> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML-SSO-Einrichtung

> Single Sign-On mit einem SAML-Identity Provider einrichten

Wenn Ihre Organisation einen SAML-basierten Identity Provider verwendet (z. B. Microsoft Entra ID über SAML, ADFS, Ping Identity, OneLogin oder einen anderen SAML-2.0-kompatiblen IdP), können Sie SSO für Devin Enterprise über generisches SAML konfigurieren.

<Note>
  Diese Anleitung ist für Kundinnen und Kunden, die **SAML** anstelle der nativen Integrationen für [Microsoft Entra ID (OIDC)](/de/enterprise/security-access/sso/azure) oder [Okta (OIDC)](/de/enterprise/security-access/sso/okta) verwenden möchten. Wir empfehlen in der Regel die native OIDC-Integration, wann immer dies möglich ist, aber es gibt bestimmte Situationen, in denen SAML-SSO bevorzugt wird.
</Note>

<div id="what-youll-need">
  ## Was Sie benötigen
</div>

Die folgenden Informationen sind erforderlich, um SAML-SSO (Single Sign-On) für Devin einzurichten. Sie erfassen diese während der unten beschriebenen Einrichtungsschritte und senden sie im letzten Schritt an Ihr Cognition-Account-Team.

* **Sign In URL** – Der SAML-SSO-Endpunkt Ihres IdP (z. B. `https://idp.example.com/sso/saml`)
* **X509 Signing Certificate** – Das öffentliche Zertifikat, das Ihr IdP zum Signieren von SAML-Assertions verwendet
* **Identity Provider Domains** – Alle Unternehmens-E-Mail-Domains, die sich über diesen IdP authentifizieren (z. B. `example.com`, `subsidiary.example.com`)
* **Group Attribute Name** (bei Verwendung von IdP-Gruppen) – Der SAML-Attributname, den Ihr IdP verwendet, um Gruppenmitgliedschaften zu übermitteln

<div id="setup-instructions">
  ## Einrichtungsanleitung
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### Schritt 1: Erstellen Sie eine SAML-Anwendung in Ihrem IdP
</div>

Erstellen Sie in der Admin-Konsole Ihres Identity-Providers eine neue SAML-2.0-Anwendung mit den folgenden Einstellungen:

| Einstellung                              | Wert                                                                                   |
| :--------------------------------------- | :------------------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                                 |
| **Entity ID / Audience URI**             | Vorerst leer lassen — siehe [Schritt 5](#step-5-complete-configuration-with-cognition) |
| **Name ID Format**                       | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (empfohlen) oder `persistent` |
| **Name ID Value**                        | E-Mail-Adresse des Benutzers                                                           |
| **Signature Algorithm**                  | RSA-SHA256                                                                             |
| **Digest Algorithm**                     | SHA256                                                                                 |
| **Response Binding**                     | HTTP-POST                                                                              |

<div id="step-2-configure-saml-attributes">
  ### Schritt 2: SAML-Attribute konfigurieren
</div>

Stellen Sie sicher, dass Ihr IdP die folgenden Attribute in der SAML-Assertion sendet:

| SAML Attribute                                                         | Beschreibung                                                                   | Erforderlich |
| :--------------------------------------------------------------------- | :----------------------------------------------------------------------------- | :----------- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | Eindeutiger Benutzerbezeichner (in der Regel die E-Mail-Adresse des Benutzers) | Ja           |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | E-Mail-Adresse des Benutzers                                                   | Ja           |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | Anzeigename des Benutzers                                                      | Empfohlen    |

<Note>
  Devin verwendet das Attribut `nameidentifier`, um Benutzer zu identifizieren. Die meisten IdPs befüllen dieses automatisch auf Basis des SAML-**Name ID**-Werts. Wenn Ihr IdP `nameidentifier` nicht als separates Attribut sendet, stellen Sie sicher, dass der **Name ID Value** in Schritt 1 auf die E-Mail-Adresse des Benutzers festgelegt ist.
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### Schritt 3: Gruppen-Assertions konfigurieren (erforderlich für IdP-Gruppen)
</div>

<Warning>
  Wenn Sie die [IdP-Gruppen-Integration](/de/enterprise/security-access/idp-groups) für rollenbasierte Zugriffskontrolle in Devin verwenden möchten, **müssen** Sie Ihren IdP so konfigurieren, dass die Gruppenmitgliedschaften in der SAML-Assertion gesendet werden. Ohne diese Konfiguration können sich Benutzer zwar erfolgreich authentifizieren, aber IdP-Gruppen werden nicht synchronisiert.
</Warning>

Um die Synchronisierung von IdP-Gruppen zu aktivieren, konfigurieren Sie ein **Gruppenattribut** in Ihrer SAML-Anwendung:

| SAML-Attribut    | Wert                                      |
| :--------------- | :---------------------------------------- |
| **Attributname** | `http://schemas.xmlsoap.org/claims/Group` |
| **Attributwert** | Gruppenmitgliedschaften des Benutzers     |

<Note>
  Der genaue Attributname kann je nach IdP variieren. Häufige Attributnamen für Gruppen sind:

