Zum Hauptinhalt springen
Wenn Ihre Organisation einen SAML-basierten Identitätsanbieter verwendet (z. B. Azure AD über SAML, ADFS, Ping Identity, OneLogin oder einen anderen SAML-2.0-kompatiblen IdP), können Sie SSO für Devin Enterprise über generisches SAML konfigurieren.
Diese Anleitung ist für Kundinnen und Kunden, die SAML anstelle der nativen Integrationen für Azure AD (OIDC) oder Okta (OIDC) verwenden möchten. Wir empfehlen in der Regel die native OIDC-Integration, wann immer dies möglich ist, aber es gibt bestimmte Situationen, in denen SAML-SSO bevorzugt wird.

Was Sie benötigen

Die folgenden Informationen sind erforderlich, um SAML-SSO (Single Sign-On) für Devin einzurichten. Sie erfassen diese während der unten beschriebenen Einrichtungsschritte und senden sie im letzten Schritt an Ihr Cognition-Account-Team.
  • Sign In URL – Der SAML-SSO-Endpunkt Ihres IdP (z. B. https://idp.example.com/sso/saml)
  • X509 Signing Certificate – Das öffentliche Zertifikat, das Ihr IdP zum Signieren von SAML-Assertions verwendet
  • Identity Provider Domains – Alle Unternehmens-E-Mail-Domains, die sich über diesen IdP authentifizieren (z. B. example.com, subsidiary.example.com)
  • Group Attribute Name (bei Verwendung von IdP-Gruppen) – Der SAML-Attributname, den Ihr IdP verwendet, um Gruppenmitgliedschaften zu übermitteln

Einrichtungsanleitung

Schritt 1: Erstellen Sie eine SAML-Anwendung in Ihrem IdP

Erstellen Sie in der Admin-Konsole Ihres Identity-Providers eine neue SAML-2.0-Anwendung mit den folgenden Einstellungen:
EinstellungWert
ACS (Assertion Consumer Service) URLhttps://auth.devin.ai/login/callback
Entity ID / Audience URIVorerst leer lassen — siehe Schritt 5
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (empfohlen) oder persistent
Name ID ValueE-Mail-Adresse des Benutzers
Signature AlgorithmRSA-SHA256
Digest AlgorithmSHA256
Response BindingHTTP-POST

Schritt 2: SAML-Attribute konfigurieren

Stellen Sie sicher, dass Ihr IdP die folgenden Attribute in der SAML-Assertion sendet:
SAML AttributeBeschreibungErforderlich
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierEindeutiger Benutzerbezeichner (in der Regel die E-Mail-Adresse des Benutzers)Ja
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressE-Mail-Adresse des BenutzersJa
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameAnzeigename des BenutzersEmpfohlen
Devin verwendet das Attribut nameidentifier, um Benutzer zu identifizieren. Die meisten IdPs befüllen dieses automatisch auf Basis des SAML-Name ID-Werts. Wenn Ihr IdP nameidentifier nicht als separates Attribut sendet, stellen Sie sicher, dass der Name ID Value in Schritt 1 auf die E-Mail-Adresse des Benutzers festgelegt ist.

Schritt 3: Gruppen-Assertions konfigurieren (erforderlich für IdP-Gruppen)

Wenn Sie die IdP-Gruppen-Integration für rollenbasierte Zugriffskontrolle in Devin verwenden möchten, müssen Sie Ihren IdP so konfigurieren, dass die Gruppenmitgliedschaften in der SAML-Assertion gesendet werden. Ohne diese Konfiguration können sich Benutzer zwar erfolgreich authentifizieren, aber IdP-Gruppen werden nicht synchronisiert.
Um die Synchronisierung von IdP-Gruppen zu aktivieren, konfigurieren Sie ein Gruppenattribut in Ihrer SAML-Anwendung:
SAML-AttributWert
Attributnamehttp://schemas.xmlsoap.org/claims/Group
AttributwertGruppenmitgliedschaften des Benutzers
Der genaue Attributname kann je nach IdP variieren. Häufige Attributnamen für Gruppen sind:
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • groups
  • memberOf
Teilen Sie den exakten Attributnamen, den Sie konfigurieren, Ihrem Cognition-Account-Team mit, damit wir ihn unsererseits korrekt zuordnen können.

