Devin Enterprise 建议配置单点登录(SSO)和统一登录,以提升安全性和可用性。SSO 允许你的用户使用你组织的身份提供商登录 Devin Enterprise。请参阅 在 Devin 中配置 SSO
如果你未配置 SSO,用户可以使用选定的外部账号(例如 Google)登录 Devin Enterprise。不推荐使用 GitHub,因为个人 GitHub 邮箱与工作邮箱往往不一致。
Devin Enterprise 实现了一个与您现有身份管理基础设施集成的全面角色访问控制(RBAC)系统。本节介绍如何为您的组织配置和使用 RBAC。
在使用身份提供商(IdP)配置 Devin Enterprise 时,请注意以下用户组信息流转过程:
- 在认证期间,Devin Enterprise 会从你的 IdP 接收用户组信息
- 你的 IdP 会以声明(claim)的形式在 JWT 令牌中发送用户组信息
- Devin Enterprise 使用这些用户组来确定访问权限
你可以配置哪些 IdP 组可以访问特定组织:
- 将你现有的 IdP 组映射到 Devin Enterprise 组织
- 为每个组分配合适的角色(成员或管理员)
- 用户将根据其所属的 IdP 组自动继承相应权限
Devin Enterprise 通过多种方式确定用户的访问权限:
- 直接成员身份:将用户直接添加到组织中
- 组成员身份:用户通过其在 IdP 中的组成员身份继承访问权限
- 企业管理员:管理员可以访问其企业下的所有组织
对于对 Git 仓库的访问,Devin Enterprise:
- 继承组织级访问控制中的权限
- 支持在仓库级别进行细粒度访问控制
- 在所有组件中保持一致的授权
这种方式使你能够利用现有的身份管理系统,同时为 Devin Enterprise 资源提供安全的、基于角色的访问控制。
你可以将用户和群组从 IdP 同步到 Devin Enterprise,以确保他们具有合适的访问权限。群组可以被授予成员或管理员角色,并且可以归属于多个组织。
要启用自动用户匹配,请提供群组与角色及组织之间的映射关系。完成认证后,Devin Enterprise 会从你的 IdP 发送的 JWT 令牌中提取群组信息,并据此匹配用户。
{
"sub": "12345",
"name": "张三",
"email": "[email protected]",
"groups": ["Engineering", "Admins"], // 组声明
"iss": "https://idp.example.com",
"aud": "your_app_client_id"
}
当某个用户从你的身份提供商(IdP)中被移除后,该用户会在 Devin Enterprise 中被停用。你可以通过企业设置配置 IdP 组权限。更多信息请参见「自定义角色与 RBAC」。 | 访问条件 | 描述 |
|---|
| 组织成员 | 如果你是组织成员,就可以访问该组织。 |
| 企业管理员(企业所有者) | 你可以访问和编辑该企业及其子组织。 |
| 组织管理员(组织所有者) | 你可以访问和编辑该组织。 |
| 属于某个为成员的 IdP 组 | 如果你属于某个作为成员/管理员的 IdP 组,你可以访问该企业或组织。 |
IdP 组会在用户登录时拉取,因此组成员关系的变更需要用户重新认证。
