自定义角色和 RBAC 使你能够对 Devin 应用的访问进行精细化控制。Enterprise 管理员可以创建具有特定权限的自定义角色,并将其分配给用户或 IdP 组,从而对用户在你的 Devin Enterprise 部署中可执行的操作进行精细化管控。
Devin Enterprise 实现了一个具有不同范围和能力的两级角色体系:组织级角色和账户级角色。
只有 Enterprise 管理员或拥有 Manage Account Membership 权限的用户可以配置自定义角色。前往 Enterprise 设置并选择“Roles”选项卡,以管理组织级和账户级角色。
要创建自定义角色:
- 前往 Enterprise Settings > Roles
- 在 Organization 或 Enterprise 级别点击“Create a custom role”
- 输入一个具有清晰描述性的角色名称
- 选择你希望授予的具体权限
- 保存角色
创建完成后,可以通过成员管理界面将自定义角色分配给单个用户或 IdP 组:
- Enterprise 管理员或拥有 Manage Account Membership 权限的用户可以前往 Enterprise 设置中的“Enterprise members”页面并分配账户级角色
- 请注意,能够创建、编辑和删除自定义角色的也是这一同一批用户
- Organization 管理员或拥有 Manage Organization Membership 权限的用户可以前往“Organization members”页面并分配组织级角色
- 请注意,这些用户只能在组织级别分配自定义角色,而创建、编辑或删除自定义角色则需要具备 Manage Account Membership(Enterprise 级)权限
我们目前尚不支持为单个用户分配多个角色,但此功能已在我们的路线图中,计划很快支持。当前每位用户在每个组织中只能被分配一个角色,以及一个账户级角色。
| Permission | Description |
|---|
| Use DeepWiki | 访问 DeepWiki 功能 |
| Use Ask Devin | 访问 Ask Devin 功能 |
| Use Devin Sessions | 创建和使用 Devin 会话 |
| Manage Membership | 添加/移除用户和群组,分配或取消分配权限角色 |
| Manage Settings | 管理组织级设置 |
| Manage Playbooks | 创建/编辑/删除组织 Playbook |
| Manage Secrets | 创建/编辑/删除组织 Secret |
| Manage Knowledge | 创建/编辑/删除组织 Knowledge |
| Manage Snapshots | 创建/编辑/删除机器快照 |
| Index Repositories | 为 AskDevin 和 DeepWiki 的生成建立代码仓库索引 |
| Manage Sessions | 编辑组织中其他用户的 Devin 会话 |
| View Sessions | 查看组织中其他用户的 Devin 会话 |
| Manage API Keys | 创建/删除/使用 API key |
| Manage MCP Servers | 创建/编辑/删除 MCP 服务器 |
| View Metrics | 查看组织级指标 |
| View Consumption | 查看组织整体用量 |
- Admin:在组织内拥有完整管理权限
- Member:具有核心功能的标准用户访问权限
- DeepWiki Only:访问仅限 DeepWiki 和 AskDevin 相关功能,包括代码仓库索引权限
账户级角色(也称为企业级角色)是在整个企业范围内分配的,并适用于该企业下的每个组织。具有账户级角色的用户,会在其所属的所有组织中自动继承相应的组织级权限。
账户级角色可以配置以下权限:
| Permission | Description |
|---|
| Manage Organizations | 查看/创建/编辑/删除企业组织 |
| Manage Account Membership | 查看/创建/编辑/删除企业和组织层级的成员关系。创建/编辑/删除自定义角色 |
| Manage Enterprise Settings | 查看/编辑企业和组织层级的设置 |
| Manage Git Integrations | 创建/编辑/删除 Git 集成(GitHub、GitLab、ADO、Bitbucket)。管理仓库权限和仓库索引 |
| Manage Chat Integrations | 创建/编辑/删除聊天工具集成,例如 Microsoft Teams 或 Slack |
| Manage Ticket Integrations | 创建/编辑/删除工单系统集成,例如 Jira 或 Linear |
| Use Account Tools | 在任意组织中使用 Devin 会话、Ask Devin 和 DeepWiki |
| Manage Account Resources | 在任意组织中创建/编辑/删除 playbook、secret 和 Knowledge |
| Manage Account Snapshots | 在任意组织中创建/编辑/删除机器快照。管理账户级快照并为仓库建立索引 |
| Index Account Repositories | 在整个企业范围内为 AskDevin 和 DeepWiki 的生成建立仓库索引 |
| Manage Sessions | 在任意组织中编辑其他用户的 Devin 会话 |
| View Sessions | 在任意组织中查看其他用户的 Devin 会话 |
| View Enterprise Infra Details | 查看企业基础设施详细信息 |
| Manage Account API Keys | 在企业和任意组织中创建/编辑/删除/使用 API key |
| Manage Account MCP Servers | 在任意组织中创建/编辑/删除 MCP 服务器 |
| View Account Metrics | 查看企业级指标 |
| Manage Billing | 查看/编辑企业的用量与计费 |
- Admin:对整个企业拥有完整的管理访问权限
- Member:对企业中所有组织拥有标准用户访问权限
您可以根据用户在身份提供商(IdP)中的组自动为其分配角色。这可以简化用户访问控制,确保用户在完成认证后自动获得正确的权限。
- 前往 Enterprise Settings > Members
- 配置 IdP 组映射,将组名与特定角色关联
- 当用户通过 SSO 进行认证时,他们会自动获得分配给其 IdP 组的角色
- 最小权限原则:仅为用户授予完成其职责所必需的最低权限
- 使用 IdP 组:利用 IdP 组集成,在大规模场景下更高效地管理角色分配
- 定期审计:定期审查角色分配和权限,确保其始终合理
- 具有描述性的命名:为自定义角色使用清晰、具有描述性的名称,使其用途一目了然
- 文档记录:维护内部文档,记录自定义角色及其预期使用场景
如果某个用户没有获得预期的权限:
- 确认该用户是否已被分配到该组织中正确的角色
- 确认该角色已配置所需的权限
如需角色配置方面的更多帮助,请联系你的 Devin Enterprise 管理员,或联系 support。 
