> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Guia do administrador de segurança do FedRAMP

> Guia do administrador de segurança do FedRAMP do Devin Desktop para criar, configurar, operar e desativar com segurança contas administrativas de nível superior. Inclui definições de funções, procedimentos do ciclo de vida da conta e uma tabela de referência com todas as configurações de segurança controladas por administradores.

<div id="fedramp-security-admin-guide">
  # Guia do administrador de segurança do FedRAMP
</div>

Este guia descreve como implantar, configurar, operar e desativar com segurança contas administrativas de nível superior no Devin Desktop. Ele aborda as definições de funções administrativas, os procedimentos do ciclo de vida da conta e todas as configurações de segurança controladas por administradores, com suas respectivas funções, impactos na segurança e valores recomendados.

<Note>Este guia foi escrito para a implantação FedRAMP do Devin Desktop, executada na AWS GovCloud. A implantação FedRAMP usa um portal Enterprise dedicado e autenticação baseada em SSO (OIDC ou SAML 2.0). Alguns recursos descritos em outras documentações do Devin Desktop para a oferta SaaS não estão disponíveis no ambiente FedRAMP.</Note>

***

<div id="administrative-role-definitions">
  ## Definições de funções administrativas
</div>

O Devin Desktop usa um sistema de controle de acesso baseado em função (RBAC) para gerenciar privilégios administrativos. As funções são gerenciadas pelo Portal Admin, na seção Configurações de Gerenciamento de Funções, e podem ser atribuídas a usuários individuais.

<div id="built-in-roles">
  ### Funções nativas
</div>

O Devin Desktop oferece duas funções nativas que não podem ser excluídas.

| Função      | Descrição                                                                                                                                                                                                             | Permissões padrão                |
| ----------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------- |
| **Admin**   | Acesso administrativo completo às configurações da organização, ao gerenciamento de usuários, às análises e aos controles de segurança. Este é o nível mais alto de privilégio que um usuário pode ter em uma equipe. | Todas as permissões ativadas     |
| **Usuário** | Acesso padrão de usuário final, sem permissões administrativas. Os usuários podem acessar os recursos de programação do Devin Desktop, mas não podem visualizar nem alterar as configurações da organização.          | Nenhuma permissão administrativa |

<div id="custom-roles">
  ### Funções personalizadas
</div>

Os administradores podem criar funções personalizadas para aplicar o princípio do privilégio mínimo. As funções personalizadas são compostas por permissões granulares selecionadas nas categorias abaixo. Para criar uma função personalizada, navegue até o Portal Admin e abra a seção de gerenciamento de funções em Configurações.

<div id="permission-reference">
  ### Referência de permissões
</div>

A tabela abaixo lista todas as permissões disponíveis para atribuição de funções na implantação FedRAMP. Cada permissão controla o acesso a uma função administrativa específica.

| Categoria                    | Permissão                | Descrição                                                          |
| ---------------------------- | ------------------------ | ------------------------------------------------------------------ |
| **Teams**                    | Teams Read-Only          | Acesso somente leitura à página de gerenciamento do Teams          |
| **Teams**                    | Teams Update             | Permite atualizar as funções dos usuários na página do Teams       |
| **Teams**                    | Teams Delete             | Permite remover usuários da página do Teams                        |
| **Analytics**                | Analytics Read           | Acesso de leitura à página de análises e aos dashboards            |
| **Attribution**              | Attribution Read         | Acesso de leitura à página de atribuição                           |
| **License**                  | License Read             | Acesso de leitura à página de licença                              |
| **SSO**                      | SSO Read                 | Acesso de leitura à página de configuração de SSO                  |
| **SSO**                      | SSO Write                | Permite configurar e modificar as configurações do provedor de SSO |
| **Service Key**              | Service Key Read         | Acesso de leitura à página de chaves de serviço                    |
| **Service Key**              | Service Key Create       | Permite criar novas chaves de serviço para acesso à API            |
| **Service Key**              | Service Key Update       | Permite modificar chaves de serviço existentes                     |
| **Service Key**              | Service Key Delete       | Permite revogar e excluir chaves de serviço                        |
| **gerenciamento de funções** | Role Read                | Acesso de leitura à aba de funções em Configurações                |
| **gerenciamento de funções** | Role Create              | Permite criar novas funções                                        |
| **gerenciamento de funções** | Role Update              | Permite modificar definições de funções existentes                 |
| **gerenciamento de funções** | Role Delete              | Permite excluir funções                                            |
| **External Chat**            | External Chat Management | Permite modificar configurações de modelos de chat externo         |
| **Indexing**                 | Indexing Read            | Acesso de leitura à página de configuração de indexação            |
| **Indexing**                 | Indexing Create          | Permite criar novos índices                                        |
| **Indexing**                 | Indexing Update          | Permite atualizar repositórios indexados existentes                |
| **Indexing**                 | Indexing Delete          | Permite excluir índices                                            |
| **Indexing**                 | Indexing Management      | Permite gerenciar e fazer a limpeza do banco de dados de índices   |
| **Fine-Tuning**              | Fine-Tuning Read         | Acesso de leitura à página de fine-tuning                          |
| **Fine-Tuning**              | Fine-Tuning Create       | Permite criar jobs de fine-tuning                                  |
| **Fine-Tuning**              | Fine-Tuning Update       | Permite atualizar jobs de fine-tuning                              |
| **Fine-Tuning**              | Fine-Tuning Delete       | Permite excluir jobs de fine-tuning                                |

