Vai al contenuto principale
Se la tua organizzazione utilizza un provider di identità basato su SAML (IdP) (ad esempio Azure AD tramite SAML, ADFS, Ping Identity, OneLogin o un altro IdP compatibile con SAML 2.0), puoi configurare il Single Sign-On (SSO) per Devin Enterprise tramite SAML generico.
Questa guida è per i clienti che desiderano usare SAML invece delle integrazioni native Azure AD (OIDC) o Okta (OIDC). In generale consigliamo di usare l’integrazione OIDC nativa quando possibile, ma in alcune situazioni può essere preferibile utilizzare SAML SSO.

Requisiti

Le seguenti informazioni sono necessarie per configurare SAML SSO (Single Sign-On) per Devin. Le raccoglierai durante i passaggi di configurazione riportati di seguito e le invierai al tuo team dell’account Cognition nel passaggio finale.
  • Sign In URL - L’endpoint SAML SSO del tuo IdP (ad es. https://idp.example.com/sso/saml)
  • X509 Signing Certificate - Il certificato pubblico che il tuo IdP utilizza per firmare le asserzioni SAML
  • Identity Provider Domains - Tutti i domini email aziendali che si autenticheranno tramite questo IdP (ad es. example.com, subsidiary.example.com)
  • Group Attribute Name (se utilizzi i gruppi dell’IdP) - Il nome dell’attributo SAML che il tuo IdP utilizza per inviare i dati di appartenenza ai gruppi

Istruzioni per la configurazione

Passaggio 1: Crea un’applicazione SAML nel tuo IdP

Nella console di amministrazione del provider di identità, crea una nuova applicazione SAML 2.0 con le seguenti impostazioni:
ImpostazioneValore
ACS (Assertion Consumer Service) URLhttps://auth.devin.ai/login/callback
Entity ID / Audience URILascia vuoto inizialmente — vedi Passaggio 5
Name ID Formaturn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (consigliato) oppure persistent
Name ID ValueIndirizzo email dell’utente
Signature AlgorithmRSA-SHA256
Digest AlgorithmSHA256
Response BindingHTTP-POST

Passaggio 2: Configura gli attributi SAML

Assicurati che il tuo IdP invii i seguenti attributi nell’asserzione SAML:
Attributo SAMLDescrizioneObbligatorio
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierIdentificatore univoco dell’utente (di solito l’indirizzo email dell’utente)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressIndirizzo email dell’utente
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameNome visualizzato dell’utenteConsigliato
Devin utilizza l’attributo nameidentifier per identificare gli utenti. La maggior parte degli IdP lo popola automaticamente a partire dal valore Name ID SAML. Se il tuo IdP non invia nameidentifier come attributo separato, assicurati che il Name ID Value nel Passaggio 1 sia impostato sull’indirizzo email dell’utente.

Passaggio 3: Configurare le asserzioni di gruppo (obbligatorio per i gruppi IdP)

Se vuoi usare l’integrazione dei gruppi IdP per il controllo degli accessi basato sui ruoli in Devin, devi configurare il tuo IdP in modo che includa l’appartenenza ai gruppi nell’asserzione SAML. Senza questa configurazione, gli utenti riusciranno ad autenticarsi, ma i gruppi IdP non verranno sincronizzati.
Per abilitare la sincronizzazione dei gruppi IdP, configura un attributo di gruppo nella tua applicazione SAML:
Attributo SAMLValore
Nome attributohttp://schemas.xmlsoap.org/claims/Group
Valore attributoAppartenenza ai gruppi dell’utente
Il nome esatto dell’attributo può variare a seconda del tuo IdP. Nomi di attributi comuni per i gruppi includono:
  • http://schemas.xmlsoap.org/claims/Group
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • groups
  • memberOf
Condividi il nome esatto dell’attributo che configuri con il tuo team di account Cognition, così potremo effettuare correttamente il mapping dalla nostra parte.

