> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# IdP グループ統合

> Devin Enterprise におけるユーザーアクセス管理を効率化するために、IdP（アイデンティティプロバイダー）グループ統合を設定します。

<div id="sign-in-to-devin-enterprise">
  ## Devin Enterprise にサインインする
</div>

より高いセキュリティと利便性の向上のため、SSO (シングルサインオン) と統合ログインの設定を推奨します。SSO を使用すると、ユーザーは組織のアイデンティティプロバイダー (IdP) を使って Devin Enterprise にサインインできます。詳しくは、[Microsoft Entra ID SSO](/ja/enterprise/security-access/sso/azure)、[Okta SSO](/ja/enterprise/security-access/sso/okta)、[SAML SSO](/ja/enterprise/security-access/sso/saml)、または [OIDC SSO](/ja/enterprise/security-access/sso/oidc) を参照してください。

SSO を設定しない場合、ユーザーは Google などの指定した外部アカウントを使用して Devin Enterprise にサインインできます。
GitHub は、個人の GitHub のメールアドレスと仕事用メールアドレスが一致しないことが多いため、推奨しません。

<div id="technical-overview-of-devins-rbac-architecture">
  ## Devin の RBAC アーキテクチャの技術概要
</div>

Devin Enterprise は、既存のアイデンティティ基盤と連携する包括的なロールベースのアクセス制御 (RBAC) システムを実装しています。本セクションでは、組織で RBAC を設定および活用する方法を説明します。

<div id="identity-provider-integration">
  ### アイデンティティプロバイダー統合
</div>

Devin Enterprise をアイデンティティプロバイダー (IdP) と統合すると、認証フローは次のようになります。

1. 認証時に、Devin Enterprise は IdP からグループ情報を受け取ります
2. IdP は JWT トークン内のクレームとしてグループ情報を送信します
3. Devin Enterprise はこれらのグループ情報に基づいてアクセス権限を判定します

<div id="configuring-group-based-access">
  ### グループベースのアクセス設定
</div>

どの IdP グループにどの組織へのアクセス権を付与するかを設定できます：

1. 既存の IdP グループを Devin Enterprise の組織にマッピングする
2. 各グループに適切なロール (メンバーまたは管理者) を割り当てる
3. ユーザーは自分の IdP グループへの所属に基づいて、自動的に権限が付与される

<div id="access-control-implementation">
  ### アクセス制御の実装
</div>

Devin Enterprise は、複数の方法でユーザーのアクセス権を決定します:

* **直接メンバーシップ**: 個々のユーザーを組織に直接割り当てる
* **グループメンバーシップ**: ユーザーは IdP のグループメンバーシップからアクセス権を継承する
* **Enterprise 管理者**: 管理者は自分の Enterprise 内のすべての組織にアクセスできる

<Note>
  直接メンバーシップとグループメンバーシップは**加算的**です。ユーザーには、直接メンバーシップおよびグループメンバーシップの両方を通じて割り当てられたすべてのロールからの権限が合算されて付与されます。これらの割り当てタイプ間に、優先順位や階層関係は存在しません。
</Note>

<div id="repository-access-control">
  ### リポジトリアクセス制御
</div>

Git リポジトリへのアクセスについて、Devin Enterprise では次のように機能します。

* 組織レベルのアクセス制御から権限を継承する
* リポジトリごとのきめ細かなアクセス制御をサポートする
* すべてのコンポーネントで一貫した認可を維持する

このアプローチにより、既存のアイデンティティ管理システムを活用しつつ、Devin Enterprise のリソースへの安全なロールベースのアクセスを提供できます。

<div id="sync-users-and-groups-from-your-identity-provider">
  ## IdP からユーザーとグループを同期する
</div>

IdP から Devin Enterprise にユーザーとグループを同期して、適切なアクセス権を付与できます。グループにはメンバーまたは管理者ロールを割り当てられ、複数の組織に所属させることができます。

ユーザーの自動対応付けを有効にするには、グループとロールおよび組織とのマッピングを設定します。認証後、Devin Enterprise は IdP から送信される JWT トークンからグループ情報を抽出し、その情報に基づいてユーザーを対応付けます。

```
{
  "sub": "12345",
  "name": "John Doe",
  "email": "johndoe@example.com",
  "groups": ["Engineering", "Admins"],  // グループクレーム
  "iss": "https://idp.example.com",
  "aud": "your_app_client_id"
}
```

<Warning>
  [SCIM](mailto:sales@cognition.ai) が必要な場合はお問い合わせください。
</Warning>

<Note>
  ユーザーがアイデンティティプロバイダーから削除されると、そのユーザーは Devin Enterprise 上で無効化されます。IdP グループの権限は Enterprise 設定で管理できます。詳細は [Custom Roles & RBAC](/ja/enterprise/security-access/custom-roles) を参照してください。
</Note>

<div id="enterprise-access-control">
  ## Enterprise アクセス制御
</div>

Devin Enterprise では、配下に作成できる組織数に上限はありません。

| アクセス条件                           | 説明                                                            |
| :------------------------------- | :------------------------------------------------------------ |
| 組織のメンバー                          | 組織のメンバーである場合、その組織にアクセスできます。                                   |
| 組織管理者 (組織の所有者)                   | 組織にアクセスし、変更できます。                                              |
| Enterprise 管理者 (Enterprise の所有者) | Enterprise とその配下の組織にアクセスし、変更できます。                             |
| メンバー/管理者向け IdP グループに所属           | メンバー/管理者として設定された IdP グループに所属している場合、Enterprise または組織にアクセスできます。 |

<Note>
  IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映するには再認証が必要です。
</Note>

***