<Note>Várias dessas permissões (como Attribution, License, SSO, Indexing e Fine-Tuning) existem no sistema RBAC, mas suas páginas correspondentes no portal não estão disponíveis na implantação multitenant do FedRAMP. Essas permissões estão incluídas na interface de gerenciamento de funções por completude, mas não concedem acesso a nenhum recurso ativo neste ambiente.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procedimentos do ciclo de vida da conta de administrador
</div>

Esta seção descreve o ciclo de vida completo de uma conta administrativa principal, desde a criação inicial até a desativação.

<div id="account-setup">
  ### Configuração da conta
</div>

O **onboarding baseado em SSO** é o principal método de provisionamento na implantação FedRAMP. A plataforma oferece suporte a OIDC e SAML 2.0 para integração de Single Sign-On. Os usuários se autenticam por meio do provedor de identidade configurado e, após o primeiro login, que cria a conta do usuário, um administrador atribui a função apropriada pelo Portal do Admin. Observe que a integração de SSO no ambiente FedRAMP exige coordenação com a equipe do Devin Desktop FedRAMP e não pode ser configurada em um modelo self-service.

Toda nova conta de administrador deve ser configurada de acordo com o princípio do privilégio mínimo. Prefira funções personalizadas com apenas as permissões necessárias para as responsabilidades do administrador, em vez de atribuir a função completa de Admin, a menos que o usuário precise de acesso total ao sistema.

<div id="authentication-and-mfa-requirements">
  ### Requisitos de autenticação e MFA
</div>

A implantação FedRAMP usa exclusivamente Single Sign-On, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail e senha não está disponível. Todos os usuários devem se autenticar por meio do provedor de identidade configurado.

A autenticação multifator (MFA) é imposta por meio do provedor de identidade da organização. O Devin Desktop herda as políticas de MFA configuradas no IdP conectado, o que significa que todos os requisitos de força de autenticação (como exigir um segundo fator, autenticadores resistentes a phishing ou políticas de acesso condicional) são definidos no nível do IdP. As organizações devem configurar seu IdP para exigir MFA de todos os usuários que acessam o aplicativo Devin Desktop, especialmente para contas com funções administrativas.

<Warning>O Devin Desktop recomenda fortemente exigir MFA para todas as contas administrativas. Configure seu provedor de identidade para impor MFA como condição de acesso ao aplicativo Devin Desktop.</Warning>

<div id="account-setup">
  ### Configuração da conta
</div>

Depois que uma conta administrativa é criada, as etapas de configuração a seguir devem ser concluídas.

**Atribuição de função** determina o escopo do acesso administrativo da conta. Atribua funções pelo Portal Admin navegando até a aba Manage Team, localizando o usuário, clicando em Edit e selecionando a função apropriada no menu suspenso. As alterações entram em vigor imediatamente.

**Gerenciamento de chaves de serviço** é necessário quando o administrador precisa de acesso à API para automação ou análises. As chaves de serviço são criadas em Configurações com permissões delimitadas ao escopo de uso pretendido da chave. Cada chave de serviço deve receber um nome descritivo (por exemplo, "Analytics Dashboard") e ser atribuída a uma função com as permissões mínimas necessárias.

<div id="account-operation">
  ### Operação da conta
</div>

As práticas operacionais contínuas para contas administrativas incluem o seguinte.

**Revisões regulares de acesso** devem ser realizadas para verificar se as contas administrativas ainda exigem seu nível atual de acesso. Revise periodicamente a lista de usuários com a função Admin na aba Manage Team e ajuste as funções conforme as responsabilidades mudarem.

