Documentation Index
Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
Use this file to discover all available pages before exploring further.
Diese Funktion ist nur für Enterprise-Nutzer verfügbar.
Diese Funktion gilt nicht für Cognition-Platform-Pläne. Für Cognition Platform sollte SSO stattdessen in Ihren Cognition Platform Settings konfiguriert und verwaltet werden.
- Google SSO
- Microsoft Entra ID
- Okta SSO
- Azure SCIM
- Okta SCIM
- SCIM API
- Duo
- PingID
Devin Desktop unterstützt jetzt die Anmeldung mit Single Sign-On (SSO) über SAML. Wenn Ihre Organisation Microsoft Entra, Okta, Google Workspaces oder einen anderen Identity Provider verwendet, der SAML unterstützt, können Sie SSO mit Devin Desktop verwenden.
Devin Desktop unterstützt nur SP-initiiertes SSO; IdP-initiiertes SSO wird derzeit NICHT unterstützt.
IdP-Anwendung konfigurieren
Klicken Sie in der Google Admin-Konsole (admin.google.com) links auf Apps -> Web and mobile apps.Windsurf ein und klicken Sie auf Next.Der nächste Bildschirm (Google Identity Provider details) in der Google-Konsole enthält Daten, die Sie in die SSO-Settings von Devin Desktop unter https://windsurf.com/team/settings kopieren müssen.- Kopieren Sie die SSO URL aus der Google-Konsole in die Devin-Desktop-Settings unter SSO URL
- Kopieren Sie die Entity ID aus der Google-Konsole in die Devin-Desktop-Settings unter Idp Entity ID
- Kopieren Sie das Certificate aus der Google-Konsole in die Devin-Desktop-Settings unter X509 Certificate
- Klicken Sie in der Google-Konsole auf Continue
- Kopieren Sie die Callback URL von der Settings-Seite von Codeium in der Google-Konsole in ACS URL
- Kopieren Sie die SP Entity ID von der Settings-Seite von Codeium in der Google-Konsole in SP Entity ID
- Ändern Sie das Name ID-Format in EMAIL
- Klicken Sie in der Google-Konsole auf Continue
- Klicken Sie auf Add Mapping, wählen Sie First name aus und setzen Sie die App attributes auf firstName
- Klicken Sie auf Add Mapping, wählen Sie Last name aus und setzen Sie die App attributes auf lastName
- Klicken Sie auf Finish
Devin Desktop Enterprise unterstützt jetzt die Anmeldung per Single Sign-On (SSO) über SAML. Wenn Ihre Organisation Microsoft Entra ID (früher Azure AD) verwendet, können Sie SSO mit Devin Desktop nutzen.
Devin Desktop unterstützt nur SP-initiiertes SSO; IDP-initiiertes SSO wird derzeit NICHT unterstützt.
Teil 1: Enterprise-Anwendung in Microsoft Entra ID erstellen
Alle Schritte in diesem Abschnitt werden im Microsoft Entra ID Admin Center durchgeführt.
- Klicken Sie in Microsoft Entra ID auf Add und dann auf Enterprise Application.
- Klicken Sie auf Create your own application.
- Benennen Sie Ihre Anwendung Devin Desktop, wählen Sie Integrate any other application you don’t find in the gallery und klicken Sie dann auf Create.
Teil 2: SAML und Nutzerattribute in Microsoft Entra ID konfigurieren
Alle Schritte in diesem Abschnitt werden im Microsoft Entra ID Admin Center durchgeführt.
- Klicken Sie in Ihrer neuen Devin Desktop-Anwendung auf Set up single sign on und dann auf SAML.
- Klicken Sie unter Basic SAML Configuration auf Edit.
- Lassen Sie diesen Entra ID-Tab geöffnet und öffnen Sie einen neuen Tab, um zu den Devin Desktop Teams SSO-Einstellungen unter https://windsurf.com/team/settings zu wechseln.
-
Im Microsoft Entra ID-SAML-Konfigurationsformular:
- Identifier (Entity ID): Kopieren Sie den Wert SP Entity ID von der Devin Desktop SSO-Einstellungsseite
- Reply URL (Assertion Consumer Service URL): Kopieren Sie den Wert Callback URL von der Devin Desktop SSO-Einstellungsseite
- Klicken Sie oben auf Save
- Konfigurieren Sie die Nutzerattribute für die korrekte Namensanzeige. Klicken Sie in Microsoft Entra ID unter Attributes & Claims auf Edit.
