Vai al contenuto principale

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Questa guida accompagna gli amministratori Enterprise lungo l’intero ciclo di vita di SSO con Devin — dalla configurazione iniziale alla configurazione dei gruppi IdP — e spiega come Devin gestisce il provisioning degli utenti senza SCIM. Per istruzioni di configurazione specifiche per il provider, consulta Okta, Azure AD, SAML o OIDC generico.

1. Configurazione del Single Sign-On (SSO)

Creazione dell’applicazione SSO

Crea un’applicazione nel tuo provider di identità (Okta, Azure AD o qualsiasi IdP compatibile con SAML/OIDC) e condividi le seguenti credenziali con il team di Cognition:
Tipo di connessioneProtocolloDati da fornire
OktaOIDC (Okta Workforce Identity)Dominio Okta, ID client, Client Secret, ambiti
Azure ADOIDC (Microsoft Entra ID)Dominio Azure AD, ID client, Client Secret
SAMLSAML 2.0 (qualsiasi IdP)URL di accesso, certificato di firma X.509
Generic OIDCOIDCURL di individuazione, ID client, Client Secret, ambiti
Dovresti anche fornire i tuoi domini email verificati, in modo che Devin sappia quali indirizzi email considerare attendibili se provenienti dal tuo IdP.

Cosa succede dopo la configurazione

Una volta che il tuo team di Cognition ha le credenziali, configura la connessione SSO. Al termine della configurazione:
  1. La connessione SSO viene collegata al tuo account Enterprise di Devin
  2. Aggiunta automatica dei membri all’accesso è abilitata: qualsiasi utente che si autentica tramite SSO viene aggiunto automaticamente al tuo account Enterprise
  3. I tuoi domini email vengono registrati come attendibili: sono accettati solo gli indirizzi email provenienti da tali domini
  4. Assegnazione dei ruoli basata sui gruppi (RBAC) è abilitata: i gruppi IdP inviati durante l’accesso possono essere mappati ai ruoli di Devin
  5. Gli accessi social predefiniti (Google, GitHub) sono disabilitati: SSO diventa il metodo di autenticazione obbligatorio

L’esperienza di accesso dell’utente

  1. L’utente apre il tuo URL di Devin
  2. Viene reindirizzato all’IdP configurato (Okta, Azure AD, ecc.)
  3. L’utente si autentica normalmente
  4. L’IdP invia a Devin le informazioni dell’utente e le relative appartenenze ai gruppi
  5. Devin automaticamente:
    • Crea l’account dell’utente al primo accesso (provisioning just-in-time)
    • Assegna il ruolo predefinito Enterprise Member
    • Sincronizza le appartenenze ai gruppi dell’IdP: aggiunge i nuovi gruppi e rimuove quelli non più validi
    • Registra l’accesso nel log di audit dell’Enterprise

Amministrazione self-service

Le seguenti funzionalità sono disponibili direttamente nella webapp di Devin per gli amministratori Enterprise.

Gestione dei gruppi IdP

Settings → Enterprise → Gruppi del provider di identità
  • Visualizza tutti i gruppi sincronizzati tramite gli accessi degli utenti
  • Assegna un gruppo a un ruolo a livello Enterprise (ad es. “Tutti gli utenti in Engineering-Admins ricevono il ruolo Enterprise Admin”)
  • Assegna un gruppo a org specifiche con ruoli specifici (ad es. “Team-Backend ottiene l’accesso Member nell’org Backend”)
  • Aggiungi o rimuovi in blocco gruppi in più org
  • Visualizza a quante org è assegnato ciascun gruppo

Gestione dei membri

Settings → Enterprise → Membri
  • Visualizza tutti i membri dell’Enterprise, inclusi i gruppi IdP a cui appartengono
  • Invita nuovi membri via email
  • Aggiorna i ruoli dei membri
  • Rimuovi i membri

Ruoli personalizzati

Settings → Enterprise → Ruoli
  • Crea ruoli personalizzati con autorizzazioni granulari
  • Assegna ruoli personalizzati a singoli utenti o a gruppi IdP
Per maggiori dettagli, consulta Ruoli personalizzati e RBAC.

