> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuración de SAML SSO

> Configurar inicio de sesión único (SSO) con un proveedor de identidad SAML

Si su organización utiliza un proveedor de identidad (IdP) basado en SAML (por ejemplo, Microsoft Entra ID mediante SAML, ADFS, Ping Identity, OneLogin u otro IdP compatible con SAML 2.0), pueden configurar SSO para Devin Enterprise usando SAML genérico.

<Note>
  Esta guía es para clientes que desean usar **SAML** en lugar de las integraciones nativas de [Microsoft Entra ID (OIDC)](/es/enterprise/security-access/sso/azure) u [Okta (OIDC)](/es/enterprise/security-access/sso/okta). En general, recomendamos usar la integración nativa de OIDC siempre que sea posible, pero hay ciertas situaciones en las que se prefiere el SSO con SAML.
</Note>

<div id="what-youll-need">
  ## Lo que necesitas
</div>

La siguiente información es necesaria para configurar SAML SSO para Devin. La recopilarás durante los pasos de configuración a continuación y la enviarás a tu equipo de cuentas de Cognition en el paso final.

* **Sign In URL** - El endpoint de SAML SSO de tu IdP (por ejemplo, `https://idp.example.com/sso/saml`)
* **X509 Signing Certificate** - El certificado público que tu IdP usa para firmar las afirmaciones SAML
* **Identity Provider Domains** - Todos los dominios de correo electrónico de la empresa que se autenticarán mediante este IdP (por ejemplo, `example.com`, `subsidiary.example.com`)
* **Group Attribute Name** (si usas grupos del IdP) - El nombre del atributo SAML que tu IdP usa para enviar las membresías de grupo

<div id="setup-instructions">
  ## Instrucciones de configuración
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### Paso 1: Crea una aplicación SAML en tu IdP
</div>

En la consola de administración de tu proveedor de identidad, crea una nueva aplicación SAML 2.0 con la siguiente configuración:

| Configuración                            | Valor                                                                                            |
| :--------------------------------------- | :----------------------------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                                           |
| **Entity ID / Audience URI**             | Déjalo en blanco por ahora — consulta el [Paso 5](#step-5-complete-configuration-with-cognition) |
| **Name ID Format**                       | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (recomendado) o `persistent`            |
| **Name ID Value**                        | Dirección de correo electrónico del usuario                                                      |
| **Signature Algorithm**                  | RSA-SHA256                                                                                       |
| **Digest Algorithm**                     | SHA256                                                                                           |
| **Response Binding**                     | HTTP-POST                                                                                        |

<div id="step-2-configure-saml-attributes">
  ### Paso 2: Configurar atributos SAML
</div>

Asegúrate de que tu IdP envíe los siguientes atributos en la aserción SAML:

| Atributo SAML                                                          | Descripción                                                                                 | Obligatorio |
| :--------------------------------------------------------------------- | :------------------------------------------------------------------------------------------ | :---------- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | Identificador único de usuario (normalmente la dirección de correo electrónico del usuario) | Sí          |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | Dirección de correo electrónico del usuario                                                 | Sí          |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | Nombre para mostrar del usuario                                                             | Recomendado |

<Note>
  Devin usa el atributo `nameidentifier` para identificar a los usuarios. La mayoría de los IdP lo completan automáticamente a partir del valor **Name ID** de SAML. Si tu IdP no envía `nameidentifier` como un atributo separado, asegúrate de que el **Name ID Value** del Paso 1 esté configurado con la dirección de correo electrónico del usuario.
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### Paso 3: Configurar aserciones de grupos (obligatorio para grupos de IdP)
</div>

<Warning>
  Si desea usar la [integración de grupos de IdP](/es/enterprise/security-access/idp-groups) para el control de acceso basado en roles en Devin, **debe** configurar su IdP para enviar la pertenencia a grupos en la aserción SAML. De lo contrario, los usuarios se autenticarán correctamente, pero los grupos del IdP no se sincronizarán.
</Warning>

Para habilitar la sincronización de grupos del IdP, configure un **atributo de grupo** en su aplicación SAML:

| Atributo SAML           | Valor                                     |
| :---------------------- | :---------------------------------------- |
| **Nombre del atributo** | `http://schemas.xmlsoap.org/claims/Group` |
| **Valor del atributo**  | Pertenencia del usuario a grupos          |