Azure AD (Entra ID) mit SAML

Wenn Sie Azure AD mit SAML anstelle der nativen OIDC-Integration verwenden:
  1. Gehen Sie im Azure-Portal zu Enterprise Applications > Ihrer SAML-App > Single sign-on
  2. Klicken Sie unter Attributes & Claims auf Add a group claim
  3. Wählen Sie Groups assigned to the application (empfohlen) oder All groups
  4. Legen Sie Source attribute auf einen Wert fest, der zu Ihrem Setup passt (z. B. sAMAccountName oder Display name)
  5. Notieren Sie sich den von Azure generierten Claim name (z. B. http://schemas.microsoft.com/ws/2008/06/identity/claims/groups) und geben Sie ihn an Ihr Cognition-Account-Team weiter

Andere SAML-Identitätsanbieter

Für andere IdPs (ADFS, Ping Identity, OneLogin usw.):
  1. Fügen Sie Ihrer SAML-Anwendungskonfiguration eine Attributanweisung für Gruppen hinzu
  2. Konfigurieren Sie diese so, dass die Gruppenmitgliedschaften der Benutzer übermittelt werden
  3. Notieren Sie sich den genauen Attributnamen und geben Sie ihn an Ihr Cognition-Account-Team weiter

Schritt 4: Konfiguration an Cognition senden

Senden Sie die folgenden Informationen an Ihr Cognition Account-Team:
  1. Sign-In-URL (z. B. https://idp.example.com/sso/saml)
  2. X.509-Signaturzertifikat (die öffentliche Zertifikatsdatei oder PEM-kodierter Text)
  3. Identity-Provider-Domains (alle E-Mail-Domains für diesen IdP)
  4. Gruppenattributname (bei Verwendung von IdP-Gruppen) — der genaue SAML-Attributname, der in Schritt 3 konfiguriert wurde

Schritt 5: Konfiguration mit Cognition abschließen

Nachdem Ihre Konfiguration eingegangen ist, wird Ihr Cognition-Account-Team Folgendes tun:
  1. Die SAML-Verbindung erstellen und Ihnen die Entity ID / Audience URI sowie einen Verbindungsnamen (connection name) bereitstellen
  2. Ihr Gruppenattribut (falls zutreffend) zuordnen, damit IdP-Gruppen bei jeder Benutzeranmeldung automatisch synchronisiert werden
Sobald Sie die Entity ID erhalten haben, aktualisieren Sie die Einstellung Entity ID / Audience URI in Ihrer SAML-Anwendung mit dem bereitgestellten Wert.
Devin sendet signierte SAML-Authentifizierungsanfragen. Ihre SAML-Metadatendatei ist verfügbar unter:
https://auth.devin.ai/samlp/metadata?connection=<connection_name>
wobei <connection_name> dem von Ihrem Cognition-Account-Team bereitgestellten Verbindungsnamen entspricht. Importieren Sie diese Metadaten in Ihren IdP, um die Vertrauenskonfiguration abzuschließen und die Überprüfung der Signatur von Anfragen zu aktivieren.

Überprüfung Ihrer Einrichtung

Nachdem Sie die Entity ID aktualisiert haben und Ihr Cognition-Account-Team bestätigt hat, dass die Konfiguration abgeschlossen ist:
  1. Navigieren Sie zu Ihrer Devin Enterprise-URL (z. B. https://<your_subdomain>.devinenterprise.com)
  2. Klicken Sie auf Sign in with SAML (oder die entsprechende SSO-Schaltfläche), um den Anmeldevorgang zu starten
  3. Sie sollten auf die Anmeldeseite Ihres IdP weitergeleitet werden
  4. Nach der Authentifizierung sollten Sie in Ihrer Devin Enterprise-Organisation landen
So überprüfen Sie, ob IdP-Gruppen funktionieren:
  1. Gehen Sie in der Devin-Webanwendung zu Settings > IdP Groups
  2. Sie sollten Ihre IdP-Gruppen sehen, nachdem sich mindestens ein Gruppenmitglied angemeldet hat
  3. Gruppen werden bei jeder Anmeldung synchronisiert, sodass Änderungen an der Mitgliedschaft in Ihrem IdP bei der nächsten Anmeldung eines Benutzers wirksam werden
IdP-Gruppen werden bei der Benutzeranmeldung abgefragt, daher erfordern Änderungen an der Gruppenmitgliedschaft eine erneute Authentifizierung. Weitere Details zur Konfiguration der gruppenbasierten Zugriffskontrolle finden Sie unter IdP Group Integration.