Pular para o conteúdo principal
Se a sua organização usa um provedor de identidade baseado em SAML (por exemplo, Azure AD via SAML, ADFS, Ping Identity, OneLogin ou outro IdP compatível com SAML 2.0), você pode configurar SSO para o Devin Enterprise usando o SAML genérico.
Este guia é para clientes que desejam usar SAML em vez das integrações nativas com Azure AD (OIDC) ou Okta (OIDC). Em geral, recomendamos usar a integração nativa com OIDC sempre que possível, mas existem situações em que o SSO baseado em SAML é preferível.

O que você vai precisar

As seguintes informações são necessárias para configurar o SSO SAML para o Devin. Você as coletará durante as etapas de configuração abaixo e as enviará para sua equipe de conta na Cognition na etapa final.
  • Sign In URL - O endpoint de SSO SAML do seu IdP (por exemplo, https://idp.example.com/sso/saml)
  • X509 Signing Certificate - O certificado público que seu IdP usa para assinar as asserções SAML
  • Identity Provider Domains - Todos os domínios de e-mail corporativos que irão autenticar por meio desse IdP (por exemplo, example.com, subsidiary.example.com)
  • Group Attribute Name (se estiver usando grupos do IdP) - O nome do atributo SAML que seu IdP usa para enviar as associações a grupos

Instruções de configuração

Etapa 1: Crie um aplicativo SAML no seu IdP

No console de administração do seu provedor de identidade, crie um novo aplicativo SAML 2.0 com as seguintes configurações:
ConfiguraçãoValor
ACS (Assertion Consumer Service) URLhttps://auth.devin.ai/login/callback
Entity ID / Audience URIDeixe em branco inicialmente — consulte a Etapa 5
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (recomendado) ou persistent
Name ID ValueEndereço de e-mail do usuário
Signature AlgorithmRSA-SHA256
Digest AlgorithmSHA256
Response BindingHTTP-POST

Etapa 2: Configurar atributos SAML

Certifique-se de que seu IdP envie os seguintes atributos na asserção SAML:
Atributo SAMLDescriçãoObrigatório
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierIdentificador único do usuário (geralmente o endereço de e-mail do usuário)Sim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressEndereço de e-mail do usuárioSim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameNome de exibição do usuárioRecomendado
Devin usa o atributo nameidentifier para identificar usuários. A maioria dos IdPs preenche esse atributo automaticamente a partir do valor Name ID do SAML. Se o seu IdP não enviar nameidentifier como um atributo separado, certifique-se de que o Name ID Value na Etapa 1 esteja definido como o endereço de e-mail do usuário.

Etapa 3: Configurar Declarações de Grupo (Obrigatório para Grupos do IdP)

Se você quiser usar a Integração de Grupos do IdP para controle de acesso baseado em função no Devin, você deve configurar seu IdP para enviar o pertencimento a grupos na asserção SAML. Sem isso, os usuários serão autenticados com sucesso, mas os grupos do IdP não serão sincronizados.
Para habilitar a sincronização de grupos do IdP, configure um atributo de grupo no seu aplicativo SAML:
Atributo SAMLValor
Nome do atributohttp://schemas.xmlsoap.org/claims/Group
Valor do atributoPertencimento do usuário aos grupos
O nome exato do atributo pode variar dependendo do seu IdP. Nomes de atributo comuns para grupos incluem:
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • groups
  • memberOf
Compartilhe o nome exato do atributo que você configurar com a equipe responsável pela sua conta na Cognition para que possamos mapeá-lo corretamente do nosso lado.

Azure AD (Entra ID) com SAML

Se você estiver usando Azure AD com SAML em vez da integração OIDC nativa:
  1. No portal do Azure, vá para Enterprise Applications > seu app SAML > Single sign-on
  2. Em Attributes & Claims, clique em Add a group claim
  3. Selecione Groups assigned to the application (recomendado) ou All groups
  4. Defina o Source attribute como um valor adequado à sua configuração (por exemplo, sAMAccountName ou Display name)
  5. Anote o Claim name que o Azure gerar (por exemplo, http://schemas.microsoft.com/ws/2008/06/identity/claims/groups) e compartilhe-o com a sua equipe de conta da Cognition

Outros provedores de identidade SAML

Para outros IdPs (ADFS, Ping Identity, OneLogin, etc.):
  1. Adicione uma declaração de atributo de grupo à configuração do seu aplicativo SAML
  2. Configure esse atributo para enviar os grupos aos quais o usuário pertence
  3. Anote o nome exato do atributo e compartilhe-o com a equipe de contas da Cognition

Etapa 4: Enviar a configuração para a Cognition

Envie o seguinte para a equipe da sua conta na Cognition:
  1. URL de login (Sign In) (por exemplo, https://idp.example.com/sso/saml)
  2. Certificado de Assinatura X509 (o arquivo de certificado público ou o texto em formato PEM)
  3. Domínios do Provedor de Identidade (todos os domínios de e-mail associados a esse IdP)
  4. Nome do Atributo de Grupo (se estiver usando grupos do IdP) — o nome exato do atributo SAML configurado na Etapa 3

Etapa 5: Concluir a configuração com a Cognition

Depois de receber sua configuração, a equipe de contas da Cognition irá:
  1. Criar a conexão SAML e fornecer a você o Entity ID / Audience URI e um nome de conexão
  2. Mapear o atributo de grupo (se aplicável) para que os grupos do IdP sejam sincronizados automaticamente a cada login de usuário
Assim que você receber o Entity ID, atualize a configuração de Entity ID / Audience URI do seu aplicativo SAML com o valor fornecido.
Devin envia solicitações de autenticação SAML assinadas. Seu arquivo de metadados SAML estará disponível em:
https://auth.devin.ai/samlp/metadata?connection=<connection_name>
em que <connection_name> é o nome de conexão fornecido pela sua equipe de contas da Cognition. Importe esses metadados no seu IdP para concluir a configuração de confiança e habilitar a verificação da assinatura das solicitações.

Verificando sua configuração

Depois de atualizar o Entity ID e a equipe de conta da Cognition confirmar que a configuração está concluída:
  1. Acesse a URL do seu Devin Enterprise (por exemplo, https://<your_subdomain>.devinenterprise.com)
  2. Clique em Sign in with SAML (ou no botão de SSO equivalente) para iniciar o fluxo de autenticação
  3. Você deve ser redirecionado para a página de login do seu IdP
  4. Após a autenticação, você deve ser direcionado para a organização do seu Devin Enterprise
Para verificar se os grupos do IdP estão funcionando:
  1. Vá para Settings > IdP Groups no aplicativo web do Devin
  2. Você deve ver seus grupos do IdP listados depois que pelo menos um membro do grupo tiver feito login
  3. Os grupos são sincronizados a cada login, portanto, quaisquer alterações de participação nos grupos no seu IdP entrarão em vigor na próxima vez que um usuário fizer login
Os grupos do IdP são buscados no login do usuário, portanto, alterações na participação nos grupos exigirão nova autenticação. Consulte IdP Group Integration para mais detalhes sobre como configurar o controle de acesso baseado em grupos.