Zum Hauptinhalt springen
Wenn Ihre Organisation einen OpenID-Connect-(OIDC)-Identitätsanbieter verwendet, der nicht Azure AD oder Okta ist (z. B. Ping Identity, OneLogin, Keycloak, Auth0 oder einen anderen OIDC-kompatiblen IdP), können Sie SSO für Devin Enterprise mithilfe einer generischen OIDC-Verbindung einrichten.
Diese Anleitung richtet sich an Kunden, deren Identitätsanbieter nicht von den Integrationen für Azure AD (OIDC) oder Okta (OIDC) nativ unterstützt wird. Wenn Ihr IdP Azure AD oder Okta ist, empfehlen wir stattdessen die Verwendung der nativen Integration, da sie eine vereinfachte Einrichtung ermöglicht.

Was Sie benötigen

Die folgenden Informationen sind erforderlich, um OIDC-SSO für Devin einzurichten. Sie erfassen diese während der unten beschriebenen Einrichtungs­schritte und senden sie im letzten Schritt an Ihr Cognition Account-Team.
  • Discovery-URL – Der OIDC-Discovery-Endpunkt Ihres IdP (z. B. https://idp.example.com/.well-known/openid-configuration)
  • Client-ID – Die Anwendungs-Client-ID aus Ihrem IdP
  • Client-Secret – Das Anwendungs-Client-Secret aus Ihrem IdP
  • Identity-Provider-Domains – Alle Unternehmens-E-Mail-Domains, die sich über diesen IdP authentifizieren (z. B. example.com, subsidiary.example.com)
  • Scopes – Die anzufordernden OIDC-Scopes (typischerweise openid profile email; fügen Sie groups hinzu, wenn Sie IdP-Gruppen verwenden)

Anleitung zur Einrichtung

Schritt 1: Registrieren Sie eine Anwendung bei Ihrem IdP

Erstellen Sie in der Administrationskonsole Ihres Identitätsanbieters (IdP) eine neue OIDC-/OAuth-2.0-Anwendung (manchmal als „Web Application“ oder „Confidential Client“ bezeichnet) mit den folgenden Einstellungen:
EinstellungWert
Application TypeWeb Application / Confidential Client
Sign-in Redirect URI (Callback URL)https://auth.devin.ai/login/callback
Sign-out Redirect URILeer lassen
Grant TypeAuthorization Code
Token Endpoint AuthenticationClient Secret (POST)
Notieren Sie sich nach dem Erstellen der Anwendung die vom IdP bereitgestellte Client ID und das Client Secret.

Schritt 2: Ermitteln Sie Ihre Discovery-URL

Die meisten OIDC-konformen Identity Provider veröffentlichen ein OpenID-Connect-Discovery-Dokument. Diese URL ermöglicht es Devin, die Autorisierungs-, Token- und Userinfo-Endpunkte Ihres IdP automatisch abzurufen. Die Discovery-URL folgt in der Regel diesem Muster: 
https://<your-idp-domain>/.well-known/openid-configuration
Häufige Discovery-URL-Formate nach Anbieter:
  • Keycloak: https://<host>/realms/<realm>/.well-known/openid-configuration
  • Ping Identity: https://<host>/<tenant-id>/as/.well-known/openid-configuration
  • OneLogin: https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
  • Auth0: https://<domain>/.well-known/openid-configuration
  • Google Workspace: https://accounts.google.com/.well-known/openid-configuration
Sie können die URL überprüfen, indem Sie sie in einem Browser öffnen – dann sollte ein JSON-Dokument angezeigt werden, das Felder wie authorization_endpoint, token_endpoint und issuer enthält.

