跳转到主要内容

登录 Devin Enterprise

我们建议配置单点登录(SSO,Single Sign-On)和统一登录,以获得更高的安全性和更好的易用性。SSO 使您的用户能够通过组织的身份提供方登录 Devin Enterprise。请参阅 在 Devin 中配置 SSO 如果您未配置 SSO,用户可以使用指定的外部账户(如 Google)登录 Devin Enterprise。 不推荐使用 GitHub,因为个人 GitHub 邮箱与工作邮箱往往并不匹配。

Devin 的 RBAC 架构技术概览

Devin Enterprise 提供了一个全面的基于角色的访问控制(RBAC)系统,可集成到您现有的身份管理基础设施中。本节介绍如何为您的组织配置和使用 RBAC。

身份提供商集成

完成 Devin Enterprise 与您的身份提供商(IdP)的集成配置后,身份验证流程如下:
  1. 在身份验证过程中,Devin Enterprise 会从您的 IdP 接收用户组信息
  2. 您的 IdP 会将用户组信息作为声明(claims)包含在 JWT 令牌中发送
  3. Devin Enterprise 使用这些用户组来确定访问权限

配置基于用户组的访问控制

可以配置哪些 IdP 组可以访问特定组织:
  1. 将现有的 IdP 组映射到 Devin Enterprise 组织
  2. 为每个用户组分配合适的角色(成员或管理员)
  3. 用户将根据其所属的 IdP 组自动继承相应的权限

访问控制实现方式

Devin Enterprise 通过多种方式来确定用户访问权限:
  • 直接成员关系:将单个用户直接添加到组织中
  • 组成员关系:用户从其 IdP 组成员关系继承访问权限
  • Enterprise 管理员:管理员可以访问其 Enterprise 中的所有组织
直接成员关系和组成员关系是叠加的。用户会获得通过直接成员关系和组成员关系分配给其所有角色的合并权限。这些分配类型之间不存在任何优先级关系。

仓库访问控制

在 Git 仓库访问方面,Devin Enterprise:
  • 继承组织级访问控制中的权限
  • 支持在仓库级别进行细粒度访问控制
  • 在所有组件中保持一致的授权
这种方式使您能够在利用现有身份管理系统的同时,为 Devin Enterprise 资源提供安全的、基于角色的访问控制。

从身份提供商同步用户和用户组

你可以将用户和用户组从 IdP 同步到 Devin Enterprise,确保他们拥有适当的访问权限。用户组可以具有成员或管理员角色,并且可以隶属于多个组织。 要启用自动用户匹配,请配置用户组到角色和组织的映射关系。用户完成身份验证后,Devin Enterprise 会从 IdP 发送的 JWT 令牌中提取用户组信息,并据此匹配用户。 
{
  "sub": "12345",
  "name": "John Doe",
  "email": "[email protected]",
  "groups": ["Engineering", "Admins"],  // 组声明
  "iss": "https://idp.example.com",
  "aud": "your_app_client_id"
}
如果您需要使用 SCIM,请联系我们。
当某个用户在您的身份提供商中被移除时,该用户会在 Devin Enterprise 中被停用。您可以通过企业设置配置 IdP 组的权限。更多信息请参见 自定义角色与 RBAC

Enterprise 访问控制

Devin Enterprise 账户可以包含数量不受限制的组织。
访问条件描述
组织成员如果你是该组织的成员,则可以访问该组织。
组织管理员(拥有该组织)你可以访问并编辑该组织。
Enterprise 管理员(拥有 Enterprise)你可以访问并编辑 Enterprise 以及其下属组织。
属于被配置为成员/管理员的 IdP 组如果你属于被配置为成员/管理员的 IdP 组,则可以访问 Enterprise 或组织。
IdP 组会在用户登录时获取,因此更改组成员关系后需要重新进行身份验证。