> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML SSO セットアップ

> SAML アイデンティティプロバイダーでシングルサインオンを設定する

組織で SAML ベースのアイデンティティプロバイダー (例: SAML 経由の Microsoft Entra ID、ADFS、Ping Identity、OneLogin、その他の SAML 2.0 準拠 IdP) を使用している場合、汎用 SAML を使って Devin Enterprise 用の SSO を設定できます。

<Note>
  このガイドは、ネイティブ連携である [Microsoft Entra ID (OIDC)](/ja/enterprise/security-access/sso/azure) や [Okta (OIDC)](/ja/enterprise/security-access/sso/okta) ではなく **SAML** を使用したいお客様向けです。一般的には、可能な場合はネイティブの OIDC 連携を利用することを推奨しますが、状況によっては SAML SSO の方が適している場合もあります。
</Note>

<div id="what-youll-need">
  ## 必要なもの
</div>

Devin 向けに SAML SSO (シングルサインオン) をセットアップするには、次の情報が必要です。これらは以下のセットアップ手順の中で順次収集し、最後のステップで Cognition のアカウントチームに送付します。

* **Sign In URL** - IdP の SAML SSO エンドポイント (例: `https://idp.example.com/sso/saml`)
* **X509 Signing Certificate** - IdP が SAML アサーションに署名するために使用する公開証明書
* **Identity Provider Domains** - この IdP を通じて認証を行う、すべての会社のメールドメイン (例: `example.com`, `subsidiary.example.com`)
* **Group Attribute Name** (IdP グループを使用する場合)  - IdP がグループ所属情報を送信する際に使用する SAML 属性名

<div id="setup-instructions">
  ## セットアップ手順
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### ステップ 1: IdP で SAML アプリケーションを作成する
</div>

ご利用のアイデンティティプロバイダの管理コンソールで、次の設定を使用して新しい SAML 2.0 アプリケーションを作成します。

| 設定                                       | 値                                                                              |
| :--------------------------------------- | :----------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                         |
| **Entity ID / Audience URI**             | 一旦空欄のままにする — [ステップ 5](#step-5-complete-configuration-with-cognition) を参照       |
| **Name ID Format**                       | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (推奨) または `persistent` |
| **Name ID Value**                        | ユーザーのメールアドレス                                                                   |
| **Signature Algorithm**                  | RSA-SHA256                                                                     |
| **Digest Algorithm**                     | SHA256                                                                         |
| **Response Binding**                     | HTTP-POST                                                                      |

<div id="step-2-configure-saml-attributes">
  ### ステップ 2: SAML 属性を設定する
</div>

IdP が SAML アサーション内で次の属性を送信するよう構成してください:

| SAML Attribute                                                         | 説明                           | 必須 |
| :--------------------------------------------------------------------- | :--------------------------- | :- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | 一意のユーザー識別子 (通常はユーザーのメールアドレス) | はい |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | ユーザーのメールアドレス                 | はい |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | ユーザーの表示名                     | 推奨 |

<Note>
  Devin はユーザーを識別するために `nameidentifier` 属性を使用します。多くの IdP は SAML の **Name ID** 値からこれを自動的に設定します。IdP が `nameidentifier` を個別の属性として送信しない場合は、ステップ 1 で **Name ID Value** がユーザーのメールアドレスになるように設定してください。
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### ステップ 3: グループアサーションを構成する (IdP グループに必須)
</div>

<Warning>
  Devin でロールベースのアクセス制御に [IdP Group Integration](/ja/enterprise/security-access/idp-groups) を使用する場合、IdP が SAML アサーション内でグループ所属情報を送信するように **必ず** 構成する必要があります。これを行わない場合、ユーザーは認証自体には成功しますが、IdP グループは同期されません。
</Warning>

IdP グループ同期を有効にするには、SAML アプリケーションで **グループ属性** を構成します:

| SAML Attribute      | Value                                     |
| :------------------ | :---------------------------------------- |
| **Attribute Name**  | `http://schemas.xmlsoap.org/claims/Group` |
| **Attribute Value** | ユーザーが所属するグループ                             |

