guida per l’amministratore della sicurezza FedRAMP
Questa guida descrive come impostare, configurare, gestire e dismettere in sicurezza gli account amministrativi di livello superiore in Devin Desktop. Include le definizioni dei ruoli amministrativi, le procedure relative al ciclo di vita degli account e tutte le impostazioni di sicurezza controllate dagli amministratori, con le rispettive funzioni, gli impatti sulla sicurezza e i valori consigliati.
Questa guida è scritta per la distribuzione FedRAMP di Devin Desktop, in esecuzione su AWS GovCloud. La distribuzione FedRAMP utilizza un portale Enterprise dedicato e l’autenticazione basata su SSO (OIDC o SAML 2.0). Alcune funzionalità descritte in altra documentazione di Devin Desktop per l’offerta SaaS non sono disponibili nell’ambiente FedRAMP.
Definizioni dei ruoli amministrativi
Devin Desktop utilizza un sistema di controllo degli accessi basato sui ruoli (RBAC) per gestire i privilegi amministrativi. I ruoli vengono gestiti tramite l’Admin Portal, nella sezione Settings di Role Management, e possono essere assegnati a singoli utenti.
Devin Desktop offre due ruoli predefiniti che non possono essere eliminati.
Gli amministratori possono creare ruoli personalizzati per applicare il principio del privilegio minimo. I ruoli personalizzati sono composti da autorizzazioni granulari selezionate tra le categorie riportate di seguito. Per creare un ruolo personalizzato, vai al Admin Portal e apri la sezione Role Management in Settings.
Riferimento delle autorizzazioni
La tabella seguente elenca tutte le autorizzazioni disponibili per l’assegnazione dei ruoli nella distribuzione FedRAMP. Ogni autorizzazione controlla l’accesso a una specifica funzione amministrativa.
Alcune di queste autorizzazioni (come Attribuzione, Licenza, SSO, Indicizzazione e Fine-tuning) esistono nel sistema RBAC, ma le corrispondenti pagine del portale non sono disponibili nella distribuzione FedRAMP multi-tenant. Queste autorizzazioni sono incluse nell’interfaccia utente di Role Management per completezza, ma non concedono l’accesso ad alcuna funzionalità attiva in questo ambiente.
Procedure per il ciclo di vita dell’account Admin
Questa sezione descrive il ciclo di vita completo di un account amministrativo di livello superiore, dalla creazione iniziale fino alla dismissione.
Configurazione dell’account
L’onboarding basato su SSO è il principale metodo di provisioning nella distribuzione FedRAMP. La piattaforma supporta sia OIDC sia SAML 2.0 per l’integrazione Single Sign-On. Gli utenti si autenticano tramite il provider di identità configurato e, dopo che il loro primo accesso ha creato l’account, un amministratore assegna il ruolo appropriato tramite l’Admin Portal. Tieni presente che l’integrazione SSO nell’ambiente FedRAMP richiede il coordinamento con il team Devin Desktop FedRAMP e non può essere configurata in modalità Self-serve.
Ogni nuovo account amministratore deve essere configurato secondo il principio del privilegio minimo. È preferibile usare ruoli personalizzati con solo le autorizzazioni necessarie per le responsabilità dell’amministratore, anziché assegnare il ruolo Admin completo, a meno che l’utente non richieda l’accesso completo al sistema.
Requisiti di autenticazione e MFA
La distribuzione FedRAMP utilizza esclusivamente il Single Sign-On, con supporto per i protocolli OIDC e SAML 2.0. L’autenticazione con email e password non è disponibile. Tutti gli utenti devono autenticarsi tramite il provider di identità configurato.
L’autenticazione a più fattori (MFA) viene applicata tramite il provider di identità dell’organizzazione. Devin Desktop eredita le policy MFA configurate nell’IdP collegato, il che significa che tutti i requisiti relativi al livello di sicurezza dell’autenticazione, come l’obbligo di un secondo fattore, l’uso di autenticatori resistenti al phishing o le policy di accesso condizionale, sono gestiti a livello di IdP. Le organizzazioni devono configurare il proprio IdP in modo da richiedere l’MFA per tutti gli utenti che accedono all’applicazione Devin Desktop, in particolare per gli account con ruoli amministrativi.
