Vai al contenuto principale
Se la tua organizzazione utilizza un identity provider OpenID Connect (OIDC) diverso da Azure AD o Okta (ad es. Ping Identity, OneLogin, Keycloak, Auth0 o un altro IdP compatibile con OIDC), puoi configurare l’SSO per Devin Enterprise utilizzando una connessione OIDC generica.
Questa guida è destinata ai clienti il cui identity provider non è supportato nativamente dalle integrazioni Azure AD (OIDC) o Okta (OIDC). Se il tuo IdP è Azure AD o Okta, ti consigliamo invece di usare l’integrazione nativa, che offre un’esperienza di configurazione più semplice.

Requisiti

Le seguenti informazioni sono necessarie per configurare l’SSO OIDC per Devin. Le raccoglierai durante i passaggi di configurazione riportati di seguito e le invierai al team di account Cognition nell’ultimo passaggio.
  • Discovery URL - L’endpoint OIDC Discovery del tuo IdP (ad es. https://idp.example.com/.well-known/openid-configuration)
  • Client ID - Il Client ID dell’applicazione fornito dal tuo IdP
  • Client Secret - Il Client Secret dell’applicazione fornito dal tuo IdP
  • Identity Provider Domains - Tutti i domini di posta elettronica aziendali che effettueranno l’autenticazione tramite questo IdP (ad es. example.com, subsidiary.example.com)
  • Scopes - Gli scope OIDC da includere nella richiesta (in genere openid profile email; aggiungi groups se utilizzi i gruppi dell’IdP)

Istruzioni per la configurazione

Passaggio 1: registra un’applicazione nel tuo IdP

Nella console di amministrazione del tuo IdP, crea una nuova applicazione OIDC / OAuth 2.0 (a volte chiamata “Web Application” o “Confidential Client”) con le seguenti impostazioni:
ImpostazioneValore
Application TypeWeb Application / Confidential Client
Sign-in Redirect URI (Callback URL)https://auth.devin.ai/login/callback
Sign-out Redirect URILascia vuoto
Grant TypeAuthorization Code
Token Endpoint AuthenticationClient Secret (POST)
Dopo aver creato l’applicazione, prendi nota del Client ID e del Client Secret forniti dal tuo IdP.

Passaggio 2: individua il Discovery URL

La maggior parte dei provider di identità compatibili con OIDC pubblica un documento OpenID Connect Discovery. Questo URL permette a Devin di recuperare automaticamente gli endpoint di autorizzazione, token e userinfo del tuo IdP. Il Discovery URL in genere segue questo formato: 
https://<your-idp-domain>/.well-known/openid-configuration
Formati comuni degli URL di discovery per provider:
  • Keycloak: https://<host>/realms/<realm>/.well-known/openid-configuration
  • Ping Identity: https://<host>/<tenant-id>/as/.well-known/openid-configuration
  • OneLogin: https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
  • Auth0: https://<domain>/.well-known/openid-configuration
  • Google Workspace: https://accounts.google.com/.well-known/openid-configuration
Puoi verificare l’URL aprendolo in un browser: dovrebbe restituire un documento JSON contenente campi come authorization_endpoint, token_endpoint e issuer.

Passaggio 3: Configurare gli scope

Gli scope OIDC controllano quali informazioni sull’utente Devin riceve durante l’autenticazione. Come minimo, richiedi i seguenti scope:
ScopeScopoObbligatorio
openidNecessario per tutti i flussi OIDC
profileRestituisce il nome visualizzato dell’utente
emailRestituisce l’indirizzo email dell’utente
groupsRestituisce le appartenenze ai gruppi dell’utente (per i gruppi IdP)Solo se si utilizzano gruppi IdP
La stringa di scope deve essere: openid profile email (oppure openid profile email groups se utilizzi gruppi IdP).
Alcuni IdP usano un nome di scope diverso per le claim relative ai gruppi (ad es. roles o uno scope personalizzato). Controlla la documentazione del tuo IdP per il nome di scope corretto che restituisce le informazioni sulle appartenenze ai gruppi.

Passaggio 4: Configura le dichiarazioni di gruppo (obbligatorio per i gruppi IdP)

Se vuoi usare l’integrazione dei gruppi IdP per il controllo degli accessi basato sui ruoli in Devin, devi configurare il tuo IdP in modo che includa l’appartenenza ai gruppi nell’ID token o nella risposta userinfo. In caso contrario, gli utenti verranno autenticati correttamente ma i gruppi IdP non saranno sincronizzati.
Per abilitare la sincronizzazione dei gruppi IdP:
  1. Nel tuo IdP, assicurati che lo scope groups sia disponibile per l’applicazione
  2. Configura il tuo IdP per includere una dichiarazione groups nell’ID token o nella risposta userinfo
Se il tuo IdP non include le dichiarazioni di gruppo per impostazione predefinita, potresti dover creare uno scope personalizzato o configurare un criterio di mapping delle dichiarazioni. Consulta la documentazione del tuo IdP per le istruzioni su come aggiungere le dichiarazioni di gruppo ai token OIDC.

Passaggio 5: Invia la configurazione a Cognition

Invia quanto segue al team del tuo account Cognition:
  1. Discovery URL (ad es. https://idp.example.com/.well-known/openid-configuration)
  2. Client ID
  3. Client Secret
  4. Identity Provider Domains (tutti i domini email per questo IdP)
  5. Scopes (ad es. openid profile email groups)
Il team del tuo account Cognition configurerà la connessione OIDC affinché i gruppi dell’IdP vengano sincronizzati automaticamente a ogni accesso utente.

Verifica della configurazione

Dopo che il team dell’account di Cognition ha confermato che la configurazione è completa:
  1. Vai all’URL di Devin Enterprise (ad es. https://<your_subdomain>.devinenterprise.com)
  2. Fai clic su Sign in with OIDC (o sul pulsante SSO (Single Sign-On) equivalente) per avviare il flusso di accesso
  3. Verrai reindirizzato alla pagina di accesso del tuo IdP
  4. Dopo l’autenticazione, accederai alla tua organizzazione Devin Enterprise
Per verificare che i gruppi IdP funzionino:
  1. Vai a Settings > IdP Groups nella web app di Devin
  2. Dovresti vedere i tuoi gruppi IdP elencati dopo che almeno un membro del gruppo ha effettuato l’accesso
  3. I gruppi vengono sincronizzati a ogni accesso, quindi eventuali modifiche all’appartenenza ai gruppi nel tuo IdP avranno effetto al successivo accesso di un utente
I gruppi IdP vengono recuperati al momento dell’accesso dell’utente, quindi le modifiche all’appartenenza ai gruppi richiederanno una nuova autenticazione. Consulta IdP Group Integration per maggiori dettagli sulla configurazione del controllo degli accessi basato su gruppi.