Guía de seguridad para Admin de FedRAMP
Esta guía describe cómo crear, configurar, operar y dar de baja de forma segura las cuentas administrativas de nivel superior en Devin Desktop. Abarca las definiciones de roles administrativos, los procedimientos del ciclo de vida de las cuentas y todas las opciones de seguridad controladas por el administrador, junto con sus funciones asociadas, repercusiones de seguridad y valores recomendados.
Esta guía se ha redactado para el despliegue FedRAMP de Devin Desktop, que se ejecuta en AWS GovCloud. El despliegue FedRAMP utiliza un portal empresarial dedicado y autenticación mediante SSO (OIDC o SAML 2.0). Algunas funciones descritas en otra documentación de Devin Desktop para la oferta SaaS no están disponibles en el entorno FedRAMP.
Definiciones de roles administrativos
Devin Desktop utiliza un sistema de control de acceso basado en roles (RBAC) para gestionar los privilegios administrativos. Los roles se gestionan a través del Admin Portal, en la sección de Settings de gestión de roles, y pueden asignarse a usuarios individuales.
Devin Desktop incluye dos roles predefinidos que no se pueden eliminar.
Los administradores pueden crear roles personalizados para aplicar el principio de mínimo privilegio. Los roles personalizados se componen de permisos granulares seleccionados entre las categorías siguientes. Para crear un rol personalizado, ve al Admin Portal y abre la sección Gestión de roles en Settings.
La siguiente tabla enumera todos los permisos disponibles para la asignación de roles en el despliegue de FedRAMP. Cada permiso controla el acceso a una función administrativa específica.
Varios de estos permisos (como Attribution, License, SSO, Indexing y Fine-Tuning) existen en el sistema RBAC, pero las páginas correspondientes del portal no están disponibles en el despliegue multi-tenant de FedRAMP. Estos permisos se incluyen en la UI de gestión de roles para mayor exhaustividad, pero no conceden acceso a ninguna funcionalidad activa en este entorno.
Procedimientos del ciclo de vida de la cuenta Admin
Esta sección describe el ciclo de vida completo de una cuenta administrativa principal, desde su creación inicial hasta su retirada.
Configuración de la cuenta
La incorporación mediante SSO es el método principal de aprovisionamiento en el despliegue de FedRAMP. La plataforma admite tanto OIDC como SAML 2.0 para la integración de inicio de sesión único. Los usuarios se autentican a través del proveedor de identidad configurado y, después de que el primer inicio de sesión cree su cuenta, un administrador asigna el rol adecuado a través del Portal de Admin. Ten en cuenta que la integración de SSO en el entorno FedRAMP requiere coordinación con el equipo de Devin Desktop FedRAMP y no puede configurarse en modalidad de autoservicio.
Cada cuenta nueva de administrador debe configurarse de acuerdo con el principio de mínimo privilegio. Se deben priorizar los roles personalizados con solo los permisos necesarios para las responsabilidades del administrador, en lugar de asignar el rol completo de Admin, salvo que el usuario requiera acceso completo al sistema.
Requisitos de autenticación y MFA
El despliegue de FedRAMP utiliza exclusivamente el inicio de sesión único y admite los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. Todos los usuarios deben autenticarse a través del proveedor de identidad configurado.
La autenticación multifactor (MFA) se exige a través del proveedor de identidad de la organización. Devin Desktop hereda las políticas de MFA configuradas en el IdP conectado, lo que significa que todos los requisitos de fortaleza de autenticación (como exigir un segundo factor, autenticadores resistentes al phishing o políticas de acceso condicional) se administran en el nivel del IdP. Las organizaciones deben configurar su IdP para exigir MFA a todos los usuarios que accedan a la aplicación de Devin Desktop, especialmente en las cuentas con roles administrativos.
Devin Desktop recomienda encarecidamente exigir MFA para todas las cuentas administrativas. Configura tu proveedor de identidad para exigir MFA como condición para acceder a la aplicación de Devin Desktop.
Configuración de la cuenta
Después de crear una cuenta administrativa, deben completarse los siguientes pasos de configuración.
La asignación de roles determina el ámbito del acceso administrativo de la cuenta. Asigne roles a través del Admin Portal; para ello, vaya a la pestaña Manage Team, localice al usuario, haga clic en Edit y seleccione el rol adecuado en el menú desplegable. Los cambios surten efecto de inmediato.
La gestión de claves de servicio es necesaria cuando el administrador requiere acceso a la API para automatización o analítica. Las claves de servicio se crean en Settings con permisos de ámbito limitado acordes con el uso previsto de la clave. Cada clave de servicio debe tener un nombre descriptivo (por ejemplo, “Panel de analítica”) y asignarse a un rol con los permisos mínimos necesarios.
Las prácticas operativas continuas para las cuentas administrativas incluyen las siguientes.
Las revisiones periódicas de acceso deben realizarse para verificar que las cuentas administrativas sigan requiriendo su nivel actual de acceso. Revise periódicamente la lista de usuarios con el rol de Admin en la pestaña Manage Team y ajuste los roles a medida que cambien las responsabilidades.
El monitoreo de actividad está disponible a través de los paneles integrados de analytics. Los administradores con el permiso Analytics Read pueden hacer seguimiento de la actividad de los usuarios, las métricas de interacción y el uso de funciones. La Analytics API proporciona acceso programático a estos datos para su integración con sistemas de monitoreo externos.
La rotación de claves de servicio debe realizarse periódicamente. Para rotar una clave, cree una nueva clave de servicio con los mismos permisos, actualice el sistema que la consume para usar la nueva clave y luego elimine la clave anterior.
Cuando un administrador ya no necesite acceso, la cuenta debe desactivarse de inmediato mediante el siguiente procedimiento.
Revocar el rol administrativo
Vaya al Admin Portal, abra la pestaña Manage Team, localice al usuario, haga clic en Edit y cambie su rol de Admin a User (o a un rol personalizado sin permisos administrativos).
Revocar las claves de servicio
Elimine cualquier clave de servicio que haya sido creada por el administrador saliente o utilizada exclusivamente por él. Vaya a Settings, luego a Service Key, y elimine las claves correspondientes.
Eliminar o desactivar la cuenta
Elimine al usuario desde la pestaña Manage Team haciendo clic en Delete junto a su nombre. Esto desactivará la cuenta de Devin Desktop del usuario y liberará su licencia.
Revisar el acceso residual
Verifique que la cuenta desactivada ya no aparezca en ningún rol administrativo revisando la lista de usuarios de Manage Team filtrada por el rol Admin. Confirme que se hayan eliminado todas las claves de servicio asociadas con la cuenta.
Desactive las cuentas administrativas de inmediato cuando un administrador cambie de rol o deje la organización. Retrasar la desactivación genera una exposición de seguridad innecesaria.
Referencia de configuración de seguridad
La siguiente tabla documenta toda la configuración de seguridad controlada por administradores disponible en el portal de Admin del despliegue FedRAMP. Cada entrada describe la función de la configuración, su impacto en la seguridad y el valor recomendado para un despliegue con altos requisitos de seguridad.
Última actualización: 28 de enero de 2026