Passer au contenu principal
Si votre organisation utilise un fournisseur d’identité basé sur SAML (par exemple Azure AD via SAML, ADFS, Ping Identity, OneLogin ou un autre fournisseur compatible avec SAML 2.0), vous pouvez configurer le SSO pour Devin Enterprise en utilisant SAML générique.
Ce guide s’adresse aux clients qui souhaitent utiliser SAML au lieu des intégrations natives Azure AD (OIDC) ou Okta (OIDC). Nous recommandons généralement d’utiliser l’intégration OIDC native lorsque c’est possible, mais il existe certaines situations où le SSO SAML est préférable.

Ce dont vous aurez besoin

Les informations suivantes sont requises pour configurer le SSO SAML pour Devin. Vous les rassemblerez au cours des étapes de configuration ci‑dessous, puis les enverrez à votre équipe en charge de votre compte Cognition à la dernière étape.
  • URL de connexion - Le point de terminaison SSO SAML de votre IdP (par exemple, https://idp.example.com/sso/saml)
  • Certificat de signature X.509 - Le certificat public que votre IdP utilise pour signer les assertions SAML
  • Domaines du fournisseur d’identité - Tous les domaines de messagerie de l’entreprise qui s’authentifieront via cet IdP (par exemple, example.com, subsidiary.example.com)
  • Nom de l’attribut de groupe (si vous utilisez des groupes IdP) - Le nom de l’attribut SAML que votre IdP utilise pour envoyer les appartenances à des groupes

Instructions de configuration

Étape 1 : Créer une application SAML dans votre IdP

Dans la console d’administration de votre fournisseur d’identité, créez une nouvelle application SAML 2.0 avec les paramètres suivants :
ParamètreValeur
ACS (Assertion Consumer Service) URLhttps://auth.devin.ai/login/callback
ID d’entité / URI d’audienceLaissez vide dans un premier temps — voir Étape 5
Format NameIDurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (recommandé) ou persistent
Valeur NameIDAdresse e-mail de l’utilisateur
Algorithme de signatureRSA-SHA256
Algorithme de hachageSHA256
Response BindingHTTP-POST

Étape 2 : Configurer les attributs SAML

Assurez-vous que votre IdP envoie les attributs suivants dans l’assertion SAML :
Attribut SAMLDescriptionObligatoire
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierIdentifiant unique de l’utilisateur (généralement son adresse e-mail)Oui
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressAdresse e-mail de l’utilisateurOui
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameNom d’affichage de l’utilisateurRecommandé
Devin utilise l’attribut nameidentifier pour identifier les utilisateurs. La plupart des IdP le renseignent automatiquement à partir de la valeur SAML Name ID. Si votre IdP n’envoie pas nameidentifier comme attribut séparé, assurez-vous que la Name ID Value à l’étape 1 est définie sur l’adresse e-mail de l’utilisateur.

Étape 3 : Configurer les assertions de groupe (obligatoire pour les groupes IdP)

Si vous souhaitez utiliser l’intégration des groupes IdP pour le contrôle d’accès basé sur les rôles dans Devin, vous devez configurer votre IdP pour envoyer l’appartenance aux groupes dans l’assertion SAML. Sans cela, les utilisateurs parviendront à s’authentifier, mais les groupes IdP ne seront pas synchronisés.
Pour activer la synchronisation des groupes IdP, configurez un attribut de groupe dans votre application SAML :
Attribut SAMLValeur
Nom de l’attributhttp://schemas.xmlsoap.org/claims/Group
Valeur de l’attributAppartenances de l’utilisateur aux groupes
Le nom exact de l’attribut peut varier en fonction de votre IdP. Les noms d’attribut courants pour les groupes incluent :
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • groups
  • memberOf
Communiquez le nom exact de l’attribut que vous avez configuré à l’équipe en charge de votre compte Cognition afin que nous puissions le mapper correctement de notre côté.

