Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.devin.ai/llms.txt

Use this file to discover all available pages before exploring further.

Guia do administrador de segurança do FedRAMP

Este guia descreve como implantar, configurar, operar e desativar com segurança contas administrativas de nível superior no Devin Desktop. Ele aborda as definições de funções administrativas, os procedimentos do ciclo de vida da conta e todas as configurações de segurança controladas por administradores, com suas respectivas funções, impactos na segurança e valores recomendados.
Este guia foi escrito para a implantação FedRAMP do Devin Desktop, executada na AWS GovCloud. A implantação FedRAMP usa um portal Enterprise dedicado e autenticação baseada em SSO (OIDC ou SAML 2.0). Alguns recursos descritos em outras documentações do Devin Desktop para a oferta SaaS não estão disponíveis no ambiente FedRAMP.

Definições de funções administrativas

O Devin Desktop usa um sistema de controle de acesso baseado em função (RBAC) para gerenciar privilégios administrativos. As funções são gerenciadas pelo Portal Admin, na seção Configurações de Gerenciamento de Funções, e podem ser atribuídas a usuários individuais.

Funções nativas

O Devin Desktop oferece duas funções nativas que não podem ser excluídas.
FunçãoDescriçãoPermissões padrão
AdminAcesso administrativo completo às configurações da organização, ao gerenciamento de usuários, às análises e aos controles de segurança. Este é o nível mais alto de privilégio que um usuário pode ter em uma equipe.Todas as permissões ativadas
UsuárioAcesso padrão de usuário final, sem permissões administrativas. Os usuários podem acessar os recursos de programação do Devin Desktop, mas não podem visualizar nem alterar as configurações da organização.Nenhuma permissão administrativa

Funções personalizadas

Os administradores podem criar funções personalizadas para aplicar o princípio do privilégio mínimo. As funções personalizadas são compostas por permissões granulares selecionadas nas categorias abaixo. Para criar uma função personalizada, navegue até o Portal Admin e abra a seção de gerenciamento de funções em Configurações.

Referência de permissões

A tabela abaixo lista todas as permissões disponíveis para atribuição de funções na implantação FedRAMP. Cada permissão controla o acesso a uma função administrativa específica.
CategoriaPermissãoDescrição
TeamsTeams Read-OnlyAcesso somente leitura à página de gerenciamento do Teams
TeamsTeams UpdatePermite atualizar as funções dos usuários na página do Teams
TeamsTeams DeletePermite remover usuários da página do Teams
AnalyticsAnalytics ReadAcesso de leitura à página de análises e aos dashboards
AttributionAttribution ReadAcesso de leitura à página de atribuição
LicenseLicense ReadAcesso de leitura à página de licença
SSOSSO ReadAcesso de leitura à página de configuração de SSO
SSOSSO WritePermite configurar e modificar as configurações do provedor de SSO
Service KeyService Key ReadAcesso de leitura à página de chaves de serviço
Service KeyService Key CreatePermite criar novas chaves de serviço para acesso à API
Service KeyService Key UpdatePermite modificar chaves de serviço existentes
Service KeyService Key DeletePermite revogar e excluir chaves de serviço
gerenciamento de funçõesRole ReadAcesso de leitura à aba de funções em Configurações
gerenciamento de funçõesRole CreatePermite criar novas funções
gerenciamento de funçõesRole UpdatePermite modificar definições de funções existentes
gerenciamento de funçõesRole DeletePermite excluir funções
External ChatExternal Chat ManagementPermite modificar configurações de modelos de chat externo
IndexingIndexing ReadAcesso de leitura à página de configuração de indexação
IndexingIndexing CreatePermite criar novos índices
IndexingIndexing UpdatePermite atualizar repositórios indexados existentes
IndexingIndexing DeletePermite excluir índices
IndexingIndexing ManagementPermite gerenciar e fazer a limpeza do banco de dados de índices
Fine-TuningFine-Tuning ReadAcesso de leitura à página de fine-tuning
Fine-TuningFine-Tuning CreatePermite criar jobs de fine-tuning
Fine-TuningFine-Tuning UpdatePermite atualizar jobs de fine-tuning
Fine-TuningFine-Tuning DeletePermite excluir jobs de fine-tuning
Várias dessas permissões (como Attribution, License, SSO, Indexing e Fine-Tuning) existem no sistema RBAC, mas suas páginas correspondentes no portal não estão disponíveis na implantação multitenant do FedRAMP. Essas permissões estão incluídas na interface de gerenciamento de funções por completude, mas não concedem acesso a nenhum recurso ativo neste ambiente.

Procedimentos do ciclo de vida da conta de administrador

Esta seção descreve o ciclo de vida completo de uma conta administrativa principal, desde a criação inicial até a desativação.

Configuração da conta

O onboarding baseado em SSO é o principal método de provisionamento na implantação FedRAMP. A plataforma oferece suporte a OIDC e SAML 2.0 para integração de Single Sign-On. Os usuários se autenticam por meio do provedor de identidade configurado e, após o primeiro login, que cria a conta do usuário, um administrador atribui a função apropriada pelo Portal do Admin. Observe que a integração de SSO no ambiente FedRAMP exige coordenação com a equipe do Devin Desktop FedRAMP e não pode ser configurada em um modelo self-service. Toda nova conta de administrador deve ser configurada de acordo com o princípio do privilégio mínimo. Prefira funções personalizadas com apenas as permissões necessárias para as responsabilidades do administrador, em vez de atribuir a função completa de Admin, a menos que o usuário precise de acesso total ao sistema.