Devin Desktop raccomanda vivamente di richiedere l’MFA per tutti gli account amministrativi. Configura il tuo provider di identità in modo che applichi l’MFA come requisito per accedere all’applicazione Devin Desktop.
Configurazione dell’account
Dopo la creazione di un account amministrativo, è necessario completare i seguenti passaggi di configurazione.
Assegnazione dei ruoli determina l’ambito dell’accesso amministrativo dell’account. Assegna i ruoli tramite l’Admin Portal andando alla scheda Manage Team, individuando l’utente, facendo clic su Edit e selezionando il ruolo appropriato dal menu a discesa. Le modifiche hanno effetto immediato.
Gestione delle chiavi di servizio è necessaria quando l’amministratore ha bisogno dell’accesso API per automazione o analisi. Le chiavi di servizio vengono create in Settings con autorizzazioni definite in base all’ambito d’uso previsto per la chiave. A ogni chiave di servizio deve essere assegnato un nome descrittivo (per esempio, “Dashboard di analisi”) e un ruolo con le autorizzazioni minime necessarie.
Gestione operativa dell’account
Le pratiche operative continue per gli account amministrativi includono quanto segue.
Revisioni periodiche degli accessi dovrebbero essere effettuate per verificare che gli account amministrativi necessitino ancora del loro attuale livello di accesso. Esamina periodicamente l’elenco degli utenti con il ruolo Admin nella scheda Manage Team e modifica i ruoli in base ai cambiamenti delle responsabilità.
Il monitoraggio dell’attività è disponibile tramite i dashboard di analytics integrati. Gli amministratori con l’autorizzazione Analytics Read possono monitorare l’attività degli utenti, le metriche di coinvolgimento e l’utilizzo delle funzionalità. L’Analytics API fornisce accesso programmatico a questi dati per l’integrazione con sistemi di monitoraggio esterni.
La rotazione delle chiavi di servizio dovrebbe essere eseguita regolarmente. Per ruotare una chiave, crea una nuova chiave di servizio con le stesse autorizzazioni, aggiorna il sistema che la utilizza in modo che usi la nuova chiave, quindi elimina la vecchia chiave.
Disattivazione dell’account
Quando un amministratore non necessita più dell’accesso, l’account deve essere disattivato tempestivamente seguendo la procedura riportata di seguito.
Revocare il ruolo amministrativo
Vai all’Admin Portal, apri la scheda Manage Team, individua l’utente, fai clic su Edit e cambia il ruolo da Admin a User (o a un ruolo personalizzato privo di autorizzazioni amministrative).
Revocare le chiavi di servizio
Elimina tutte le chiavi di servizio create da o utilizzate esclusivamente dall’amministratore uscente. Vai in Settings, quindi in chiave di servizio, ed elimina le chiavi pertinenti.
Rimuovere o disattivare l'account
Rimuovi l’utente tramite la scheda Manage Team facendo clic su Delete accanto al suo nome. Questa operazione disattiverà l’account Devin Desktop dell’utente e libererà la licenza assegnata.
Verificare l'accesso residuo
Verifica che l’account disattivato non compaia più in alcun ruolo amministrativo controllando l’elenco degli utenti in Manage Team filtrato per il ruolo Admin. Conferma che tutte le chiavi di servizio associate all’account siano state eliminate.
Disattiva immediatamente gli account amministrativi quando un amministratore cambia ruolo o lascia l’organizzazione. Ritardare la disattivazione comporta rischi di sicurezza non necessari.
Riferimento delle impostazioni di sicurezza
La tabella seguente documenta tutte le impostazioni di sicurezza controllate dagli amministratori disponibili nell’Admin Portal della distribuzione FedRAMP. Ogni voce descrive la funzione dell’impostazione, il relativo impatto sulla sicurezza e la configurazione consigliata per una distribuzione attenta alla sicurezza.
Ultimo aggiornamento: 28 gennaio 2026