> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Sicurezza

> Pratiche e controlli di sicurezza per Devin nelle distribuzioni federali.

<Info>
  Questa documentazione si riferisce alle distribuzioni federali di Devin. [Torna alla documentazione di Devin](/it/get-started/devin-intro)
</Info>

Questa guida descrive come configurare, utilizzare e dismettere in modo sicuro gli account amministrativi di massimo livello in Devin Desktop. Include le definizioni dei ruoli amministrativi, le procedure relative al ciclo di vita degli account e tutte le impostazioni di sicurezza controllate dagli amministratori, con le relative funzioni, implicazioni per la sicurezza e valori consigliati.

***

<div id="administrative-role-definitions">
  ## Definizioni dei ruoli amministrativi
</div>

Devin Desktop utilizza un sistema di controllo degli accessi basato sui ruoli (RBAC) per regolare i privilegi amministrativi. I ruoli vengono gestiti tramite l'Admin Portal, nella sezione Role Management di Settings, e possono essere assegnati a singoli utenti.

<div id="built-in-roles">
  ### Ruoli predefiniti
</div>

Devin Desktop offre due ruoli predefiniti che non possono essere eliminati.

| Ruolo     | Descrizione                                                                                                                                                                                                                         | Autorizzazioni predefinite            |
| --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------- |
| **Admin** | Accesso amministrativo completo a Settings dell'organizzazione, gestione degli utenti, analisi e controlli di sicurezza. È il livello di privilegio più elevato che un utente possa avere all'interno di un team.                   | Tutte le autorizzazioni abilitate     |
| **User**  | Accesso standard per l'utente finale, senza autorizzazioni amministrative. Gli utenti possono accedere alle funzionalità di programmazione di Devin Desktop, ma non possono visualizzare o modificare Settings dell'organizzazione. | Nessuna autorizzazione amministrativa |

<div id="custom-roles">
  ### Ruoli personalizzati
</div>

Gli amministratori possono creare ruoli personalizzati per applicare il principio del privilegio minimo. I ruoli personalizzati sono composti da autorizzazioni granulari selezionate dalle categorie riportate di seguito. Per creare un ruolo personalizzato, accedi all'Admin Portal e apri la sezione Role Management in Settings.

<div id="permission-reference">
  ### Riferimento delle autorizzazioni
</div>

La tabella seguente elenca tutte le autorizzazioni disponibili per l'assegnazione dei ruoli nella distribuzione FedRAMP. Ogni autorizzazione controlla l'accesso a una specifica funzione amministrativa.

| Category            | Permission               | Description                                                                        |
| ------------------- | ------------------------ | ---------------------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Accesso in sola lettura alla pagina di gestione dei team                           |
| **Teams**           | Teams Update             | Possibilità di aggiornare i ruoli utente nella pagina dei team                     |
| **Teams**           | Teams Delete             | Possibilità di rimuovere utenti dalla pagina dei team                              |
| **Analytics**       | Analytics Read           | Accesso in lettura alla pagina di analisi e ai dashboards                          |
| **Attribution**     | Attribution Read         | Accesso in lettura alla pagina Attribution                                         |
| **License**         | License Read             | Accesso in lettura alla pagina della licenza                                       |
| **SSO**             | SSO Read                 | Accesso in lettura alla pagina di configurazione SSO                               |
| **SSO**             | SSO Write                | Possibilità di configurare e modificare le impostazioni del provider SSO           |
| **Service Key**     | Service Key Read         | Accesso in lettura alla pagina delle chiavi di servizio                            |
| **Service Key**     | Service Key Create       | Possibilità di creare nuove chiavi di servizio per l'accesso API                   |
| **Service Key**     | Service Key Update       | Possibilità di modificare le chiavi di servizio esistenti                          |
| **Service Key**     | Service Key Delete       | Possibilità di revocare ed eliminare le chiavi di servizio                         |
| **Role Management** | Role Read                | Accesso in lettura alla scheda dei ruoli in Settings                               |
| **Role Management** | Role Create              | Possibilità di creare nuovi ruoli                                                  |
| **Role Management** | Role Update              | Possibilità di modificare le definizioni dei ruoli esistenti                       |
| **Role Management** | Role Delete              | Possibilità di eliminare i ruoli                                                   |
| **External Chat**   | External Chat Management | Possibilità di modificare le configurazioni dei modelli di chat esterna            |
| **Indexing**        | Indexing Read            | Accesso in lettura alla pagina di configurazione dell'indicizzazione               |
| **Indexing**        | Indexing Create          | Possibilità di creare nuovi indici                                                 |
| **Indexing**        | Indexing Update          | Possibilità di aggiornare le repo indicizzate esistenti                            |
| **Indexing**        | Indexing Delete          | Possibilità di eliminare gli indici                                                |
| **Indexing**        | Indexing Management      | Possibilità di eseguire operazioni di gestione e pulizia del database degli indici |
| **Fine-Tuning**     | Fine-Tuning Read         | Accesso in lettura alla pagina di fine-tuning                                      |
| **Fine-Tuning**     | Fine-Tuning Create       | Possibilità di creare job di fine-tuning                                           |
| **Fine-Tuning**     | Fine-Tuning Update       | Possibilità di aggiornare job di fine-tuning                                       |
| **Fine-Tuning**     | Fine-Tuning Delete       | Possibilità di eliminare job di fine-tuning                                        |