API per l’automazione

Devin offre un’API V2 che puoi usare per automatizzare la gestione dei membri:
AzioneEndpoint API
Elencare tutti i membriGET /v2/enterprise/members
Invitare utenti via email (in blocco)POST /v2/enterprise/members/invite
Rimuovere un membroDELETE /v2/enterprise/members/{user_id}
Aggiornare in blocco i ruoli dei membriPATCH /v2/enterprise/members/roles
Migrare i membri tra ruoliPATCH /v2/enterprise/members/migrate-roles
Elencare tutti i ruoliGET /v2/enterprise/roles
Elencare tutti i gruppi IdPGET /v2/enterprise/groups
Creare in anticipo i gruppi IdPPUT /v2/enterprise/groups
Recuperare le assegnazioni org di un gruppoGET /v2/enterprise/groups/{group_name}

2. Come funziona Devin senza SCIM

Devin al momento non supporta il protocollo SCIM. La gestione di utenti e gruppi avviene interamente tramite gli eventi di accesso SSO e l’interfaccia utente/API di Devin. Ecco cosa significa in pratica.

Provisioning degli utenti: solo al momento del login

Con SCIMDevin (senza SCIM)
Come vengono creati gli utentiL’IdP crea immediatamente l’utente nell’app quando gli viene assegnataL’utente esiste in Devin solo dopo il primo accesso tramite SSO, oppure dopo un invito manuale tramite UI o API
Quando avvieneL’amministratore assegna l’app all’utente → l’utente compare entro pochi secondiL’amministratore assegna l’app all’utente → in Devin non succede nulla finché l’utente non accede
Pre-provisioningL’account utente è pronto prima ancora che l’utente visiti l’appNessun pre-provisioning, a meno che l’amministratore non lo inviti esplicitamente tramite la UI o l’API di Devin
Quando si inseriscono nuovi dipendenti, l’amministratore può invitarli in anticipo (Settings → Enterprise → Membri → Invita, oppure tramite l’API) oppure lasciare semplicemente che vengano provisionati automaticamente al primo accesso.

Deprovisioning degli utenti: solo manuale

Con SCIMDevin (senza SCIM)
Come vengono rimossi gli utentiL’IdP disattiva/rimuove l’utente → l’app lo disabilita immediatamenteLa disattivazione/rimozione di un utente nell’IdP non ha alcun effetto in Devin
OffboardingIl dipendente in fase di offboarding perde l’accesso nel giro di pochi minutiIl dipendente in fase di offboarding mantiene l’accesso finché non viene rimosso manualmente da Devin e la sua sessione non scade
ConformitàConformità automatizzata — nessun account orfanoRischio di account orfani, a meno che l’amministratore non mantenga entrambi i sistemi
Questa è la principale lacuna operativa. Quando un dipendente viene messo in offboarding, l’amministratore deve rimuoverlo separatamente da Devin (Settings → Enterprise → Membri → Rimuovi, oppure tramite l’API). Le sessioni attive continuano a funzionare fino alla naturale scadenza: non esiste alcuna revoca immediata della sessione attivata dall’IdP.

Sincronizzazione dei gruppi: solo al login, non in tempo reale

Con SCIM (Group Push)Devin (senza SCIM)
Tempistica di sincronizzazioneL’IdP invia in tempo reale le modifiche all’appartenenza ai gruppiI gruppi si sincronizzano solo quando l’utente effettua il login
Aggiunta a un gruppoL’Admin aggiunge l’utente al gruppo → l’app lo recepisce immediatamenteL’Admin aggiunge l’utente al gruppo → Devin non lo rileva fino al login successivo dell’utente
Rimozione da un gruppoL’Admin rimuove l’utente dal gruppo → l’app lo recepisce immediatamenteL’Admin rimuove l’utente dal gruppo → Devin continua a mostrare la precedente appartenenza fino al login successivo
Fonte autorevoleL’IdP è sempre la fonte autorevoleL’IdP è la fonte autorevole solo al login — tra un login e l’altro possono esserci discrepanze
Se un admin modifica l’IDP group di una persona (ad es. spostandola da Engineering a Sales), Devin non rifletterà questa modifica finché l’utente non effettua di nuovo il login. Nel frattempo, l’utente mantiene i vecchi ruoli basati sul gruppo e l’accesso all’org.