<Note>
  正確な属性名は IdP によって異なる場合があります。グループ向けの一般的な属性名の例は次のとおりです:

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **構成した正確な属性名を Cognition のアカウントチームと共有してください。** その情報に基づき、当社側で正しくマッピングします。
</Note>

<div id="microsoft-entra-id-with-saml">
  #### SAML を使用した Microsoft Entra ID
</div>

ネイティブな OIDC 連携ではなく SAML を使用して Microsoft Entra ID を利用している場合は、次の手順を実行します。

1. Azure ポータルで、**Enterprise Applications** > 対象の SAML アプリ > **Single sign-on** の順に移動します
2. **Attributes & Claims** で **Add a group claim** をクリックします
3. **Groups assigned to the application** (推奨) または **All groups** を選択します
4. **Source attribute** を、ご利用の環境に適した値 (例: `sAMAccountName` または `Display name`) に設定します
5. Azure が生成する **Claim name** (例: `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) を控え、Cognition のアカウントチームと共有します

<div id="other-saml-identity-providers">
  #### その他の SAML アイデンティティプロバイダー
</div>

その他の IdP (ADFS、Ping Identity、OneLogin など) の場合:

1. SAML アプリケーションの設定にグループ属性ステートメントを追加します
2. ユーザーが所属するグループ情報を送信するように設定します
3. 属性名を正確に控え、Cognition のアカウントチームと共有します

<div id="step-4-send-configuration-to-cognition">
  ### 手順 4: Cognition への構成情報の送付
</div>

以下の情報を Cognition のアカウントチームに送信してください:

1. **Sign In URL** (例: `https://idp.example.com/sso/saml`)
2. **X509 Signing Certificate** (公開証明書ファイル、または PEM 形式でエンコードされたテキスト)
3. **Identity Provider Domains** (この IdP に対応するすべてのメールドメイン)
4. **Group Attribute Name** (IdP グループを使用する場合)  — 手順 3 で設定した SAML 属性名 (完全一致)

<div id="step-5-complete-configuration-with-cognition">
  ### ステップ 5: Cognition と連携して設定を完了する
</div>

構成情報を受け取った後、Cognition のアカウントチームは次の対応を行います。

1. SAML 接続を作成し、**Entity ID / Audience URI** と **connection name** を提供します
2. (該当する場合) グループ属性をマッピングし、ユーザーがログインするたびに IdP グループが自動的に同期されるようにします

Entity ID を受け取ったら、提供された値で SAML アプリケーションの **Entity ID / Audience URI** 設定を更新してください。

<Note>
  Devin は署名付きの SAML 認証リクエストを送信します。SAML メタデータファイルは次の URL から取得できます:

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  ここで、`<connection_name>` は Cognition のアカウントチームから提供された connection name です。このメタデータを IdP にインポートして、信頼関係の設定を完了し、リクエスト署名の検証を有効にしてください。
</Note>

<div id="verifying-your-setup">
  ## セットアップの検証
</div>

Entity ID を更新し、Cognition のアカウントチームから設定が完了したことが確認されたら、次の手順を実行します。

1. Devin Enterprise の URL (例: `https://<your_subdomain>.devinenterprise.com`) にアクセスします
2. ログインフローを開始するために **Sign in with SAML** (または同等の SSO (シングルサインオン) ボタン) をクリックします
3. IdP のログインページにリダイレクトされるはずです
4. 認証後、Devin Enterprise の組織に遷移するはずです

IdP グループが正しく動作していることを確認するには、次の手順を実行します。

1. Devin の Webアプリで **Settings** > **IdP Groups** に移動します
2. 少なくとも 1 人のグループメンバーがログインした後、IdP グループが一覧表示されているはずです
3. グループはログインのたびに同期されるため、IdP 側でのメンバーシップの変更は、ユーザーが次回サインインした際に反映されます

<Note>
  IdP グループはユーザーのログイン時に取得されるため、グループメンバーシップの変更を反映させるには再認証が必要です。グループベースのアクセス制御の設定の詳細については、[IdP Group Integration](/ja/enterprise/security-access/idp-groups) を参照してください。
</Note>