-
Erstellen Sie 2 neue Claims, indem Sie jeweils auf Add new claim klicken:
- Erster Claim: Name =
firstName, Quellattribut =user.givenname - Zweiter Claim: Name =
lastName, Quellattribut =user.surname
- Erster Claim: Name =
Teil 3: SSO-Einstellungen im Devin Desktop Portal konfigurieren
Schließen Sie die Konfiguration im Devin Desktop Portal ab (https://windsurf.com/team/settings).
-
Auf der Devin Desktop SSO-Einstellungsseite:
- Pick your SSO ID: Wählen Sie eine eindeutige Kennung für das Login-Portal Ihres Teams (diese kann später nicht mehr geändert werden)
- IdP Entity ID: Kopieren Sie den Wert aus Microsoft Entra ID unter Set up Devin Desktop → Microsoft Entra Identifier
Die IdP Entity ID-URL muss mit einem nachgestellten
/enden (z. B.https://sts.windows.net/{tenant-id}/). Wenn die URL den abschließenden Schrägstrich nicht enthält, fügen Sie ihn manuell hinzu. - SSO URL: Kopieren Sie den Wert Login URL aus Microsoft Entra ID
- X509 Certificate: Laden Sie das SAML certificate (Base64) aus Microsoft Entra ID herunter, öffnen Sie die Datei und fügen Sie den Textinhalt hier ein
- Klicken Sie im Devin Desktop Portal auf Enable Login with SAML und dann auf Save.
- Testen Sie die Konfiguration: Klicken Sie auf Test Login, um zu prüfen, ob die SSO-Konfiguration wie erwartet funktioniert.
Wichtig: Melden Sie sich nicht ab und schließen Sie die Devin Desktop-Einstellungsseite nicht, bevor Sie die Anmeldung erfolgreich getestet haben. Wenn der Test fehlschlägt, müssen Sie möglicherweise zuerst Ihre Konfiguration überprüfen, bevor Sie fortfahren.
Devin Desktop Enterprise unterstützt jetzt die Anmeldung per Single Sign-On (SSO) über SAML. Wenn Ihre Organisation Microsoft Entra, Okta, Google Workspaces oder einen anderen SAML-fähigen Identity Provider verwendet, können Sie SSO mit Devin Desktop nutzen.
Devin Desktop unterstützt nur SP-initiiertes SSO; IdP-initiiertes SSO wird derzeit NICHT unterstützt.
IdP-Anwendung konfigurieren
Klicken Sie in der linken Seitenleiste auf Applications und dann auf Create App Integration- Single sign-on URL auf https://auth.windsurf.com/__/auth/handler
- Audience URI (SP Entity ID) auf www.codeium.com
- NameID format auf EmailAddress
- Application username auf Email
Okta als SAML-Provider registrieren
Sie sollten zum Tab Sign on Ihrer benutzerdefinierten SAML-Anwendung weitergeleitet werden. Übernehmen Sie nun die Informationen auf dieser Seite in die SSO-Settings von Devin Desktop.- Öffnen Sie https://windsurf.com/team/settings und klicken Sie auf Configure SAML
- Kopieren Sie den Text nach „Issuer“ auf der Okta-Anwendungsseite und fügen Sie ihn unter Idp Entity ID ein
- Kopieren Sie den Text nach „Sign on URL“ auf der Okta-Anwendungsseite und fügen Sie ihn unter SSO URL ein
- Laden Sie das Signing Certificate herunter und fügen Sie es unter X509 certificate ein
- Aktivieren Sie Enable Login with SAML und klicken Sie dann auf Save
- Testen Sie die Anmeldung mit der Schaltfläche Test Login. Sie sollten eine Erfolgsmeldung sehen:
Einschränkungen
Beachten Sie, dass Devin Desktop derzeit keine IdP-initiierten Anmeldeabläufe unterstützt.Außerdem unterstützen wir OIDC noch nicht.Fehlerbehebung
Login with SAML config failed: Firebase: Error (auth/operation-not-allowed)
Login with SAML config failed: Firebase: SAML Response <Issuer> mismatch. (auth/invalid-credential)
Failed to verify the signature in samlresponse
Dies weist auf einen falschen Wert Ihres X509-Zertifikats hin. Bitte stellen Sie sicher, dass Sie den richtigen Schlüssel kopieren und dass er wie folgt formatiert ist:-----BEGIN CERTIFICATE-----
value
------END CERTIFICATE------
Devin Desktop unterstützt die SCIM-Synchronisierung für Nutzer und Gruppen mit Microsoft Entra ID / Azure AD. Die Einrichtung von SSO ist für die Nutzung der SCIM-Synchronisierung nicht erforderlich, wird jedoch dringend empfohlen.Sie benötigen:
- Admin-Zugriff auf Microsoft Entra ID / Azure AD
- Admin-Zugriff auf Devin Desktop
- Eine vorhandene Devin-Desktop-Anwendung in Entra ID (normalerweise aus Ihrer bestehenden SSO-Anwendung)
Erforderliche Berechtigungen für den Service-SchlüsselDer für die SCIM-Provisionierung verwendete Service-Schlüssel muss über die folgenden Berechtigungen verfügen:
