> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurazione SAML SSO

> Configura il Single Sign-On con un provider di identità SAML

Se la tua organizzazione utilizza un provider di identità basato su SAML (IdP) (ad esempio Microsoft Entra ID tramite SAML, ADFS, Ping Identity, OneLogin o un altro IdP compatibile con SAML 2.0), puoi configurare il Single Sign-On (SSO) per Devin Enterprise tramite SAML generico.

<Note>
  Questa guida è per i clienti che desiderano usare **SAML** invece delle integrazioni native [Microsoft Entra ID (OIDC)](/it/enterprise/security-access/sso/azure) o [Okta (OIDC)](/it/enterprise/security-access/sso/okta). In generale consigliamo di usare l’integrazione OIDC nativa quando possibile, ma in alcune situazioni può essere preferibile utilizzare SAML SSO.
</Note>

<div id="what-youll-need">
  ## Requisiti
</div>

Le seguenti informazioni sono necessarie per configurare SAML SSO (Single Sign-On) per Devin. Le raccoglierai durante i passaggi di configurazione riportati di seguito e le invierai al tuo team dell'account Cognition nel passaggio finale.

* **Sign In URL** - L'endpoint SAML SSO del tuo IdP (ad es. `https://idp.example.com/sso/saml`)
* **X509 Signing Certificate** - Il certificato pubblico che il tuo IdP utilizza per firmare le asserzioni SAML
* **Identity Provider Domains** - Tutti i domini email aziendali che si autenticheranno tramite questo IdP (ad es. `example.com`, `subsidiary.example.com`)
* **Group Attribute Name** (se utilizzi i gruppi dell'IdP) - Il nome dell'attributo SAML che il tuo IdP utilizza per inviare i dati di appartenenza ai gruppi

<div id="setup-instructions">
  ## Istruzioni per la configurazione
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### Passaggio 1: Crea un'applicazione SAML nel tuo IdP
</div>

Nella console di amministrazione del provider di identità, crea una nuova applicazione SAML 2.0 con le seguenti impostazioni:

| Impostazione                             | Valore                                                                                        |
| :--------------------------------------- | :-------------------------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                                        |
| **Entity ID / Audience URI**             | Lascia vuoto inizialmente — vedi [Passaggio 5](#step-5-complete-configuration-with-cognition) |
| **Name ID Format**                       | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (consigliato) oppure `persistent`    |
| **Name ID Value**                        | Indirizzo email dell'utente                                                                   |
| **Signature Algorithm**                  | RSA-SHA256                                                                                    |
| **Digest Algorithm**                     | SHA256                                                                                        |
| **Response Binding**                     | HTTP-POST                                                                                     |

<div id="step-2-configure-saml-attributes">
  ### Passaggio 2: Configura gli attributi SAML
</div>

Assicurati che il tuo IdP invii i seguenti attributi nell'asserzione SAML:

| Attributo SAML                                                         | Descrizione                                                                  | Obbligatorio |
| :--------------------------------------------------------------------- | :--------------------------------------------------------------------------- | :----------- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | Identificatore univoco dell'utente (di solito l'indirizzo email dell'utente) | Sì           |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | Indirizzo email dell'utente                                                  | Sì           |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | Nome visualizzato dell'utente                                                | Consigliato  |

<Note>
  Devin utilizza l'attributo `nameidentifier` per identificare gli utenti. La maggior parte degli IdP lo popola automaticamente a partire dal valore **Name ID** SAML. Se il tuo IdP non invia `nameidentifier` come attributo separato, assicurati che il **Name ID Value** nel Passaggio 1 sia impostato sull'indirizzo email dell'utente.
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### Passaggio 3: Configurare le asserzioni di gruppo (obbligatorio per i gruppi IdP)
</div>

<Warning>
  Se vuoi usare l'[integrazione dei gruppi IdP](/it/enterprise/security-access/idp-groups) per il controllo degli accessi basato sui ruoli in Devin, **devi** configurare il tuo IdP in modo che includa l'appartenenza ai gruppi nell'asserzione SAML. Senza questa configurazione, gli utenti riusciranno ad autenticarsi, ma i gruppi IdP non verranno sincronizzati.
</Warning>

Per abilitare la sincronizzazione dei gruppi IdP, configura un **attributo di gruppo** nella tua applicazione SAML:

| Attributo SAML       | Valore                                    |
| :------------------- | :---------------------------------------- |
| **Nome attributo**   | `http://schemas.xmlsoap.org/claims/Group` |
| **Valore attributo** | Appartenenza ai gruppi dell'utente        |