Azure AD (Entra ID) avec SAML

Si vous utilisez Azure AD avec SAML au lieu de l’intégration OIDC native :
  1. Dans le portail Azure, allez dans Enterprise Applications > votre application SAML > Single sign-on
  2. Sous Attributes & Claims, cliquez sur Add a group claim
  3. Sélectionnez Groups assigned to the application (recommandé) ou All groups
  4. Définissez Source attribute sur une valeur adaptée à votre configuration (par exemple, sAMAccountName ou Display name)
  5. Relevez le Claim name généré par Azure (par exemple, http://schemas.microsoft.com/ws/2008/06/identity/claims/groups) et partagez-le avec l’équipe en charge de votre compte Cognition

Autres fournisseurs d’identité SAML

Pour les autres IdP (ADFS, Ping Identity, OneLogin, etc.) :
  1. Ajoutez une déclaration d’attribut de groupe à la configuration de votre application SAML
  2. Configurez-la pour envoyer les appartenances de l’utilisateur à ses groupes
  3. Notez le nom exact de l’attribut et partagez-le avec l’équipe en charge de votre compte Cognition

Étape 4 : Envoyer la configuration à Cognition

Envoyez les éléments suivants à l’équipe en charge de votre compte Cognition :
  1. URL de connexion (par exemple : https://idp.example.com/sso/saml)
  2. Certificat de signature X509 (le fichier de certificat public ou le texte encodé en PEM)
  3. Domaines du fournisseur d’identité (tous les domaines de messagerie pour cet IdP)
  4. Nom de l’attribut de groupe (si vous utilisez les groupes de l’IdP) — le nom exact de l’attribut SAML configuré à l’étape 3

Étape 5 : Finaliser la configuration avec Cognition

Après réception de votre configuration, votre équipe de compte Cognition :
  1. Créera la connexion SAML et vous fournira l’ID d’entité / URI d’audience ainsi qu’un nom de connexion
  2. Configurera la mise en correspondance de votre attribut de groupe (le cas échéant) afin que les groupes IdP se synchronisent automatiquement à chaque connexion d’utilisateur
Une fois que vous avez reçu l’ID d’entité, mettez à jour le paramètre ID d’entité / URI d’audience de votre application SAML avec la valeur fournie.
Devin envoie des requêtes d’authentification SAML signées. Votre fichier de métadonnées SAML sera disponible à l’adresse :
https://auth.devin.ai/samlp/metadata?connection=<connection_name>
<connection_name> est le nom de connexion fourni par votre équipe de compte Cognition. Importez ces métadonnées dans votre IdP pour terminer la configuration de la relation de confiance et activer la vérification de la signature des requêtes.

Vérifier votre configuration

Après avoir mis à jour l’Entity ID et une fois que l’équipe en charge de votre compte chez Cognition a confirmé que la configuration est terminée :
  1. Accédez à votre URL Devin Enterprise (par exemple, https://<your_subdomain>.devinenterprise.com)
  2. Cliquez sur Sign in with SAML (ou sur le bouton SSO équivalent) pour lancer le flux d’authentification
  3. Vous devriez être redirigé vers la page de connexion de votre IdP
  4. Après vous être authentifié, vous devriez arriver dans votre organisation Devin Enterprise
Pour vérifier que les groupes IdP fonctionnent :
  1. Allez dans Settings > IdP Groups dans l’application web Devin
  2. Vous devriez voir vos groupes IdP répertoriés après qu’au moins un membre d’un groupe se soit connecté
  3. Les groupes sont synchronisés à chaque connexion, de sorte que toute modification de l’appartenance aux groupes dans votre IdP prendra effet la prochaine fois qu’un utilisateur se connectera
Les groupes IdP sont récupérés lors de la connexion de l’utilisateur, donc les changements d’appartenance à un groupe nécessiteront une nouvelle authentification. Consultez la page IdP Group Integration pour plus de détails sur la configuration du contrôle d’accès basé sur les groupes.