- Team User Read - Erforderlich zum Lesen von Nutzer- und Gruppeninformationen
- Team User Update - Erforderlich zum Erstellen und Aktualisieren von Nutzern und Gruppen
- Team User Delete - Erforderlich zum Deaktivieren/Löschen von Nutzern und Gruppen
Schritt 1: Eine Rolle mit SCIM-Berechtigungen erstellen
Bevor Sie die SCIM-Provisionierung einrichten, müssen Sie eine Rolle mit den erforderlichen Berechtigungen erstellen.- Rufen Sie Windsurf Team Settings auf
- Unter “Other Settings” klicken Sie neben Rollenverwaltung auf Konfigurieren
- Klicken Sie auf Rolle hinzufügen und geben Sie ihr den Namen “SCIM-Provisioning”.
- Fügen Sie die folgenden Berechtigungen hinzu:
- Team-Nutzer lesen
- Team-Nutzer aktualisieren
- Team-Nutzer löschen
- Klicken Sie auf Speichern
Step 2: Zur vorhandenen Devin Desktop-App navigieren
Navigieren Sie zu Microsoft Entra ID in Azure, klicken Sie in der linken Seitenleiste auf „Unternehmensanwendungen” und dann auf die vorhandene Devin Desktop-Anwendung in der Liste.Step 3: Setup SCIM-Bereitstellung
Klicken Sie auf „Get started” unter „Provision User Accounts” in der Mitte (Schritt 3) und anschließend erneut auf „Get started”.Schritt 4: SCIM-Bereitstellung konfigurieren
Nach dem Klicken auf „Speichern” sollte auf der Bereitstellungsseite eine neue Option „Mappings” erschienen sein. Erweitern Sie „Mappings” und klicken Sie auf „Provision Microsoft Entra ID Users”.NOT([IsSoftDeleted])
Devin Desktop unterstützt die SCIM-Synchronisierung für Nutzer und Gruppen mit Okta. Es ist nicht erforderlich, SSO einzurichten, um die SCIM-Synchronisierung zu nutzen, wird jedoch dringend empfohlen.Sie benötigen:
- Admin-Zugriff auf Okta
- Admin-Zugriff auf Devin Desktop
- Eine vorhandene Devin Desktop Application in Okta (normalerweise aus Ihrer bestehenden SSO-Anwendung)
Schritt 1: Zur vorhandenen Devin Desktop Application navigieren
Gehen Sie in Okta zu Applications, klicken Sie links in der Seitenleiste auf Applications und dann in der Anwendungsliste auf die vorhandene Devin Desktop-Anwendung.Schritt 2: SCIM-Provisioning aktivieren
Klicken Sie im Tab General unter App Settings oben rechts auf Edit. Aktivieren Sie dann das Kontrollkästchen ‘Enable SCIM Provisioning’ und klicken Sie anschließend auf Save. Oben sollte nun ein neuer Tab Provisioning angezeigt werden.Gehen Sie jetzt zu Provisioning, klicken Sie auf Edit und tragen Sie in die folgenden Felder Folgendes ein:SCIM connector base URL: https://server.codeium.com/scim/v2Unique identifier field for users: emailSupported provisioning actions: Push New Users, Push Profile Updates, Push GroupsAuthentication Mode: HTTP HeaderFür HTTP Header - Authorization können Sie das Token hier generieren:- https://windsurf.com/team/settings und gehen Sie zu Service Key Configuration
- Klicken Sie auf Configure, dann auf Add Service Key, und geben Sie Ihrem API key einen Namen
- Kopieren Sie den API key, gehen Sie zurück zu Okta und fügen Sie ihn in HTTP Header - Authorization ein
Schritt 3: Provisioning einrichten
Unter dem Tab Provisioning sollten links zwei neue Tabs erscheinen. Klicken Sie auf To App und dann auf Edit Provisioning to App. Aktivieren Sie die Kontrollkästchen für Create Users, Update User Attributes und Deactivate Users und klicken Sie auf Save.Nach diesem Schritt werden alle Nutzer, die der Gruppe zugewiesen sind, mit Devin Desktop synchronisiert.Schritt 4: Gruppen-Provisioning einrichten (optional)
Um Gruppen mit Devin Desktop zu synchronisieren, müssen Sie angeben, welche Gruppen übertragen werden sollen. Klicken Sie in der Anwendung oben auf den Tab Push Groups. Klicken Sie jetzt auf + Push Groups -> Find Groups by name. Filtern Sie nach der Gruppe, die Sie hinzufügen möchten, stellen Sie sicher, dass Push group memberships immediately aktiviert ist, und klicken Sie dann auf Save. Die Gruppe wird erstellt und die Gruppenmitglieder werden mit Devin Desktop synchronisiert. Gruppen können dann verwendet werden, um auf der Analytics-Seite nach Gruppen-Analytics zu filtern.Diese Anleitung zeigt, wie Groups in Devin Desktop mithilfe der SCIM API erstellt und verwaltet werden.Es kann Gründe geben, Groups manuell statt