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **Teilen Sie den exakten Attributnamen, den Sie konfigurieren, Ihrem Cognition-Account-Team mit**, damit wir ihn unsererseits korrekt zuordnen können.
</Note>

<div id="microsoft-entra-id-with-saml">
  #### Microsoft Entra ID mit SAML
</div>

Wenn Sie Microsoft Entra ID mit SAML anstelle der nativen OIDC-Integration verwenden:

1. Gehen Sie im Azure-Portal zu **Enterprise Applications** > Ihrer SAML-App > **Single sign-on**
2. Klicken Sie unter **Attributes & Claims** auf **Add a group claim**
3. Wählen Sie **Groups assigned to the application** (empfohlen) oder **All groups**
4. Legen Sie **Source attribute** auf einen Wert fest, der zu Ihrem Setup passt (z. B. `sAMAccountName` oder `Display name`)
5. Notieren Sie sich den von Azure generierten **Claim name** (z. B. `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) und geben Sie ihn an Ihr Cognition-Account-Team weiter

<div id="other-saml-identity-providers">
  #### Andere SAML-Identitätsanbieter
</div>

Für andere IdPs (ADFS, Ping Identity, OneLogin usw.):

1. Fügen Sie Ihrer SAML-Anwendungskonfiguration eine Attributanweisung für Gruppen hinzu
2. Konfigurieren Sie diese so, dass die Gruppenmitgliedschaften der Benutzer übermittelt werden
3. Notieren Sie sich den genauen Attributnamen und geben Sie ihn an Ihr Cognition-Account-Team weiter

<div id="step-4-send-configuration-to-cognition">
  ### Schritt 4: Konfiguration an Cognition senden
</div>

Senden Sie die folgenden Informationen an Ihr Cognition Account-Team:

1. **Sign-In-URL** (z. B. `https://idp.example.com/sso/saml`)
2. **X.509-Signaturzertifikat** (die öffentliche Zertifikatsdatei oder PEM-kodierter Text)
3. **Identity-Provider-Domains** (alle E-Mail-Domains für diesen IdP)
4. **Gruppenattributname** (bei Verwendung von IdP-Gruppen) — der genaue SAML-Attributname, der in Schritt 3 konfiguriert wurde

<div id="step-5-complete-configuration-with-cognition">
  ### Schritt 5: Konfiguration mit Cognition abschließen
</div>

Nachdem Ihre Konfiguration eingegangen ist, wird Ihr Cognition-Account-Team Folgendes tun:

1. Die SAML-Verbindung erstellen und Ihnen die **Entity ID / Audience URI** sowie einen Verbindungsnamen (**connection name**) bereitstellen
2. Ihr Gruppenattribut (falls zutreffend) zuordnen, damit IdP-Gruppen bei jeder Benutzeranmeldung automatisch synchronisiert werden

Sobald Sie die Entity ID erhalten haben, aktualisieren Sie die Einstellung **Entity ID / Audience URI** in Ihrer SAML-Anwendung mit dem bereitgestellten Wert.

<Note>
  Devin sendet signierte SAML-Authentifizierungsanfragen. Ihre SAML-Metadatendatei ist verfügbar unter:

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  wobei `<connection_name>` dem von Ihrem Cognition-Account-Team bereitgestellten Verbindungsnamen entspricht. Importieren Sie diese Metadaten in Ihren IdP, um die Vertrauenskonfiguration abzuschließen und die Überprüfung der Signatur von Anfragen zu aktivieren.
</Note>

<div id="verifying-your-setup">
  ## Überprüfung Ihrer Einrichtung
</div>

Nachdem Sie die Entity ID aktualisiert haben und Ihr Cognition-Account-Team bestätigt hat, dass die Konfiguration abgeschlossen ist:

1. Navigieren Sie zu Ihrer Devin Enterprise-URL (z. B. `https://<your_subdomain>.devinenterprise.com`)
2. Klicken Sie auf **Sign in with SAML** (oder die entsprechende SSO-Schaltfläche), um den Anmeldevorgang zu starten
3. Sie sollten auf die Anmeldeseite Ihres IdP weitergeleitet werden
4. Nach der Authentifizierung sollten Sie in Ihrer Devin Enterprise-Organisation landen

So überprüfen Sie, ob IdP-Gruppen funktionieren:

1. Gehen Sie in der Devin-Webanwendung zu **Settings** > **IdP Groups**
2. Sie sollten Ihre IdP-Gruppen sehen, nachdem sich mindestens ein Gruppenmitglied angemeldet hat
3. Gruppen werden bei jeder Anmeldung synchronisiert, sodass Änderungen an der Mitgliedschaft in Ihrem IdP bei der nächsten Anmeldung eines Benutzers wirksam werden

<Note>
  IdP-Gruppen werden bei der Benutzeranmeldung abgefragt, daher erfordern Änderungen an der Gruppenmitgliedschaft eine erneute Authentifizierung. Weitere Details zur Konfiguration der gruppenbasierten Zugriffskontrolle finden Sie unter [IdP Group Integration](/de/enterprise/security-access/idp-groups).
</Note>
