> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuration du SSO SAML

> Configurer le SSO (Single Sign-On, authentification unique) avec un fournisseur d’identité SAML

Si votre organisation utilise un fournisseur d’identité basé sur SAML (par exemple Microsoft Entra ID via SAML, ADFS, Ping Identity, OneLogin ou un autre fournisseur compatible avec SAML 2.0), vous pouvez configurer le SSO pour Devin Enterprise en utilisant SAML générique.

<Note>
  Ce guide s’adresse aux clients qui souhaitent utiliser **SAML** au lieu des intégrations natives [Microsoft Entra ID (OIDC)](/fr/enterprise/security-access/sso/azure) ou [Okta (OIDC)](/fr/enterprise/security-access/sso/okta). Nous recommandons généralement d’utiliser l’intégration OIDC native lorsque c’est possible, mais il existe certaines situations où le SSO SAML est préférable.
</Note>

<div id="what-youll-need">
  ## Ce dont vous aurez besoin
</div>

Les informations suivantes sont requises pour configurer le SSO SAML pour Devin. Vous les rassemblerez au cours des étapes de configuration ci‑dessous, puis les enverrez à votre équipe en charge de votre compte Cognition à la dernière étape.

* **URL de connexion** - Le point de terminaison SSO SAML de votre IdP (par exemple, `https://idp.example.com/sso/saml`)
* **Certificat de signature X.509** - Le certificat public que votre IdP utilise pour signer les assertions SAML
* **Domaines du fournisseur d'identité** - Tous les domaines de messagerie de l'entreprise qui s'authentifieront via cet IdP (par exemple, `example.com`, `subsidiary.example.com`)
* **Nom de l'attribut de groupe** (si vous utilisez des groupes IdP) - Le nom de l'attribut SAML que votre IdP utilise pour envoyer les appartenances à des groupes

<div id="setup-instructions">
  ## Instructions de configuration
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### Étape 1 : Créer une application SAML dans votre IdP
</div>

Dans la console d’administration de votre fournisseur d’identité, créez une nouvelle application SAML 2.0 avec les paramètres suivants :

| Paramètre                                | Valeur                                                                                             |
| :--------------------------------------- | :------------------------------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                                             |
| **ID d’entité / URI d’audience**         | Laissez vide dans un premier temps — voir [Étape 5](#step-5-complete-configuration-with-cognition) |
| **Format NameID**                        | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (recommandé) ou `persistent`              |
| **Valeur NameID**                        | Adresse e-mail de l’utilisateur                                                                    |
| **Algorithme de signature**              | RSA-SHA256                                                                                         |
| **Algorithme de hachage**                | SHA256                                                                                             |
| **Response Binding**                     | HTTP-POST                                                                                          |

<div id="step-2-configure-saml-attributes">
  ### Étape 2 : Configurer les attributs SAML
</div>

Assurez-vous que votre IdP envoie les attributs suivants dans l’assertion SAML :

| Attribut SAML                                                          | Description                                                           | Obligatoire |
| :--------------------------------------------------------------------- | :-------------------------------------------------------------------- | :---------- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | Identifiant unique de l’utilisateur (généralement son adresse e-mail) | Oui         |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | Adresse e-mail de l’utilisateur                                       | Oui         |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | Nom d’affichage de l’utilisateur                                      | Recommandé  |

<Note>
  Devin utilise l’attribut `nameidentifier` pour identifier les utilisateurs. La plupart des IdP le renseignent automatiquement à partir de la valeur SAML **Name ID**. Si votre IdP n’envoie pas `nameidentifier` comme attribut séparé, assurez-vous que la **Name ID Value** à l’étape 1 est définie sur l’adresse e-mail de l’utilisateur.
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### Étape 3 : Configurer les assertions de groupe (obligatoire pour les groupes IdP)
</div>

<Warning>
  Si vous souhaitez utiliser l’[intégration des groupes IdP](/fr/enterprise/security-access/idp-groups) pour le contrôle d’accès basé sur les rôles dans Devin, vous **devez** configurer votre IdP pour envoyer l’appartenance aux groupes dans l’assertion SAML. Sans cela, les utilisateurs parviendront à s’authentifier, mais les groupes IdP ne seront pas synchronisés.
</Warning>

Pour activer la synchronisation des groupes IdP, configurez un **attribut de groupe** dans votre application SAML :

| Attribut SAML            | Valeur                                     |
| :----------------------- | :----------------------------------------- |
| **Nom de l’attribut**    | `http://schemas.xmlsoap.org/claims/Group`  |
| **Valeur de l’attribut** | Appartenances de l’utilisateur aux groupes |