<Note>Alcune di queste autorizzazioni (come Attribution, License, SSO, Indexing e Fine-Tuning) esistono nel sistema RBAC, ma le corrispondenti pagine del portale non sono disponibili nella distribuzione FedRAMP multi-tenant. Queste autorizzazioni sono incluse nella UI di gestione dei ruoli per completezza, ma non concedono l'accesso ad alcuna funzionalità attiva in questo ambiente.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procedure per il ciclo di vita dell'account amministrativo
</div>

Questa sezione descrive il ciclo di vita completo di un account amministrativo di livello superiore, dalla creazione iniziale fino alla dismissione.

<div id="account-setup">
  ### Configurazione dell'account
</div>

L'**onboarding tramite SSO** è il principale metodo di provisioning nella distribuzione FedRAMP. La piattaforma supporta sia OIDC sia SAML 2.0 per l'integrazione SSO (Single Sign-On). Gli utenti si autenticano tramite il provider di identità configurato e, una volta che il primo accesso ha creato il loro account, un amministratore assegna il ruolo appropriato tramite l'Admin Portal. Si noti che l'integrazione SSO nell'ambiente FedRAMP richiede il coordinamento con il team FedRAMP di Devin Desktop e non può essere configurata in modalità Self-serve.

Ogni nuovo account amministratore deve essere configurato secondo il principio del privilegio minimo. È preferibile usare ruoli personalizzati con solo le autorizzazioni necessarie per le responsabilità dell'amministratore, anziché assegnare il ruolo Admin completo, a meno che l'utente non richieda l'accesso completo al sistema.

<div id="authentication-and-mfa-requirements">
  ### Requisiti di autenticazione e MFA
</div>

La distribuzione FedRAMP utilizza esclusivamente l'SSO, con supporto per i protocolli OIDC e SAML 2.0. L'autenticazione con email e password non è disponibile. Tutti gli utenti devono autenticarsi tramite il provider di identità configurato.

L'autenticazione a più fattori (MFA) è applicata tramite il provider di identità dell'organizzazione. Devin Desktop eredita i criteri MFA configurati nell'IdP connesso, il che significa che tutti i requisiti relativi al livello di sicurezza dell'autenticazione, come l'obbligo di un secondo fattore, di autenticatori resistenti al phishing o di criteri di accesso condizionale, sono gestiti a livello di IdP. Le organizzazioni dovrebbero configurare il proprio IdP in modo da richiedere l'MFA per tutti gli utenti che accedono all'applicazione Devin Desktop, in particolare per gli account con ruoli amministrativi.

<Warning>Devin Desktop raccomanda vivamente di richiedere l'MFA per tutti gli account amministrativi. Configura il tuo provider di identità in modo da imporre l'MFA come condizione di accesso all'applicazione Devin Desktop.</Warning>

<div id="account-setup">
  ### Configurazione dell'account
</div>

Dopo la creazione di un account amministrativo, è necessario completare i seguenti passaggi di configurazione.

L'**assegnazione dei ruoli** determina l'ambito dell'accesso amministrativo dell'account. Assegna i ruoli tramite l'Admin Portal accedendo alla scheda Manage Team, individuando l'utente, facendo clic su Edit e selezionando il ruolo appropriato dal menu a discesa. Le modifiche hanno effetto immediato.

La **gestione delle chiavi di servizio** è necessaria quando l'amministratore ha bisogno di accesso all'API per l'automazione o l'analisi. Le chiavi di servizio vengono create in Settings con autorizzazioni limitate all'ambito d'uso previsto per la chiave. Ogni chiave di servizio deve avere un nome descrittivo (ad esempio, "Analytics Dashboard") ed essere assegnata a un ruolo con le autorizzazioni minime necessarie.

<div id="account-operation">
  ### Operatività dell'account
</div>

Le pratiche operative continuative per gli account amministrativi includono quanto segue.

**Revisioni periodiche degli accessi** dovrebbero essere condotte per verificare che gli account amministrativi necessitino ancora dell'attuale livello di accesso. Esaminare periodicamente l'elenco degli utenti con il ruolo Admin tramite la scheda Manage Team e adeguare i ruoli man mano che cambiano le responsabilità.

**Il monitoraggio delle attività** è disponibile tramite i dashboard di analisi integrati. Gli amministratori con autorizzazione Analytics Read possono monitorare l'attività degli utenti, le metriche di coinvolgimento e l'utilizzo delle funzionalità. L'API di analisi fornisce accesso programmatico a questi dati per l'integrazione con sistemi di monitoraggio esterni.