über den Identity Provider (Azure/Okta) bereitzustellen. Unternehmen möchten Groups möglicherweise aus einer anderen internen Quelle (HR-Website, Quellcodeverwaltungs-Tool usw.) beziehen, auf die Devin Desktop keinen Zugriff hat, oder sie benötigen eine feinere Kontrolle über Groups, als ihr Identity Provider bietet. Groups können daher alternativ über eine API per HTTP-Anfrage erstellt werden. Im Folgenden finden sich Beispiele für die HTTP-Anfrage via CURL.Hier gibt es 5 Haupt-APIs: Create Group, Add group members, Replace group members, Delete Group und List Users in a Group.Sie müssen zunächst die Gruppe erstellen und anschließend die Gruppe ersetzen, um eine Gruppe mit Membern anzulegen. Außerdem müssen Sie die Gruppennamen URL-kodieren, wenn der Gruppenname ein Sonderzeichen wie ein Leerzeichen enthält – ein Gruppenname wie ‘Engineering Group’ muss in der URL als ‘Engineering%20Group’ angegeben werden.Hinweis: Nutzer müssen zunächst in Devin Desktop angelegt werden (über SCIM oder durch manuelles Erstellen des Kontos), bevor sie einer Gruppe hinzugefügt werden können.CLI-Zugriff für einen Nutzer deaktivieren (auf Das Attribut Name aktualisieren:
Gruppe erstellen
curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
"displayName": "<group name>",
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Gruppenmitglieder hinzufügen
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "add",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Gruppenmitglieder ersetzen
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "replace",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Gruppe löschen
curl -X DELETE https://server.codeium.com/scim/v2/Groups/<group name> -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Gruppe auflisten
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups"
Nutzer in einer Gruppe auflisten
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups/<group_id>"
Nutzer-APIs
Es gibt auch APIs für Nutzer. Nachfolgend sind einige der gängigen SCIM-APIs aufgeführt, die Devin Desktop unterstützt.Einen Nutzer deaktivieren (Aktivieren durch Ersetzen von false mit true):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": false
}
]
}'
true setzen, um ihn wieder zu aktivieren: cliActive):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "cliActive",
"value": false
}
]
}'
cliActive legt fest, ob ein Nutzer auf Devin CLI zugreifen kann. Es ist unabhängig vom Attribut active – das Deaktivieren des CLI-Zugriffs hat keinen Einfluss auf den Sitzplatz des Nutzers oder seinen Zugriff auf andere Devin Desktop-Produkte. Ist cliActive für einen Nutzer nicht gesetzt, gilt für ihn die Standard-CLI-Zugriffsrichtlinie des Teams.Nutzer erstellen:curl -X POST \
https://server.codeium.com/scim/v2/Users \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "<email>",
"displayName": "<full name>",
"active": true
}'
curl -X PATCH \
'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<user api key>' \
-H 'Authorization: Bearer <service key>' \
-H 'Content-Type: application/scim+json' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "<new name>"
}
]
}'
API-Secret-Key erstellen
Gehen Sie zu https://windsurf.com/team/settings. Klicken Sie unter „Service Key Configuration” auf „Add Service Key”. Geben Sie einen beliebigen Schlüsselnamen ein (z. B. „Azure Provisioning Key”) und klicken Sie auf „Create Service Key”. Kopieren Sie den generierten Schlüssel und speichern Sie ihn – Sie können diesen Service-Schlüssel nun verwenden, um die oben genannten APIs zu autorisieren.Voraussetzungen
Diese Anleitung setzt voraus, dass Sie Duo konfiguriert haben und es als IdP Ihrer Organisation fungiert oder dass ein externer IdP konfiguriert ist.Sie benötigen Administratorzugriff auf Duo- und Devin Desktop-Konten.Duo für Devin Desktop konfigurieren
- Navigieren Sie zu Applications und fügen Sie einen generischen SAML-Service-Provider hinzu
- Navigieren Sie in Team Settings zu SSO
- Wenn Sie SAML zum ersten Mal aktivieren, müssen Sie Ihre SSO-ID einrichten. Sie können sie später nicht mehr ändern. Es wird empfohlen, dafür den Namen Ihrer Organisation oder Ihres Teams zu verwenden und nur alphanumerische Zeichen zu nutzen.
