> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 自定义角色与 RBAC

> 在 Devin Enterprise 中使用自定义角色和基于角色的访问控制（RBAC）来配置细粒度访问控制。

<div id="overview">
  ## 概览
</div>

自定义角色和 RBAC 使你能够对 Devin 应用的访问进行精细化控制。Enterprise 管理员可以创建具有特定权限的自定义角色，并将其分配给用户或 IdP 组，从而对用户在你的 Devin Enterprise 部署中可执行的操作进行精细化管控。

Devin Enterprise 实现了一个具有不同范围和能力的两级角色体系：组织级角色和账户级角色。

<div id="creating-and-assigning-custom-roles">
  ## 创建和分配自定义角色
</div>

只有 Enterprise 管理员或拥有 **Manage Account Membership** 权限的用户可以配置自定义角色。前往 Enterprise 设置并选择“Roles”选项卡，以管理组织级和账户级角色。

<Frame>
  <img src="https://mintcdn.com/cognitionai/pskaNYF7K_BYf-m6/images/enterprise/Roles.png?fit=max&auto=format&n=pskaNYF7K_BYf-m6&q=85&s=ed3a6ec3cc61ebe54381b3074caffcc8" alt="Devin" width="1924" height="1264" data-path="images/enterprise/Roles.png" />
</Frame>

要创建自定义角色：

1. 前往 Enterprise Settings > Roles
2. 在 Organization 或 Enterprise 级别点击“Create a custom role”
3. 输入一个具有清晰描述性的角色名称
4. 选择你希望授予的具体权限
5. 保存角色

创建完成后，可以通过成员管理界面将自定义角色分配给单个用户或 IdP 组：

* Enterprise 管理员或拥有 **Manage Account Membership** 权限的用户可以前往 Enterprise 设置中的“Enterprise members”页面并分配账户级角色
  * 请注意，能够创建、编辑和删除自定义角色的也是这一同一批用户
* Organization 管理员或拥有 **Manage Organization Membership** 权限的用户可以前往“Organization members”页面并分配组织级角色
  * 请注意，这些用户只能在组织级别**分配**自定义角色，而创建、编辑或删除自定义角色则需要具备 **Manage Account Membership** (Enterprise 级) 权限

<Warning>
  我们目前尚不支持为单个用户分配多个角色，但此功能已在我们的路线图中，计划很快支持。当前每位用户在每个组织中只能被分配一个角色，以及一个账户级角色。
</Warning>

<div id="organization-level-roles">
  ### 组织级角色
</div>

组织级角色是在每个组织内单独分配的，不会应用到被分配组织之外的其他组织。这些角色控制在特定组织内对资源和操作的访问。

组织级角色可以配置以下权限：

| Permission             | Description                        |
| ---------------------- | ---------------------------------- |
| **Use DeepWiki**       | 访问 DeepWiki 功能                     |
| **Use Ask Devin**      | 访问 Ask Devin 功能                    |
| **Use Devin Sessions** | 创建和使用 Devin 会话                     |
| **Manage Membership**  | 添加/移除用户和群组，分配或取消分配权限角色             |
| **Manage Settings**    | 管理组织级设置                            |
| **Manage Playbooks**   | 创建/编辑/删除组织 Playbook                |
| **Manage Secrets**     | 创建/编辑/删除组织 Secret                  |
| **Manage Knowledge**   | 创建/编辑/删除组织 Knowledge               |
| **Manage Snapshots**   | 创建/编辑/删除机器快照                       |
| **Index Repositories** | 为 Ask Devin 和 DeepWiki 的生成建立代码仓库索引 |
| **Manage Sessions**    | 编辑组织中其他用户的 Devin 会话                |
| **View Sessions**      | 查看组织中其他用户的 Devin 会话                |
| **Manage API Keys**    | 创建/删除/使用 API key                   |
| **Manage MCP Servers** | 创建/编辑/删除 MCP 服务器                   |
| **View Metrics**       | 查看组织级指标                            |
| **View Consumption**   | 查看组织整体用量                           |

用户可以基于特定的权限集合创建自定义角色，或者使用我们提供的三个默认组织角色之一：

* **Admin**：在组织内拥有完整管理权限
* **Member**：具有核心功能的标准用户访问权限
* **DeepWiki Only**：访问仅限 DeepWiki 和 Ask Devin 相关功能，包括代码仓库索引权限

<Frame>
  <img src="https://mintcdn.com/cognitionai/pskaNYF7K_BYf-m6/images/enterprise/Org-Roles.png?fit=max&auto=format&n=pskaNYF7K_BYf-m6&q=85&s=f80a85becd9db3ea49f70ada43f57d38" alt="Devin" width="2374" height="1960" data-path="images/enterprise/Org-Roles.png" />
</Frame>

