> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurazione SSO OIDC

> Configura il Single Sign-On (SSO) con un provider di identità OpenID Connect generico

Se la tua organizzazione utilizza un provider di identità OpenID Connect (OIDC) diverso da Microsoft Entra ID o Okta (ad es. Ping Identity, OneLogin, Keycloak, Auth0 o un altro IdP compatibile con OIDC), puoi configurare l'SSO per Devin Enterprise utilizzando una connessione OIDC generica.

<Note>
  Questa guida è destinata ai clienti il cui provider di identità **non** è supportato nativamente dalle integrazioni [Microsoft Entra ID (OIDC)](/it/enterprise/security-access/sso/azure) o [Okta (OIDC)](/it/enterprise/security-access/sso/okta). Se il tuo IdP è Microsoft Entra ID o Okta, ti consigliamo invece di usare l'integrazione nativa, che offre un'esperienza di configurazione più semplice.
</Note>

<div id="what-youll-need">
  ## Requisiti
</div>

Le seguenti informazioni sono necessarie per configurare l’SSO OIDC per Devin. Le raccoglierai durante i passaggi di configurazione riportati di seguito e le invierai al team di account Cognition nell’ultimo passaggio.

* **Discovery URL** - L’endpoint OIDC Discovery del tuo IdP (ad es. `https://idp.example.com/.well-known/openid-configuration`)
* **Client ID** - Il Client ID dell’applicazione fornito dal tuo IdP
* **Client Secret** - Il Client Secret dell’applicazione fornito dal tuo IdP
* **Identity Provider Domains** - Tutti i domini di posta elettronica aziendali che effettueranno l’autenticazione tramite questo IdP (ad es. `example.com`, `subsidiary.example.com`)
* **Scopes** - Gli scope OIDC da includere nella richiesta (in genere `openid profile email`; aggiungi `groups` se utilizzi i gruppi dell’IdP)

<div id="setup-instructions">
  ## Istruzioni per la configurazione
</div>

<div id="step-1-register-an-application-in-your-idp">
  ### Passaggio 1: registra un'applicazione nel tuo IdP
</div>

Nella console di amministrazione del tuo IdP, crea una nuova applicazione OIDC / OAuth 2.0 (a volte chiamata "Web Application" o "Confidential Client") con le seguenti impostazioni:

| Impostazione                            | Valore                                 |
| :-------------------------------------- | :------------------------------------- |
| **Application Type**                    | Web Application / Confidential Client  |
| **Sign-in Redirect URI (Callback URL)** | `https://auth.devin.ai/login/callback` |
| **Sign-out Redirect URI**               | Lascia vuoto                           |
| **Grant Type**                          | Authorization Code                     |
| **Token Endpoint Authentication**       | Client Secret (POST)                   |

Dopo aver creato l'applicazione, prendi nota del **Client ID** e del **Client Secret** forniti dal tuo IdP.

<div id="step-2-locate-your-discovery-url">
  ### Passaggio 2: individua il Discovery URL
</div>

La maggior parte dei provider di identità compatibili con OIDC pubblica un documento OpenID Connect Discovery. Questo URL permette a Devin di recuperare automaticamente gli endpoint di autorizzazione, token e userinfo del tuo IdP.

Il Discovery URL in genere segue questo formato:

```
https://<your-idp-domain>/.well-known/openid-configuration
```

<Note>
  Formati comuni degli URL di discovery per provider:

  * **Keycloak**: `https://<host>/realms/<realm>/.well-known/openid-configuration`
  * **Ping Identity**: `https://<host>/<tenant-id>/as/.well-known/openid-configuration`
  * **OneLogin**: `https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration`
  * **Auth0**: `https://<domain>/.well-known/openid-configuration`
  * **Google Workspace**: `https://accounts.google.com/.well-known/openid-configuration`

  Puoi verificare l'URL aprendolo in un browser: dovrebbe restituire un documento JSON contenente campi come `authorization_endpoint`, `token_endpoint` e `issuer`.
</Note>

<div id="step-3-configure-scopes">
  ### Passaggio 3: Configurare gli scope
</div>