Alternative integrate a SCIM

Devin include diverse funzionalità che coprono i casi d’uso SCIM più comuni:
  1. Provisioning just-in-time — gli utenti vengono creati automaticamente al primo accesso SSO con il ruolo Enterprise predefinito
  2. Sincronizzazione completa dei gruppi a ogni accesso — ogni volta che un utente accede, Devin esegue un diff completo dei suoi gruppi IdP: aggiunge quelli nuovi e rimuove quelli vecchi
  3. RBAC basato sui gruppi — puoi mappare i gruppi IdP ai ruoli Enterprise e all’accesso all’org nelle Settings di Devin; le modifiche hanno effetto al successivo accesso
  4. API V2 per l’automazione — inviti, rimozioni e modifiche di ruolo in blocco possono essere automatizzati tramite script per colmare il divario nel provisioning/deprovisioning
  5. Log di audit — ogni accesso viene registrato, offrendo visibilità su chi ha avuto accesso a Devin

3. Configurazione dei gruppi gestiti dall’IdP

Se usi SCIM con altre applicazioni (ad es. Slack, Box), questa sezione spiega come funziona il modello dei gruppi in Devin e come configurare correttamente il tuo IdP.

Contesto: gruppi SCIM vs gruppi IdP

  • Gruppi SCIM: L’app downstream comunica all’IdP quali gruppi esistono (l’IdP li “importa”). L’app è la fonte autorevole per la struttura dei gruppi. L’IdP sincronizza gli utenti in quei gruppi definiti dall’app.
  • Gruppi IdP (quelli usati da Devin): L’IdP è la fonte autorevole. I gruppi sono definiti nella directory dell’IdP e le appartenenze ai gruppi vengono passate a Devin tramite claim SAML/OIDC al momento dell’accesso.
Poiché Devin non usa SCIM, stai già operando in modalità “gruppi IdP”. L’aspetto fondamentale è assicurarsi che dal tuo IdP vengano inviati i gruppi corretti e che siano mappati correttamente in Devin.

Passaggio 1: Definire i gruppi nell’IdP

Nella console di amministrazione del tuo IdP (negli esempi seguenti viene usato Okta):
  1. Vai a Directory → Groups
  2. Crea gruppi che corrispondano ai livelli di accesso di Devin (ad es. Devin-Engineering, Devin-Admins, Devin-DataScience)
  3. Assegna gli utenti a questi gruppi
Questi gruppi sono nativi dell’IdP: il tuo IdP è la fonte autorevole per stabilire chi appartiene a quale gruppo.

Passaggio 2: configura i claim dei gruppi nell’app IdP

I gruppi devono essere inclusi nella risposta di autenticazione affinché Devin possa leggerli.

Per le connessioni SAML

  1. Vai a Applications → [Devin App] → SAML Settings → Edit
  2. In Group Attribute Statements, aggiungi:
    • Name: groups
    • Filter: “Starts with” → Devin- (oppure usa “Matches regex” per pattern più complessi)
  3. In questo modo, l’IdP includerà nell’asserzione SAML i nomi dei gruppi corrispondenti

Per le connessioni OIDC

  1. Vai a Applications → [Devin App] → Sign On → Edit
  2. In OpenID Connect ID Token → Groups claim type, seleziona “Filter”
  3. Imposta il filtro in modo che corrisponda ai gruppi Devin (ad es. “Starts with” → Devin-)
Usa un prefisso di filtro come Devin- in modo che vengano inviati solo i gruppi pertinenti. Non è necessario inviare tutti i gruppi IdP dell’organizzazione.

Passaggio 3: associa i Gruppi ai Ruoli e alle org in Devin

Una volta che i gruppi vengono passati al login, mappali in Devin.

Nella UI di Devin

  1. Settings → Enterprise → Gruppi del provider di identità
  2. I gruppi compaiono automaticamente dopo l’accesso di un membro del gruppo
  3. Fai clic su un gruppo → assegnagli un ruolo a livello Enterprise (ad es. Enterprise Admin o un ruolo personalizzato)
  4. Fai clic su un gruppo → assegnalo a org specifiche con ruoli specifici a livello di org

Tramite l’API (per la configurazione preliminare o l’automazione)

  • Crea i gruppi in anticipo, prima che qualcuno acceda: PUT /v2/enterprise/groups
  • Elenca i gruppi e le rispettive assegnazioni alle org: GET /v2/enterprise/groups

