IdP グループを Devin Enterprise の組織にマッピングする
  2. 各グループに適切なロール(メンバーまたは管理者)を割り当てる
  3. ユーザーは自分の IdP グループへの所属に基づいて、自動的に権限が付与される

アクセス制御の実装

Devin Enterprise は、複数の方法でユーザーのアクセス権を決定します:
  • 直接メンバーシップ: 個々のユーザーを組織に直接割り当てる
  • グループメンバーシップ: ユーザーは IdP のグループメンバーシップからアクセス権を継承する
  • Enterprise 管理者: 管理者は自分の Enterprise 内のすべての組織にアクセスできる
直接メンバーシップとグループメンバーシップは加算的です。ユーザーには、直接メンバーシップおよびグループメンバーシップの両方を通じて割り当てられたすべてのロールからの権限が合算されて付与されます。これらの割り当てタイプ間に、優先順位や階層関係は存在しません。

リポジトリアクセス制御

Git リポジトリへのアクセスについて、Devin Enterprise では次のように機能します。
  • 組織レベルのアクセス制御から権限を継承する
  • リポジトリごとのきめ細かなアクセス制御をサポートする
  • すべてのコンポーネントで一貫した認可を維持する
このアプローチにより、既存のアイデンティティ管理システムを活用しつつ、Devin Enterprise のリソースへの安全なロールベースのアクセスを提供できます。

IdP からユーザーとグループを同期する

IdP から Devin Enterprise にユーザーとグループを同期して、適切なアクセス権を付与できます。グループにはメンバーまたは管理者ロールを割り当てられ、複数の組織に所属させることができます。 ユーザーの自動対応付けを有効にするには、グループとロールおよび組織とのマッピングを設定します。認証後、Devin Enterprise は IdP から送信される JWT トークンからグループ情報を抽出し、その情報に基づいてユーザーを対応付けます。 
{
  "sub": "12345",
  "name": "John Doe",
  "email": "[email protected]",
  "groups": ["Engineering", "Admins"],  // グループクレーム
  "iss": "https://idp.example.com",
  "aud": "your_app_client_id"
}
SCIM が必要な場合はお問い合わせください。
ユーザーがアイデンティティプロバイダーから削除されると、そのユーザーは Devin Enterprise 上で無効化されます。IdP グループの権限は Enterprise 設定で管理できます。詳細は Custom Roles & RBAC を参照してください。

Enterprise アクセス制御

Devin Enterprise では、配下に作成できる組織数に上限はありません。
アクセス条件説明
組織のメンバー組織のメンバーである場合、その組織にアクセスできます。
組織管理者(組織の所有者)組織にアクセスし、変更できます。
Enterprise 管理者(Enterprise の所有者)Enterprise とその配下の組織にアクセスし、変更できます。
メンバー/管理者向け IdP グループに所属メンバー/管理者として設定された IdP グループに所属している場合、Enterprise または組織にアクセスできます。
IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映するには再認証が必要です。