O **monitoramento de atividades** está disponível por meio dos dashboards nativos de análises. Administradores com a permissão Analytics Read podem acompanhar a atividade dos usuários, métricas de engajamento e uso de recursos. A Analytics API fornece acesso programático a esses dados para integração com sistemas externos de monitoramento.

A **rotação de chave de serviço** deve ser realizada regularmente. Para fazer a rotação de uma chave, crie uma nova chave de serviço com as mesmas permissões, atualize o sistema consumidor para usar a nova chave e, em seguida, exclua a chave antiga.

<div id="account-decommissioning">
  ### Desativação de conta
</div>

Quando um administrador não precisar mais de acesso, a conta deverá ser desativada imediatamente seguindo o procedimento abaixo.

<Steps>
  <Step title="Revogar a função administrativa">
    Acesse o Portal Admin, abra a aba Manage Team, localize o usuário, clique em Edit e altere a função dele de Admin para User (ou para uma função personalizada sem permissões administrativas).
  </Step>

  <Step title="Revogar chaves de serviço">
    Exclua todas as chaves de serviço criadas pelo administrador que está saindo ou usadas exclusivamente por ele. Acesse Configurações, depois Service Key, e exclua as chaves relevantes.
  </Step>

  <Step title="Remover ou desativar a conta">
    Remova o usuário na aba Manage Team clicando em Delete ao lado do nome dele. Isso desativará a conta do Devin Desktop do usuário e liberará a licença atribuída a ele.
  </Step>

  <Step title="Revisar acesso residual">
    Verifique se a conta desativada não aparece mais em nenhuma função administrativa conferindo a lista de usuários em Manage Team filtrada pela função Admin. Confirme que todas as chaves de serviço associadas à conta foram excluídas.
  </Step>
</Steps>

<Warning>Desative contas administrativas imediatamente quando um administrador mudar de função ou sair da organização. A desativação tardia cria uma exposição de segurança desnecessária.</Warning>

***

<div id="security-settings-reference">
  ## Referência de configurações de segurança
</div>

A tabela abaixo documenta todas as configurações de segurança controladas por administradores disponíveis no Portal Admin da implantação FedRAMP. Cada entrada descreve a função da configuração, seu impacto na segurança e o valor recomendado para uma implantação voltada à segurança.

| Configuração                                    | Função                                                                                                                                                                                                                                                                                                   | Impacto na segurança                                                                                                                                                                                                                 | Valor recomendado                                                                                                                                                                                                                  |
| ----------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Controle de acesso baseado em função (RBAC)** | Controla quais ações administrativas cada usuário pode executar com base na função atribuída e nas permissões dele. Gerenciado na seção gerenciamento de funções em Configurações.                                                                                                                       | Limita o raio de impacto de contas comprometidas ao restringir as permissões apenas ao necessário para cada usuário. Atribuições de função excessivamente amplas aumentam o impacto potencial do comprometimento de uma única conta. | **Configure com privilégio mínimo.** Crie funções personalizadas com apenas as permissões de que cada administrador precisa. Reserve a função Admin nativa para um pequeno número de administradores.                              |
| **Permissões de chave de serviço**              | Restringe os tokens de acesso da API a conjuntos específicos de permissões, controlando quais operações os sistemas automatizados podem executar. Gerenciado na seção Service Key em Configurações.                                                                                                      | Chaves de serviço com permissões excessivas podem ser exploradas se vazarem, concedendo acesso não autorizado ao gerenciamento de usuários, análises ou outras funções.                                                              | **Restrinja ao mínimo de permissões necessário.** Crie chaves de serviço dedicadas para cada integração, com apenas as permissões de que ela precisa. Faça a rotação das chaves regularmente.                                      |
| **Configuração do provedor de SSO**             | Configura o provedor de identidade usado para toda a autenticação de usuários, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail/senha não está disponível. A configuração de SSO exige coordenação com a equipe do Devin Desktop FedRAMP. Gerenciado na seção SSO em Configurações. | Centraliza a autenticação por meio do IdP da organização, permitindo aplicar MFA, acesso condicional e políticas de sessão. Uma configuração incorreta pode bloquear todos os usuários ou permitir acesso não autorizado.            | **Configure com o provedor de identidade aprovado pela sua organização (OIDC ou SAML 2.0).** Verifique a configuração testando o login com uma conta sem privilégios administrativos antes de fazer a implantação em larga escala. |

*Última atualização: 28 de janeiro de 2026*