<div id="account-level-roles-enterprise-roles">
  ### 账户级角色 (企业级角色)
</div>

账户级角色 (也称为企业级角色) 是在整个企业范围内分配的，并适用于该企业下的每个组织。具有账户级角色的用户，会在其所属的所有组织中自动继承相应的组织级权限。

账户级角色可以配置以下权限：

| Permission                            | Description                                                                                                                            |
| ------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------- |
| **Manage Organizations**              | 查看/创建/编辑/删除企业组织                                                                                                                        |
| **Manage Account Membership**         | 查看/创建/编辑/删除企业和组织层级的成员关系。创建/编辑/删除自定义角色                                                                                                  |
| **Manage Enterprise Settings**        | 查看/编辑企业和组织层级的设置                                                                                                                        |
| **Manage Git Integrations**           | 创建/编辑/删除 Git 集成 (GitHub、GitLab、ADO、Bitbucket) 。管理仓库权限和仓库索引                                                                             |
| **Manage Chat Integrations**          | 创建/编辑/删除聊天工具集成，例如 Microsoft Teams 或 Slack                                                                                              |
| **Manage Ticket Integrations**        | 创建/编辑/删除工单系统集成，例如 Jira 或 Linear                                                                                                        |
| **Use Account Tools**                 | 在任意组织中使用 Devin 会话、Ask Devin 和 DeepWiki                                                                                                 |
| **Manage Account Resources**          | 在任意组织中创建/编辑/删除 playbook、secret 和 Knowledge                                                                                             |
| **Manage Account Snapshots**          | 在任意组织中创建/编辑/删除机器快照。管理账户级快照并为仓库建立索引                                                                                                     |
| **Index Account Repositories**        | 在整个企业范围内为 Ask Devin 和 DeepWiki 的生成建立代码仓库索引                                                                                             |
| **Manage Sessions**                   | 在任意组织中编辑其他用户的 Devin 会话                                                                                                                 |
| **View Sessions**                     | 在任意组织中查看其他用户的 Devin 会话                                                                                                                 |
| **View Enterprise Infra Details**     | 查看企业基础设施详细信息                                                                                                                           |
| **Manage Account API Keys**           | 在企业和任意组织中创建/编辑/删除/使用 API key                                                                                                           |
| **Manage Account MCP Servers**        | 在任意组织中创建/编辑/删除 MCP 服务器                                                                                                                 |
| **View Account Metrics**              | 查看企业级指标                                                                                                                                |
| **View Personal Analytics**           | 在 [My analytics](/zh/enterprise/security-access/personal-analytics) 页面查看你自己在整个企业范围内的 ACU 消耗和用量分析。需要启用 `expose-personal-analytics` 功能标记 |
| **Manage Billing**                    | 查看/编辑企业的用量与计费                                                                                                                          |
| **Use Devin Review (manual)**         | 访问 [Devin Review](/zh/work-with-devin/devin-review)，并在任意 PR 上手动触发审查。基础层级——查看 Review 选项卡所必需的权限                                          |
| **Use Devin Review (on PR creation)** | 包含手动层级的全部能力，此外还会在创建 PR 或将草稿标记为 ready for review 时自动触发审查                                                                                |
| **Use Devin Review**                  | 对每次 push 执行完整的自动审查——在创建 PR、添加新提交、将草稿标记为 ready for review，以及添加 reviewer/assignee 时触发审查。默认授予所有成员和管理员                                     |
| **Manage Devin Review**               | 在 [Settings > Review](https://app.devin.ai/settings/review) 中管理自动审查设置、发布选项、审查规则及其他管理员配置。独立于上述用量层级——本身不会授予 Review 访问权限                  |

用户可以基于特定的权限集合创建自己的自定义角色，或者使用我们提供的两个默认账户角色之一：

* **Admin**：对整个企业拥有完整的管理访问权限
* **Member**：对企业中所有组织拥有标准用户访问权限

<Frame>
  <img src="https://mintcdn.com/cognitionai/pskaNYF7K_BYf-m6/images/enterprise/Account-Roles.png?fit=max&auto=format&n=pskaNYF7K_BYf-m6&q=85&s=1c8cd3fdc14335cd6debc2e7839a3f1c" alt="Devin" width="2390" height="1952" data-path="images/enterprise/Account-Roles.png" />
</Frame>

<div id="auto-assign-a-role-based-on-sso-idp-group">
  ## 基于 SSO IdP 组自动分配角色
</div>

您可以根据用户在身份提供商 (IdP) 中的组自动为其分配角色。这可以简化用户访问控制，确保用户在完成认证后自动获得正确的权限。

1. 前往 **Enterprise Settings > Members**
2. 配置 IdP 组映射，将组名与特定角色关联
3. 当用户通过 SSO 进行认证时，他们会自动获得分配给其 IdP 组的角色

<Note>
  您的 SSO 提供商必须在 SSO 断言中发送 `groups` 数组。有关详细的设置说明，请参阅 [IdP Group Integration](/zh/enterprise/security-access/idp-groups)。
</Note>

<div id="best-practices">
  ## 最佳实践
</div>

* **最小权限原则**：仅为用户授予完成其职责所必需的最低权限
* **使用 IdP 组**：利用 IdP 组集成，在大规模场景下更高效地管理角色分配
* **定期审计**：定期审查角色分配和权限，确保其始终合理
* **具有描述性的命名**：为自定义角色使用清晰、具有描述性的名称，使其用途一目了然
* **文档记录**：维护内部文档，记录自定义角色及其预期使用场景

<div id="common-issues">
  ### 常见问题
</div>

如果某个用户没有获得预期的权限：

* 确认该用户是否已被分配到该组织中正确的角色
* 确认该角色已配置所需的权限

如需角色配置方面的更多帮助，请联系你的 Devin Enterprise 管理员，或联系 [support](mailto:support@cognition.ai)。