Azure AD (Entra ID) con SAML

Se usi Azure AD con SAML invece dell’integrazione OIDC nativa:
  1. Nel portale di Azure, vai su Enterprise Applications > la tua app SAML > Single sign-on
  2. In Attributes & Claims, fai clic su Add a group claim
  3. Seleziona Groups assigned to the application (consigliato) oppure All groups
  4. Imposta Source attribute su un valore appropriato per la tua configurazione (ad esempio, sAMAccountName o Display name)
  5. Prendi nota del Claim name che Azure genera (ad esempio, http://schemas.microsoft.com/ws/2008/06/identity/claims/groups) e condividilo con il tuo team account di Cognition

Altri provider di identità SAML

Per altri IdP (ADFS, Ping Identity, OneLogin, ecc.):
  1. Aggiungi una dichiarazione di attributo di gruppo alla configurazione della tua applicazione SAML
  2. Configurala in modo che invii i gruppi a cui appartiene l’utente
  3. Annota il nome esatto dell’attributo e condividilo con il team del tuo account Cognition

Passaggio 4: Invia la configurazione a Cognition

Invia quanto segue al tuo team dell’account di Cognition:
  1. URL di accesso (ad es. https://idp.example.com/sso/saml)
  2. Certificato di firma X509 (il file del certificato pubblico o il testo codificato in PEM)
  3. Domini del provider di identità (tutti i domini email per questo IdP)
  4. Nome dell’attributo del gruppo (se utilizzi i gruppi dell’IdP) — il nome esatto dell’attributo SAML configurato nel Passaggio 3

Passaggio 5: completare la configurazione con Cognition

Dopo aver ricevuto la tua configurazione, il team dell’account Cognition:
  1. Creerà la connessione SAML e ti fornirà Entity ID / Audience URI e un nome della connessione
  2. Configurerà la mappatura del tuo attributo di gruppo (se applicabile) in modo che i gruppi IdP si sincronizzino automaticamente a ogni accesso dell’utente
Una volta ricevuto l’Entity ID, aggiorna l’impostazione Entity ID / Audience URI della tua applicazione SAML con il valore fornito.
Devin invia richieste di autenticazione SAML firmate. Il tuo file di metadati SAML sarà disponibile all’indirizzo:
https://auth.devin.ai/samlp/metadata?connection=<connection_name>
dove <connection_name> è il nome della connessione fornito dal team dell’account Cognition. Importa questi metadati nel tuo IdP per completare la configurazione di attendibilità e abilitare la verifica della firma delle richieste.

Verifying Your Setup

Dopo aver aggiornato l’Entity ID e dopo che il team dell’account Cognition avrà confermato che la configurazione è stata completata:
  1. Vai all’URL della tua istanza Devin Enterprise (ad es. https://<your_subdomain>.devinenterprise.com)
  2. Fai clic su Sign in with SAML (o sul pulsante SSO equivalente) per avviare il flusso di accesso
  3. Dovresti essere reindirizzato alla pagina di accesso del tuo IdP
  4. Dopo l’autenticazione, dovresti accedere alla tua organizzazione Devin Enterprise
Per verificare il corretto funzionamento dei gruppi IdP:
  1. Vai su Settings > IdP Groups nell’applicazione web Devin
  2. Dovresti vedere i tuoi gruppi IdP elencati dopo che almeno un membro del gruppo ha eseguito l’accesso
  3. I gruppi vengono sincronizzati a ogni accesso, quindi qualsiasi modifica all’appartenenza ai gruppi nel tuo IdP avrà effetto al successivo accesso di un utente
I gruppi IdP vengono recuperati al momento dell’accesso dell’utente, quindi le modifiche all’appartenenza ai gruppi richiederanno una nuova autenticazione. Consulta IdP Group Integration per maggiori dettagli sulla configurazione del controllo di accesso basato sui gruppi.