-
Kopieren Sie den Wert
Entity IDaus dem Duo-Portal und fügen Sie ihn in das FeldIdP Entity IDim Devin Desktop-Portal ein. -
Kopieren Sie den Wert
Single Sign-On URLaus dem Duo-Portal und fügen Sie ihn in das FeldSSO URLim Devin Desktop-Portal ein. -
Kopieren Sie den Zertifikatswert aus dem Duo-Portal und fügen Sie ihn in das Feld
X509 Certificateim Devin Desktop-Portal ein
-
Kopieren Sie den Wert
SP Identity IDaus dem Devin Desktop-Portal und fügen Sie ihn in das FeldEntity IDim Duo-Portal ein. -
Kopieren Sie die
Callback URL (Assertion Consumer Service URL)aus dem Devin Desktop-Portal und fügen Sie sie in das FeldAssertion Consumer Service (ACS) URLim Duo-Portal ein. - Konfigurieren Sie im Duo-Portal die Attributanweisungen wie folgt:
- Aktivieren Sie die SAML-Anmeldung im Devin Desktop-Portal, damit Sie sie testen können.
- Sobald Ihr Test erfolgreich abgeschlossen wurde, können Sie sich abmelden. Sie können sich jetzt per SSO anmelden, wenn Sie die Team-/Organisationsseite mit der in Schritt 3 konfigurierten SSO-ID aufrufen.
Voraussetzungen
Diese Anleitung setzt voraus, dass Sie PingID konfiguriert haben und es als IDP Ihrer Organisation fungiert oder dass ein externer IDP konfiguriert ist.Sie benötigen Administratorzugriff auf Ihre PingID- und Devin Desktop-Konten.PingID für Devin Desktop konfigurieren
- Navigieren Sie zu Applications und fügen Sie Devin Desktop als SAML-Anwendung hinzu
- Navigieren Sie in Team Settings zu SSO
- Wenn Sie SAML zum ersten Mal aktivieren, müssen Sie Ihre SSO-ID einrichten. Sie können sie später nicht mehr ändern.
- Wählen Sie in PingID aus, die Konfiguration manuell einzugeben, und füllen Sie die Felder mit den folgenden Werten aus:
- ACS-URLs - dies ist die
Callback URL (Assertion Consumer Service URL)aus dem Devin Desktop-Portal. - Entity ID - dies ist die
SP Entity IDaus dem Devin Desktop-Portal.
-
Kopieren Sie die
Issuer IDaus PingID in den WertIdP Entity IDim Devin Desktop-Portal. -
Kopieren Sie den Wert
Single Signon Serviceaus PingID in den WertSSO URLim Devin Desktop-Portal. -
Laden Sie das Signing Certificate aus PingID als X509 PEM (.crt) herunter, öffnen Sie die Datei und kopieren Sie ihren Inhalt in den Wert
X509 Certificateim Devin Desktop-Portal.
- Stellen Sie bei den Attributzuordnungen sicher, dass Folgendes zugeordnet ist:
saml_subject- E-Mail-AdressefirstName- VornamelastName- Nachname
- Fügen Sie alle weiteren Richtlinien und Zugriffe hinzu oder bearbeiten Sie sie entsprechend den Anforderungen Ihres Setups bzw. Ihrer Organisation
- Aktivieren Sie die SAML-Anmeldung im Devin Desktop-Portal, damit Sie sie testen können.
- Sobald Ihr Test erfolgreich abgeschlossen wurde, können Sie sich abmelden. Sie können sich jetzt per SSO anmelden, wenn Sie mit der in Schritt 3 konfigurierten SSO-ID zu Ihrer Team-/Organisationsseite wechseln.