Passer au contenu principal
Si votre organisation utilise un fournisseur d’identité OpenID Connect (OIDC) autre qu’Azure AD ou Okta (par exemple, Ping Identity, OneLogin, Keycloak, Auth0 ou un autre fournisseur compatible OIDC), vous pouvez configurer le SSO pour Devin Enterprise à l’aide d’une connexion OIDC générique.
Ce guide s’adresse aux clients dont le fournisseur d’identité n’est pas pris en charge de manière native par les intégrations Azure AD (OIDC) ou Okta (OIDC). Si votre fournisseur d’identité est Azure AD ou Okta, nous vous recommandons plutôt d’utiliser l’intégration native, car elle offre une expérience de configuration plus simple.

Ce dont vous aurez besoin

Les informations suivantes sont requises pour configurer le SSO OIDC pour Devin. Vous les rassemblerez au cours des étapes de configuration ci-dessous, puis les enverrez à l’équipe en charge de votre compte Cognition lors de l’étape finale.
  • Discovery URL - Le point de terminaison OIDC Discovery de votre IdP (par exemple, https://idp.example.com/.well-known/openid-configuration)
  • Client ID - Le Client ID de l’application fourni par votre IdP
  • Client Secret - Le Client Secret de l’application fourni par votre IdP
  • Identity Provider Domains - Tous les domaines de messagerie de l’entreprise qui s’authentifieront via cet IdP (par exemple, example.com, subsidiary.example.com)
  • Scopes - Les scopes OIDC à demander (généralement openid profile email ; ajoutez groups si vous utilisez les groupes IdP)

Instructions de configuration

Étape 1 : Enregistrer une application dans votre IdP

Dans la console d’administration de votre fournisseur d’identité (IdP), créez une nouvelle application OIDC / OAuth 2.0 (parfois appelée « Web Application » ou « Confidential Client ») avec les paramètres suivants :
ParamètreValeur
Application TypeWeb Application / Confidential Client
Sign-in Redirect URI (Callback URL)https://auth.devin.ai/login/callback
Sign-out Redirect URILaissez vide
Grant TypeAuthorization Code
Token Endpoint AuthenticationClient Secret (POST)
Après avoir créé l’application, notez l’ID client et le secret client fournis par votre IdP.

Étape 2 : Identifier votre URL de découverte

La plupart des fournisseurs d’identité compatibles OIDC publient un document OpenID Connect Discovery. Cette URL permet à Devin de récupérer automatiquement les points de terminaison d’autorisation, de jeton et d’informations utilisateur (userinfo) de votre IdP. L’URL de découverte suit généralement ce schéma : 
https://<your-idp-domain>/.well-known/openid-configuration
Formats courants d’URL de découverte (Discovery) par fournisseur :
  • Keycloak : https://<host>/realms/<realm>/.well-known/openid-configuration
  • Ping Identity : https://<host>/<tenant-id>/as/.well-known/openid-configuration
  • OneLogin : https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
  • Auth0 : https://<domain>/.well-known/openid-configuration
  • Google Workspace : https://accounts.google.com/.well-known/openid-configuration
Vous pouvez vérifier l’URL en l’ouvrant dans un navigateur : elle doit renvoyer un document JSON contenant des champs comme authorization_endpoint, token_endpoint et issuer.

Étape 3 : Configurer les scopes

Les scopes OIDC contrôlent les informations utilisateur que Devin reçoit lors de l’authentification. Au minimum, demandez les scopes suivants :
ScopeObjectifObligatoire
openidRequis pour tous les flux OIDCOui
profileRenvoie le nom d’affichage de l’utilisateurOui
emailRenvoie l’adresse e-mail de l’utilisateurOui
groupsRenvoie les appartenances aux groupes de l’utilisateur (pour les groupes IdP)Uniquement si vous utilisez des groupes IdP
Votre chaîne de scopes doit être : openid profile email (ou openid profile email groups si vous utilisez des groupes IdP).
Certains IdP utilisent un nom de scope différent pour les claims de groupe (par exemple, roles ou un scope personnalisé). Consultez la documentation de votre IdP pour identifier le nom de scope approprié qui renvoie les informations d’appartenance aux groupes.

Étape 4 : Configurer les revendications de groupe (obligatoire pour les groupes IdP)

Si vous souhaitez utiliser l’intégration des groupes IdP pour le contrôle d’accès basé sur les rôles dans Devin, vous devez configurer votre IdP pour inclure l’appartenance à des groupes dans l’ID token ou la réponse userinfo. Sans cela, les utilisateurs s’authentifieront avec succès, mais les groupes IdP ne seront pas synchronisés.
Pour activer la synchronisation des groupes IdP :
  1. Dans votre IdP, vérifiez que le scope groups est disponible pour l’application
  2. Configurez votre IdP pour inclure une revendication groups dans l’ID token ou la réponse userinfo
Si votre IdP n’inclut pas de revendications de groupe par défaut, vous devrez peut-être créer un scope personnalisé ou configurer une stratégie de mappage de revendications. Consultez la documentation de votre IdP pour obtenir des instructions sur l’ajout de revendications de groupe aux jetons OIDC.

Étape 5 : Envoyer la configuration à Cognition

Envoyez les informations suivantes à l’équipe en charge de votre compte Cognition :
  1. URL de découverte (Discovery URL) (par exemple : https://idp.example.com/.well-known/openid-configuration)
  2. Client ID
  3. Client Secret
  4. Domaines du fournisseur d’identité (Identity Provider Domains) (tous les domaines e‑mail pour cet IdP)
  5. Scopes (par exemple : openid profile email groups)
L’équipe en charge de votre compte Cognition configurera la connexion OIDC afin que les groupes IdP se synchronisent automatiquement à chaque connexion utilisateur.

Vérification de votre configuration

Une fois que l’équipe de compte Cognition a confirmé que la configuration est terminée :
  1. Accédez à votre URL Devin Enterprise (par exemple, https://<your_subdomain>.devinenterprise.com)
  2. Cliquez sur Sign in with OIDC (ou sur le bouton SSO équivalent) pour lancer le processus de connexion
  3. Vous devriez être redirigé vers la page de connexion de votre fournisseur d’identité (IdP)
  4. Après authentification, vous devriez arriver dans votre organisation Devin Enterprise
Pour vérifier que les groupes IdP fonctionnent :
  1. Allez dans Settings > IdP Groups dans l’application web Devin
  2. Vous devriez voir vos groupes IdP répertoriés après la connexion d’au moins un membre du groupe
  3. Les groupes sont synchronisés à chaque connexion, de sorte que toute modification d’appartenance dans votre IdP prendra effet lors de la prochaine connexion d’un utilisateur
Les groupes IdP sont récupérés lors de la connexion de l’utilisateur, de sorte que les changements d’appartenance à un groupe nécessiteront une nouvelle authentification. Voir Intégration des groupes IdP pour plus de détails sur la configuration du contrôle d’accès basé sur les groupes.