Schritt 3: Scopes konfigurieren

OIDC-Scopes legen fest, welche Benutzerinformationen Devin während der Authentifizierung erhält. Fordern Sie mindestens die folgenden Scopes an:
ScopeZweckErforderlich
openidErforderlich für alle OIDC-FlowsJa
profileGibt den Anzeigenamen des Benutzers zurückJa
emailGibt die E-Mail-Adresse des Benutzers zurückJa
groupsGibt die Gruppenmitgliedschaften des Benutzers zurück (für IdP-Gruppen)Nur bei Verwendung von IdP-Gruppen
Ihre Scope-Zeichenfolge sollte lauten: openid profile email (oder openid profile email groups, wenn Sie IdP-Gruppen verwenden).
Einige IdPs verwenden einen anderen Scope-Namen für Gruppen-Claims (z. B. roles oder einen benutzerdefinierten Scope). Prüfen Sie die Dokumentation Ihres IdP für den korrekten Scope-Namen, der Informationen zu Gruppenmitgliedschaften zurückgibt.

Schritt 4: Gruppen-Claims konfigurieren (erforderlich für IdP-Gruppen)

Wenn Sie die IdP-Gruppenintegration für rollenbasierte Zugriffskontrolle in Devin verwenden möchten, müssen Sie Ihren IdP so konfigurieren, dass die Gruppenmitgliedschaft im ID-Token oder in der userinfo-Antwort enthalten ist. Andernfalls können sich Nutzer zwar erfolgreich authentifizieren, aber IdP-Gruppen werden nicht synchronisiert.
So aktivieren Sie die Synchronisierung von IdP-Gruppen:
  1. Stellen Sie in Ihrem IdP sicher, dass der groups-Scope für die Anwendung verfügbar ist.
  2. Konfigurieren Sie Ihren IdP so, dass ein groups-Claim im ID-Token oder in der userinfo-Antwort enthalten ist.
Wenn Ihr IdP Gruppen-Claims nicht standardmäßig einbezieht, müssen Sie möglicherweise einen benutzerdefinierten Scope erstellen oder eine Claims-Mapping-Richtlinie konfigurieren. Konsultieren Sie die Dokumentation Ihres IdP für Anleitungen zum Hinzufügen von Gruppen-Claims zu OIDC-Tokens.

Schritt 5: Konfiguration an Cognition senden

Senden Sie Folgendes an das Account-Team von Cognition:
  1. Discovery-URL (z. B. https://idp.example.com/.well-known/openid-configuration)
  2. Client-ID
  3. Client-Secret
  4. Identity-Provider-Domains (alle E-Mail-Domains dieses IdP)
  5. Scopes (z. B. openid profile email groups)
Das Account-Team von Cognition konfiguriert die OIDC-Verbindung so, dass IdP-Gruppen bei jeder Benutzeranmeldung automatisch synchronisiert werden.

Überprüfung Ihres Setups

Nachdem Ihr Cognition-Account-Team bestätigt hat, dass die Konfiguration abgeschlossen ist:
  1. Navigieren Sie zu Ihrer Devin Enterprise-URL (z. B. https://<your_subdomain>.devinenterprise.com)
  2. Klicken Sie auf Sign in with OIDC (oder die entsprechende SSO-Schaltfläche), um den Anmeldevorgang zu starten
  3. Sie sollten auf die Anmeldeseite Ihres IdP weitergeleitet werden
  4. Nach der Authentifizierung sollten Sie in Ihrer Devin Enterprise-Organisation landen
So prüfen Sie, ob IdP-Gruppen funktionieren:
  1. Gehen Sie in der Devin-Web-App zu Settings > IdP Groups
  2. Sie sollten Ihre IdP-Gruppen sehen, nachdem sich mindestens ein Gruppenmitglied angemeldet hat
  3. Gruppen werden bei jeder Anmeldung synchronisiert, daher werden alle Mitgliedschaftsänderungen in Ihrem IdP bei der nächsten Anmeldung eines Nutzers wirksam
IdP-Gruppen werden bei der Benutzeranmeldung abgerufen, daher erfordern Änderungen an der Gruppenmitgliedschaft eine erneute Authentifizierung. Weitere Details zur Konfiguration der gruppenbasierten Zugriffskontrolle finden Sie unter IdP Group Integration.