Requisitos de autenticação e MFA

A implantação FedRAMP usa exclusivamente Single Sign-On, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail e senha não está disponível. Todos os usuários devem se autenticar por meio do provedor de identidade configurado. A autenticação multifator (MFA) é imposta por meio do provedor de identidade da organização. O Devin Desktop herda as políticas de MFA configuradas no IdP conectado, o que significa que todos os requisitos de força de autenticação (como exigir um segundo fator, autenticadores resistentes a phishing ou políticas de acesso condicional) são definidos no nível do IdP. As organizações devem configurar seu IdP para exigir MFA de todos os usuários que acessam o aplicativo Devin Desktop, especialmente para contas com funções administrativas.
O Devin Desktop recomenda fortemente exigir MFA para todas as contas administrativas. Configure seu provedor de identidade para impor MFA como condição de acesso ao aplicativo Devin Desktop.

Configuração da conta

Depois que uma conta administrativa é criada, as etapas de configuração a seguir devem ser concluídas. Atribuição de função determina o escopo do acesso administrativo da conta. Atribua funções pelo Portal Admin navegando até a aba Manage Team, localizando o usuário, clicando em Edit e selecionando a função apropriada no menu suspenso. As alterações entram em vigor imediatamente. Gerenciamento de chaves de serviço é necessário quando o administrador precisa de acesso à API para automação ou análises. As chaves de serviço são criadas em Configurações com permissões delimitadas ao escopo de uso pretendido da chave. Cada chave de serviço deve receber um nome descritivo (por exemplo, “Analytics Dashboard”) e ser atribuída a uma função com as permissões mínimas necessárias.

Operação da conta

As práticas operacionais contínuas para contas administrativas incluem o seguinte. Revisões regulares de acesso devem ser realizadas para verificar se as contas administrativas ainda exigem seu nível atual de acesso. Revise periodicamente a lista de usuários com a função Admin na aba Manage Team e ajuste as funções conforme as responsabilidades mudarem. O monitoramento de atividades está disponível por meio dos dashboards nativos de análises. Administradores com a permissão Analytics Read podem acompanhar a atividade dos usuários, métricas de engajamento e uso de recursos. A Analytics API fornece acesso programático a esses dados para integração com sistemas externos de monitoramento. A rotação de chave de serviço deve ser realizada regularmente. Para fazer a rotação de uma chave, crie uma nova chave de serviço com as mesmas permissões, atualize o sistema consumidor para usar a nova chave e, em seguida, exclua a chave antiga.

Desativação de conta

Quando um administrador não precisar mais de acesso, a conta deverá ser desativada imediatamente seguindo o procedimento abaixo.
1

Revogar a função administrativa

Acesse o Portal Admin, abra a aba Manage Team, localize o usuário, clique em Edit e altere a função dele de Admin para User (ou para uma função personalizada sem permissões administrativas).
2

Revogar chaves de serviço

Exclua todas as chaves de serviço criadas pelo administrador que está saindo ou usadas exclusivamente por ele. Acesse Configurações, depois Service Key, e exclua as chaves relevantes.
3

Remover ou desativar a conta

Remova o usuário na aba Manage Team clicando em Delete ao lado do nome dele. Isso desativará a conta do Devin Desktop do usuário e liberará a licença atribuída a ele.
4

Revisar acesso residual

Verifique se a conta desativada não aparece mais em nenhuma função administrativa conferindo a lista de usuários em Manage Team filtrada pela função Admin. Confirme que todas as chaves de serviço associadas à conta foram excluídas.
Desative contas administrativas imediatamente quando um administrador mudar de função ou sair da organização. A desativação tardia cria uma exposição de segurança desnecessária.

Referência de configurações de segurança

A tabela abaixo documenta todas as configurações de segurança controladas por administradores disponíveis no Portal Admin da implantação FedRAMP. Cada entrada descreve a função da configuração, seu impacto na segurança e o valor recomendado para uma implantação voltada à segurança.
ConfiguraçãoFunçãoImpacto na segurançaValor recomendado
Controle de acesso baseado em função (RBAC)Controla quais ações administrativas cada usuário pode executar com base na função atribuída e nas permissões dele. Gerenciado na seção gerenciamento de funções em Configurações.Limita o raio de impacto de contas comprometidas ao restringir as permissões apenas ao necessário para cada usuário. Atribuições de função excessivamente amplas aumentam o impacto potencial do comprometimento de uma única conta.Configure com privilégio mínimo. Crie funções personalizadas com apenas as permissões de que cada administrador precisa. Reserve a função Admin nativa para um pequeno número de administradores.
Permissões de chave de serviçoRestringe os tokens de acesso da API a conjuntos específicos de permissões, controlando quais operações os sistemas automatizados podem executar. Gerenciado na seção Service Key em Configurações.Chaves de serviço com permissões excessivas podem ser exploradas se vazarem, concedendo acesso não autorizado ao gerenciamento de usuários, análises ou outras funções.Restrinja ao mínimo de permissões necessário. Crie chaves de serviço dedicadas para cada integração, com apenas as permissões de que ela precisa. Faça a rotação das chaves regularmente.
Configuração do provedor de SSOConfigura o provedor de identidade usado para toda a autenticação de usuários, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail/senha não está disponível. A configuração de SSO exige coordenação com a equipe do Devin Desktop FedRAMP. Gerenciado na seção SSO em Configurações.Centraliza a autenticação por meio do IdP da organização, permitindo aplicar MFA, acesso condicional e políticas de sessão. Uma configuração incorreta pode bloquear todos os usuários ou permitir acesso não autorizado.Configure com o provedor de identidade aprovado pela sua organização (OIDC ou SAML 2.0). Verifique a configuração testando o login com uma conta sem privilégios administrativos antes de fazer a implantação em larga escala.
Última atualização: 28 de janeiro de 2026