<Note>
  Le nom exact de l’attribut peut varier en fonction de votre IdP. Les noms d’attribut courants pour les groupes incluent :

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **Communiquez le nom exact de l’attribut que vous avez configuré à l’équipe en charge de votre compte Cognition** afin que nous puissions le mapper correctement de notre côté.
</Note>

<div id="microsoft-entra-id-with-saml">
  #### Microsoft Entra ID avec SAML
</div>

Si vous utilisez Microsoft Entra ID avec SAML au lieu de l’intégration OIDC native :

1. Dans le portail Azure, allez dans **Enterprise Applications** > votre application SAML > **Single sign-on**
2. Sous **Attributes & Claims**, cliquez sur **Add a group claim**
3. Sélectionnez **Groups assigned to the application** (recommandé) ou **All groups**
4. Définissez **Source attribute** sur une valeur adaptée à votre configuration (par exemple, `sAMAccountName` ou `Display name`)
5. Relevez le **Claim name** généré par Azure (par exemple, `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) et partagez-le avec l’équipe en charge de votre compte Cognition

<div id="other-saml-identity-providers">
  #### Autres fournisseurs d'identité SAML
</div>

Pour les autres IdP (ADFS, Ping Identity, OneLogin, etc.) :

1. Ajoutez une déclaration d’attribut de groupe à la configuration de votre application SAML
2. Configurez-la pour envoyer les appartenances de l’utilisateur à ses groupes
3. Notez le nom exact de l’attribut et partagez-le avec l’équipe en charge de votre compte Cognition

<div id="step-4-send-configuration-to-cognition">
  ### Étape 4 : Envoyer la configuration à Cognition
</div>

Envoyez les éléments suivants à l’équipe en charge de votre compte Cognition :

1. **URL de connexion** (par exemple : `https://idp.example.com/sso/saml`)
2. **Certificat de signature X509** (le fichier de certificat public ou le texte encodé en PEM)
3. **Domaines du fournisseur d’identité** (tous les domaines de messagerie pour cet IdP)
4. **Nom de l’attribut de groupe** (si vous utilisez les groupes de l’IdP) — le nom exact de l’attribut SAML configuré à l’étape 3

<div id="step-5-complete-configuration-with-cognition">
  ### Étape 5 : Finaliser la configuration avec Cognition
</div>

Après réception de votre configuration, votre équipe de compte Cognition :

1. Créera la connexion SAML et vous fournira l’**ID d’entité / URI d’audience** ainsi qu’un **nom de connexion**
2. Configurera la mise en correspondance de votre attribut de groupe (le cas échéant) afin que les groupes IdP se synchronisent automatiquement à chaque connexion d’utilisateur

Une fois que vous avez reçu l’ID d’entité, mettez à jour le paramètre **ID d’entité / URI d’audience** de votre application SAML avec la valeur fournie.

<Note>
  Devin envoie des requêtes d’authentification SAML signées. Votre fichier de métadonnées SAML sera disponible à l’adresse :

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  où `<connection_name>` est le nom de connexion fourni par votre équipe de compte Cognition. Importez ces métadonnées dans votre IdP pour terminer la configuration de la relation de confiance et activer la vérification de la signature des requêtes.
</Note>

<div id="verifying-your-setup">
  ## Vérifier votre configuration
</div>

Après avoir mis à jour l’Entity ID et une fois que l’équipe en charge de votre compte chez Cognition a confirmé que la configuration est terminée :

1. Accédez à votre URL Devin Enterprise (par exemple, `https://<your_subdomain>.devinenterprise.com`)
2. Cliquez sur **Sign in with SAML** (ou sur le bouton SSO équivalent) pour lancer le flux d’authentification
3. Vous devriez être redirigé vers la page de connexion de votre IdP
4. Après vous être authentifié, vous devriez arriver dans votre organisation Devin Enterprise

Pour vérifier que les groupes IdP fonctionnent :

1. Allez dans **Settings** > **IdP Groups** dans l’application web Devin
2. Vous devriez voir vos groupes IdP répertoriés après qu’au moins un membre d’un groupe se soit connecté
3. Les groupes sont synchronisés à chaque connexion, de sorte que toute modification de l’appartenance aux groupes dans votre IdP prendra effet la prochaine fois qu’un utilisateur se connectera

<Note>
  Les groupes IdP sont récupérés lors de la connexion de l’utilisateur, donc les changements d’appartenance à un groupe nécessiteront une nouvelle authentification. Consultez la page [IdP Group Integration](/fr/enterprise/security-access/idp-groups) pour plus de détails sur la configuration du contrôle d’accès basé sur les groupes.
</Note>