<Note>
  Il nome esatto dell'attributo può variare a seconda del tuo IdP. Nomi di attributi comuni per i gruppi includono:

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **Condividi il nome esatto dell'attributo che configuri con il tuo team di account Cognition**, così potremo effettuare correttamente il mapping dalla nostra parte.
</Note>

<div id="microsoft-entra-id-with-saml">
  #### Microsoft Entra ID con SAML
</div>

Se usi Microsoft Entra ID con SAML invece dell'integrazione OIDC nativa:

1. Nel portale di Azure, vai su **Enterprise Applications** > la tua app SAML > **Single sign-on**
2. In **Attributes & Claims**, fai clic su **Add a group claim**
3. Seleziona **Groups assigned to the application** (consigliato) oppure **All groups**
4. Imposta **Source attribute** su un valore appropriato per la tua configurazione (ad esempio, `sAMAccountName` o `Display name`)
5. Prendi nota del **Claim name** che Azure genera (ad esempio, `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) e condividilo con il tuo team account di Cognition

<div id="other-saml-identity-providers">
  #### Altri provider di identità SAML
</div>

Per altri IdP (ADFS, Ping Identity, OneLogin, ecc.):

1. Aggiungi una dichiarazione di attributo di gruppo alla configurazione della tua applicazione SAML
2. Configurala in modo che invii i gruppi a cui appartiene l'utente
3. Annota il nome esatto dell'attributo e condividilo con il team del tuo account Cognition

<div id="step-4-send-configuration-to-cognition">
  ### Passaggio 4: Invia la configurazione a Cognition
</div>

Invia quanto segue al tuo team dell'account di Cognition:

1. **URL di accesso** (ad es. `https://idp.example.com/sso/saml`)
2. **Certificato di firma X509** (il file del certificato pubblico o il testo codificato in PEM)
3. **Domini del provider di identità** (tutti i domini email per questo IdP)
4. **Nome dell'attributo del gruppo** (se utilizzi i gruppi dell'IdP) — il nome esatto dell'attributo SAML configurato nel Passaggio 3

<div id="step-5-complete-configuration-with-cognition">
  ### Passaggio 5: completare la configurazione con Cognition
</div>

Dopo aver ricevuto la tua configurazione, il team dell’account Cognition:

1. Creerà la connessione SAML e ti fornirà **Entity ID / Audience URI** e un **nome della connessione**
2. Configurerà la mappatura del tuo attributo di gruppo (se applicabile) in modo che i gruppi IdP si sincronizzino automaticamente a ogni accesso dell’utente

Una volta ricevuto l’Entity ID, aggiorna l’impostazione **Entity ID / Audience URI** della tua applicazione SAML con il valore fornito.

<Note>
  Devin invia richieste di autenticazione SAML firmate. Il tuo file di metadati SAML sarà disponibile all’indirizzo:

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  dove `<connection_name>` è il nome della connessione fornito dal team dell’account Cognition. Importa questi metadati nel tuo IdP per completare la configurazione di attendibilità e abilitare la verifica della firma delle richieste.
</Note>

<div id="verifying-your-setup">
  ## Verifying Your Setup
</div>

Dopo aver aggiornato l'Entity ID e dopo che il team dell'account Cognition avrà confermato che la configurazione è stata completata:

1. Vai all'URL della tua istanza Devin Enterprise (ad es. `https://<your_subdomain>.devinenterprise.com`)
2. Fai clic su **Sign in with SAML** (o sul pulsante SSO equivalente) per avviare il flusso di accesso
3. Dovresti essere reindirizzato alla pagina di accesso del tuo IdP
4. Dopo l'autenticazione, dovresti accedere alla tua organizzazione Devin Enterprise

Per verificare il corretto funzionamento dei gruppi IdP:

1. Vai su **Settings** > **IdP Groups** nell'applicazione web Devin
2. Dovresti vedere i tuoi gruppi IdP elencati dopo che almeno un membro del gruppo ha eseguito l'accesso
3. I gruppi vengono sincronizzati a ogni accesso, quindi qualsiasi modifica all'appartenenza ai gruppi nel tuo IdP avrà effetto al successivo accesso di un utente

<Note>
  I gruppi IdP vengono recuperati al momento dell'accesso dell'utente, quindi le modifiche all'appartenenza ai gruppi richiederanno una nuova autenticazione. Consulta [IdP Group Integration](/it/enterprise/security-access/idp-groups) per maggiori dettagli sulla configurazione del controllo di accesso basato sui gruppi.
</Note>