**La rotazione della chiave di servizio** dovrebbe essere eseguita secondo una pianificazione regolare. Per effettuare la rotazione di una chiave, creare una nuova chiave di servizio con le stesse autorizzazioni, aggiornare il sistema che la utilizza affinché usi la nuova chiave, quindi eliminare la vecchia chiave.

<div id="account-decommissioning">
  ### Disattivazione dell'account
</div>

Quando un amministratore non necessita più dell'accesso, l'account deve essere disattivato tempestivamente seguendo la procedura riportata di seguito.

<Steps>
  <Step title="Revocare il ruolo amministrativo">
    Vai all'Admin Portal, apri la scheda Manage Team, individua l'utente, fai clic su Edit e modifica il suo ruolo da Admin a User (o a un ruolo personalizzato senza autorizzazioni amministrative).
  </Step>

  <Step title="Revocare le chiavi di servizio">
    Elimina tutte le chiavi di servizio create da o utilizzate esclusivamente dall'amministratore uscente. Vai in Settings, quindi in Service Key, ed elimina le chiavi pertinenti.
  </Step>

  <Step title="Rimuovere o disattivare l'account">
    Rimuovi l'utente dalla scheda Manage Team facendo clic su Delete accanto al suo nome. Questa operazione disattiverà l'account Devin Desktop dell'utente e libererà la licenza assegnata.
  </Step>

  <Step title="Verificare l'accesso residuo">
    Verifica che l'account disattivato non compaia più in alcun ruolo amministrativo controllando l'elenco utenti di Manage Team filtrato per il ruolo Admin. Conferma che tutte le chiavi di servizio associate all'account siano state eliminate.
  </Step>
</Steps>

<Warning>Disattiva immediatamente gli account amministrativi quando un amministratore cambia ruolo o lascia l'organizzazione. Ritardare la disattivazione espone inutilmente a rischi per la sicurezza.</Warning>

***

<div id="security-settings-reference">
  ## Riferimento delle impostazioni di sicurezza
</div>

La tabella seguente documenta tutte le impostazioni di sicurezza controllate dagli amministratori disponibili nell'Admin Portal della distribuzione FedRAMP. Ogni voce descrive la funzione dell'impostazione, il relativo impatto sulla sicurezza e la configurazione consigliata per una distribuzione orientata alla sicurezza.

| Impostazione                                        | Funzione                                                                                                                                                                                                                                                                                                                        | Impatto sulla sicurezza                                                                                                                                                                                                                                 | Valore consigliato                                                                                                                                                                                                                    |
| --------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Controllo degli accessi basato sui ruoli (RBAC)** | Controlla quali azioni amministrative ogni utente può eseguire in base al ruolo e alle autorizzazioni assegnati. Gestito nella sezione Role Management in Settings.                                                                                                                                                             | Limita l'impatto di account compromessi restringendo le autorizzazioni a quelle strettamente necessarie per ciascun utente. Assegnazioni di ruolo eccessivamente ampie aumentano il potenziale impatto della compromissione di un singolo account.      | **Configurare secondo il principio del privilegio minimo.** Creare ruoli personalizzati con solo le autorizzazioni necessarie per ciascun amministratore. Riservare il ruolo Admin integrato a un numero ristretto di amministratori. |
| **Autorizzazioni della chiave di servizio**         | Limita gli access token API a insiemi specifici di autorizzazioni, controllando quali operazioni i sistemi automatizzati possono eseguire. Gestito nella sezione Service Key in Settings.                                                                                                                                       | Le chiavi di servizio con autorizzazioni eccessive possono essere sfruttate se esposte, concedendo accesso non autorizzato alla gestione degli utenti, ad analytics o ad altre funzioni.                                                                | **Limitare all'insieme minimo di autorizzazioni necessarie.** Creare chiavi di servizio dedicate per ogni integrazione con solo le autorizzazioni richieste da tale integrazione. Ruotare le chiavi regolarmente.                     |
| **Configurazione del provider SSO**                 | Configura il provider di identità utilizzato per tutta l'autenticazione degli utenti, con supporto per i protocolli OIDC e SAML 2.0. L'autenticazione tramite email/password non è disponibile. La configurazione di SSO richiede il coordinamento con il team FedRAMP di Devin Desktop. Gestito nella sezione SSO in Settings. | Centralizza l'autenticazione tramite l'IdP dell'organizzazione, consentendo di applicare MFA, accesso condizionale e policy di sessione. Una configurazione errata potrebbe impedire l'accesso a tutti gli utenti o consentire accessi non autorizzati. | **Configurare con il provider di identità approvato dall'organizzazione (OIDC o SAML 2.0).** Verificare la configurazione testando l'accesso con un account non amministratore prima di estenderla su larga scala.                    |

*Ultimo aggiornamento: 28 gennaio 2026*