Passaggio 4: se esegui la migrazione dai gruppi SCIM in altre app

Se stai passando, in tutta la tua suite di strumenti (non solo Devin), da una strategia IdP basata su gruppi gestiti tramite SCIM a una basata su gruppi gestiti direttamente dall’IdP:
  1. Interrompi l’importazione dei gruppi SCIM nelle altre app:
    • Nell’IdP: vai alla scheda Provisioning → Integration dell’app → deseleziona “Import Groups”
    • In questo modo l’app downstream non sarà più la fonte autorevole per i gruppi
  2. Crea gruppi corrispondenti nella directory dell’IdP:
    • Vai a Directory → Groups e crea gruppi che rispecchino quelli presenti nell’app downstream
    • Assegna gli utenti a questi gruppi nativi dell’IdP
  3. Configura il push dei gruppi (per le app che lo supportano):
    • Nella configurazione IdP dell’app: scheda Push Groups → trova i gruppi per nome → collegali ai gruppi downstream esistenti
    • In questo modo l’IdP sovrascrive le appartenenze interne dell’app: l’IdP diventa l’unica fonte autorevole
    • Devin non richiede il push dei gruppi perché legge i gruppi direttamente dall’asserzione di login
  4. Disabilita la sincronizzazione dei gruppi SCIM nelle altre app:
    • Assicurati che “Import Groups” resti disattivato per evitare che l’app downstream torni a proporsi come fonte autorevole
Per Devin nello specifico, non è necessaria alcuna migrazione. Assicurati solo che i passaggi 1–3 sopra siano completati (gruppi definiti nel tuo IdP, claim configurati, mappature impostate in Devin).

Considerazioni chiave

Se un gruppo viene rinominato, Devin lo considera un nuovo gruppo. Le mappature dei ruoli del vecchio gruppo non vengono trasferite automaticamente: dovrai riconfigurare il nuovo nome del gruppo nelle Settings di Devin.
Un utente aggiunto a un gruppo IdP mappato in Devin non otterrà l’accesso finché non avrà effettuato l’accesso.
La rimozione di un utente da un gruppo IdP non revoca immediatamente il suo accesso a Devin. Al successivo accesso, Devin sincronizza e rimuove l’appartenenza al gruppo non più valida. Eventuali appartenenze dirette (assegnate al di fuori dei gruppi) non vengono influenzate.
Il nome del gruppo nell’IdP deve corrispondere esattamente a quello visto da Devin. Fa distinzione tra maiuscole e minuscole.
Devin non supporta gruppi nidificati/gerarchici. Se l’IdP invia un gruppo padre, i membri dei gruppi figli non vengono inclusi automaticamente. Ogni gruppo deve essere assegnato esplicitamente.
Per ottenere il massimo livello di controllo possibile senza SCIM, segui questo approccio:
1

Configura il tuo provider di identità (fonte autorevole)

  1. Definisci i gruppi: Devin-Admins, Devin-Backend, Devin-Frontend, ecc.
  2. Assegna gli utenti ai gruppi
  3. Configura i claim di gruppo SAML/OIDC filtrati su “Inizia con: Devin-
2

Devin si sincronizza a ogni accesso

Quando un utente accede tramite SSO, Devin:
  • Crea automaticamente l’utente se non esiste ancora
  • Esegue una sincronizzazione completa dei gruppi (aggiunge i nuovi gruppi e rimuove quelli obsoleti)
  • Applica immediatamente le mappature da gruppo a ruolo e da gruppo a org
3

Facoltativo: automatizza con l'API V2

Configura un job pianificato per colmare le limitazioni dovute all’assenza di SCIM:
  1. Leggi gli utenti attivi dalla tua API IdP
  2. Leggi i membri di Devin da GET /v2/enterprise/members
  3. Invita i nuovi dipendenti tramite POST /v2/enterprise/members/invite
  4. Rimuovi i dipendenti che hanno lasciato l’azienda tramite DELETE /v2/enterprise/members/{user_id}
In questo modo ottieni provisioning e deprovisioning di tipo push senza SCIM.

Cosa ottieni

  • Il tuo IdP come fonte autorevole unica per la struttura dei gruppi e l’appartenenza
  • Accesso automatico basato sui gruppi a ogni login
  • Provisioning/deprovisioning tramite API per colmare il divario che normalmente verrebbe coperto da SCIM
  • Audit trail completo di tutti gli accessi e delle modifiche all’appartenenza

Limitazioni attuali

  • Sincronizzazione dei gruppi in tempo reale tra un accesso e l’altro — i gruppi si aggiornano solo quando gli utenti effettuano l’accesso
  • Revoca immediata delle sessioni in caso di deprovisioning — le sessioni restano attive fino alla scadenza
  • Gli eventi del ciclo di vita avviati dall’IdP, come sospensione e riattivazione, non sono supportati