メインコンテンツへスキップ
組織で Azure AD や Okta 以外の OpenID Connect(OIDC)アイデンティティプロバイダー(例: Ping Identity、OneLogin、Keycloak、Auth0、その他の OIDC 準拠 IdP)を使用している場合、汎用 OIDC 接続を使用して Devin Enterprise 向けに SSO(シングルサインオン)を設定できます。
このガイドは、Azure AD (OIDC) または Okta (OIDC) とのネイティブ連携でサポートされていないアイデンティティプロバイダーを利用しているお客様向けです。IdP が Azure AD または Okta の場合は、セットアップをよりスムーズに行えるネイティブ連携の利用を推奨します。

必要なもの

Devin 用の OIDC SSO をセットアップするには、次の情報が必要です。以下のセットアップ手順の中でこれらを収集し、最後のステップで Cognition のアカウントチームに送付します。
  • Discovery URL - IdP の OIDC Discovery エンドポイント(例: https://idp.example.com/.well-known/openid-configuration
  • Client ID - IdP で設定したアプリケーションの Client ID
  • Client Secret - IdP で設定したアプリケーションの Client Secret
  • Identity Provider Domains - この IdP を通じて認証を行うすべての会社のメールドメイン(例: example.com, subsidiary.example.com
  • Scopes - 要求する OIDC スコープ(通常は openid profile email を指定します。IdP のグループ機能を使用する場合は groups を追加します)

セットアップ手順

ステップ 1: IdP でアプリケーションを登録する

アイデンティティプロバイダーの管理コンソールで、新しい OIDC / OAuth 2.0 アプリケーション(「Web Application」または「Confidential Client」と呼ばれることもあります)を次の設定で作成します:
設定
Application TypeWeb Application / Confidential Client
Sign-in Redirect URI (Callback URL)https://auth.devin.ai/login/callback
Sign-out Redirect URI空のままにする
Grant TypeAuthorization Code
Token Endpoint AuthenticationClient Secret (POST)
アプリケーションを作成したら、IdP によって付与された Client IDClient Secret をメモしておいてください。

ステップ 2: Discovery URL を特定する

ほとんどの OIDC 準拠のアイデンティティプロバイダーは、OpenID Connect Discovery ドキュメントを公開しています。この URL を使用すると、Devin は IdP の認可エンドポイント、トークンエンドポイント、userinfo エンドポイントを自動的に取得できます。 Discovery URL は通常、次の形式です。 
https://<your-idp-domain>/.well-known/openid-configuration
プロバイダーごとの代表的な Discovery URL の形式:
  • Keycloak: https://<host>/realms/<realm>/.well-known/openid-configuration
  • Ping Identity: https://<host>/<tenant-id>/as/.well-known/openid-configuration
  • OneLogin: https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
  • Auth0: https://<domain>/.well-known/openid-configuration
  • Google Workspace: https://accounts.google.com/.well-known/openid-configuration
ブラウザでこの URL を開いて確認できます。authorization_endpointtoken_endpointissuer などのフィールドを含む JSON ドキュメントが返ってくれば、その URL は正しく設定されています。

ステップ 3: スコープを設定する

OIDC スコープは、認証時に Devin が受け取るユーザー情報を制御します。最低限、次のスコープをリクエストしてください:
Scope目的必須かどうか
openidすべての OIDC フローで必須はい
profileユーザーの表示名を返すはい
emailユーザーのメールアドレスを返すはい
groupsユーザーのグループメンバーシップ情報を返す(IdP グループ用)IdP グループを使用する場合のみ
スコープ文字列は次のように設定します: openid profile email(IdP グループを使用する場合は openid profile email groups)。
IdP によっては、グループクレームに別のスコープ名(例: roles やカスタムスコープ)を使用している場合があります。グループメンバーシップ情報を返す正しいスコープ名については、利用している IdP のドキュメントを確認してください。

ステップ 4: グループクレームを設定する(IdP グループに必須)

Devin でロールベースのアクセス制御に IdP Group Integration を使用する場合、IdP を設定して、ID トークンまたは userinfo レスポンスにグループへの所属情報を含めることが必須です。これを行わない場合、ユーザーの認証自体は成功しますが、IdP グループは同期されません。
IdP グループ同期を有効にするには:
  1. IdP 側で、アプリケーションに対して groups スコープが利用可能になっていることを確認します
  2. IdP を設定して、ID トークンまたは userinfo レスポンスに groups クレームを含めます
IdP がデフォルトでグループクレームを含めない場合、カスタムスコープを作成するか、クレームマッピングポリシーを設定する必要がある場合があります。グループクレームを OIDC トークンに追加する手順については、IdP のドキュメントを参照してください。

ステップ 5: 設定情報を Cognition に送信する

次の情報を Cognition のアカウントチームに送信してください:
  1. Discovery URL(例: https://idp.example.com/.well-known/openid-configuration
  2. Client ID
  3. Client Secret
  4. Identity Provider Domains(この IdP 用のすべてのメールドメイン)
  5. Scopes(例: openid profile email groups
Cognition のアカウントチームが OIDC 接続を設定し、ユーザーのログインごとに IdP グループが自動的に同期されるようにします。

セットアップの確認

Cognition のアカウントチームから設定完了の連絡を受けたら、次の手順に従ってください。
  1. Devin Enterprise の URL(例: https://<your_subdomain>.devinenterprise.com)にアクセスします
  2. ログインフローを開始するために Sign in with OIDC(または対応する SSO ボタン)をクリックします
  3. IdP のログインページにリダイレクトされます
  4. 認証が完了すると、Devin Enterprise の組織ページが表示されます
IdP グループが正しく動作していることを確認するには:
  1. Devin の Web アプリで Settings > IdP Groups に移動します
  2. 少なくとも 1 人のグループのメンバーがログインした後、IdP グループが一覧表示されます
  3. グループはログインのたびに同期されるため、IdP 側でのメンバーシップの変更は、次回ユーザーがサインインしたときに反映されます
IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映するには再認証が必要です。グループベースのアクセス制御の設定詳細については、IdP Group Integration を参照してください。