Gli scope OIDC controllano quali informazioni sull'utente Devin riceve durante l'autenticazione. Come minimo, richiedi i seguenti scope:

| Scope     | Scopo                                                                | Obbligatorio                     |
| :-------- | :------------------------------------------------------------------- | :------------------------------- |
| `openid`  | Necessario per tutti i flussi OIDC                                   | Sì                               |
| `profile` | Restituisce il nome visualizzato dell'utente                         | Sì                               |
| `email`   | Restituisce l'indirizzo email dell'utente                            | Sì                               |
| `groups`  | Restituisce le appartenenze ai gruppi dell'utente (per i gruppi IdP) | Solo se si utilizzano gruppi IdP |

La stringa di scope deve essere: `openid profile email` (oppure `openid profile email groups` se utilizzi gruppi IdP).

<Note>
  Alcuni IdP usano un nome di scope diverso per le claim relative ai gruppi (ad es. `roles` o uno scope personalizzato). Controlla la documentazione del tuo IdP per il nome di scope corretto che restituisce le informazioni sulle appartenenze ai gruppi.
</Note>

<div id="step-4-configure-group-claims-required-for-idp-groups">
  ### Passaggio 4: Configura le dichiarazioni di gruppo (obbligatorio per i gruppi IdP)
</div>

<Warning>
  Se vuoi usare l'[integrazione dei gruppi IdP](/it/enterprise/security-access/idp-groups) per il controllo degli accessi basato sui ruoli in Devin, **devi** configurare il tuo IdP in modo che includa l'appartenenza ai gruppi nell'ID token o nella risposta userinfo. In caso contrario, gli utenti verranno autenticati correttamente ma i gruppi IdP non saranno sincronizzati.
</Warning>

Per abilitare la sincronizzazione dei gruppi IdP:

1. Nel tuo IdP, assicurati che lo scope `groups` sia disponibile per l'applicazione
2. Configura il tuo IdP per includere una dichiarazione `groups` nell'ID token o nella risposta userinfo

<Note>
  Se il tuo IdP non include le dichiarazioni di gruppo per impostazione predefinita, potresti dover creare uno scope personalizzato o configurare un criterio di mapping delle dichiarazioni. Consulta la documentazione del tuo IdP per le istruzioni su come aggiungere le dichiarazioni di gruppo ai token OIDC.
</Note>

<div id="step-5-send-configuration-to-cognition">
  ### Passaggio 5: Invia la configurazione a Cognition
</div>

Invia quanto segue al team del tuo account Cognition:

1. **Discovery URL** (ad es. `https://idp.example.com/.well-known/openid-configuration`)
2. **Client ID**
3. **Client Secret**
4. **Identity Provider Domains** (tutti i domini email per questo IdP)
5. **Scopes** (ad es. `openid profile email groups`)

Il team del tuo account Cognition configurerà la connessione OIDC affinché i gruppi dell'IdP vengano sincronizzati automaticamente a ogni accesso utente.

<div id="verifying-your-setup">
  ## Verifica della configurazione
</div>

Dopo che il team dell'account di Cognition ha confermato che la configurazione è completa:

1. Vai all'URL di Devin Enterprise (ad es. `https://<your_subdomain>.devinenterprise.com`)
2. Fai clic su **Sign in with OIDC** (o sul pulsante SSO (Single Sign-On) equivalente) per avviare il flusso di accesso
3. Verrai reindirizzato alla pagina di accesso del tuo IdP
4. Dopo l'autenticazione, accederai alla tua organizzazione Devin Enterprise

Per verificare che i gruppi IdP funzionino:

1. Vai a **Settings** > **IdP Groups** nella web app di Devin
2. Dovresti vedere i tuoi gruppi IdP elencati dopo che almeno un membro del gruppo ha effettuato l'accesso
3. I gruppi vengono sincronizzati a ogni accesso, quindi eventuali modifiche all'appartenenza ai gruppi nel tuo IdP avranno effetto al successivo accesso di un utente

<Note>
  I gruppi IdP vengono recuperati al momento dell'accesso dell'utente, quindi le modifiche all'appartenenza ai gruppi richiederanno una nuova autenticazione. Consulta [IdP Group Integration](/it/enterprise/security-access/idp-groups) per maggiori dettagli sulla configurazione del controllo degli accessi basato su gruppi.
</Note>