<Note>
  El nombre exacto del atributo puede variar según su IdP. Nombres de atributo comunes para grupos incluyen:

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **Comparta el nombre exacto del atributo que configure con su equipo de cuenta de Cognition** para que podamos mapearlo correctamente de nuestro lado.
</Note>

<div id="microsoft-entra-id-with-saml">
  #### Microsoft Entra ID con SAML
</div>

Si usas Microsoft Entra ID con SAML en lugar de la integración nativa de OIDC:

1. En el portal de Azure, ve a **Enterprise Applications** > tu aplicación SAML > **Single sign-on**
2. En **Attributes & Claims**, haz clic en **Add a group claim**
3. Selecciona **Groups assigned to the application** (recomendado) o **All groups**
4. Establece **Source attribute** en un valor adecuado para tu configuración (por ejemplo, `sAMAccountName` o `Display name`)
5. Anota el **Claim name** que genera Azure (por ejemplo, `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) y compártelo con el equipo de cuentas de Cognition

<div id="other-saml-identity-providers">
  #### Otros proveedores de identidad SAML
</div>

Para otros IdP (ADFS, Ping Identity, OneLogin, etc.):

1. Agrega una declaración de atributo de grupo a la configuración de tu aplicación SAML
2. Configúrala para enviar las membresías de grupo del usuario
3. Anota el nombre exacto del atributo y compártelo con tu equipo de cuenta de Cognition

<div id="step-4-send-configuration-to-cognition">
  ### Paso 4: Enviar la configuración a Cognition
</div>

Envía la siguiente información al equipo de cuentas de Cognition:

1. **URL de inicio de sesión** (por ejemplo, `https://idp.example.com/sso/saml`)
2. **Certificado de firma X509** (el archivo de certificado público o el texto codificado en PEM)
3. **Dominios del proveedor de identidad** (todos los dominios de correo electrónico gestionados por este IdP)
4. **Nombre del atributo de grupo** (si se usan grupos del IdP) — el nombre exacto del atributo SAML configurado en el Paso 3

<div id="step-5-complete-configuration-with-cognition">
  ### Paso 5: Completar la configuración con Cognition
</div>

Después de recibir tu configuración, el equipo de cuentas de Cognition:

1. Creará la conexión SAML y te proporcionará el **Entity ID / Audience URI** y un **nombre de conexión**
2. Configurará el mapeo de tu atributo de grupo (si aplica) para que los grupos del IdP se sincronicen automáticamente en cada inicio de sesión de usuario

Una vez que recibas el Entity ID, actualiza la configuración de **Entity ID / Audience URI** de tu aplicación SAML con el valor proporcionado.

<Note>
  Devin envía solicitudes de autenticación SAML firmadas. Tu archivo de metadatos SAML estará disponible en:

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  donde `<connection_name>` es el nombre de conexión proporcionado por el equipo de cuentas de Cognition. Importa estos metadatos en tu IdP para completar la configuración de confianza y habilitar la verificación de la firma de las solicitudes.
</Note>

<div id="verifying-your-setup">
  ## Verificar tu configuración
</div>

Después de actualizar el Entity ID y de que tu equipo de cuentas de Cognition confirme que la configuración está completa:

1. Navega a tu URL de Devin Enterprise (por ejemplo, `https://<your_subdomain>.devinenterprise.com`)
2. Haz clic en **Sign in with SAML** (o el botón de SSO equivalente) para iniciar el flujo de inicio de sesión
3. Deberías ser redirigido a la página de inicio de sesión de tu IdP
4. Después de autenticarte, deberías acceder a tu organización de Devin Enterprise

Para verificar que los grupos del IdP estén funcionando:

1. Ve a **Settings** > **IdP Groups** en la aplicación web de Devin
2. Deberías ver tus grupos de IdP listados después de que al menos un miembro del grupo haya iniciado sesión
3. Los grupos se sincronizan en cada inicio de sesión, por lo que cualquier cambio en la pertenencia de usuarios a grupos en tu IdP tendrá efecto la próxima vez que un usuario inicie sesión

<Note>
  Los grupos de IdP se obtienen al inicio de sesión del usuario, por lo que los cambios en la pertenencia a grupos requerirán que el usuario vuelva a autenticarse. Consulta [IdP Group Integration](/es/enterprise/security-access/idp-groups) para más detalles sobre cómo configurar el control de acceso basado en grupos.
</Note>
