Documentation Index
Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
Use this file to discover all available pages before exploring further.
Este recurso está disponível apenas para usuários do Enterprise.
Este recurso não se aplica aos planos do Cognition Platform. No Cognition Platform, o SSO deve ser configurado e gerenciado nas configurações da plataforma.
- SSO do Google
- Microsoft Entra ID
- SSO da Okta
- Azure SCIM
- Okta SCIM
- API SCIM
- Duo
- PingID
O Devin Desktop agora oferece suporte a login com Single Sign-On (SSO) via SAML. Se a sua organização usa Microsoft Entra, Okta, Google Workspaces ou outro provedor de identidade compatível com SAML, você poderá usar SSO com o Devin Desktop.
O Devin Desktop oferece suporte apenas a SSO iniciado por SP; SSO iniciado por IDP NÃO é compatível no momento.
Configurar o aplicativo do IDP
No console de administração do Google (admin.google.com), clique em Apps -> Web and mobile apps no menu à esquerda.Windsurf e clique em Next.A próxima tela (Google Identity Provider details) no console do Google contém os dados que você precisará copiar para as Configurações de SSO do Devin Desktop em https://windsurf.com/team/settings.- Copie SSO URL do console do Google para SSO URL nas Configurações do Devin Desktop
- Copie Entity ID do console do Google para Idp Entity ID nas Configurações do Devin Desktop
- Copie Certificate do console do Google para X509 Certificate nas Configurações do Devin Desktop
- Clique em Continue no console do Google
- Copie Callback URL da página de Configurações do Codeium para ACS URL no console do Google
- Copie SP Entity ID da página de Configurações do Codeium para SP Entity ID no console do Google
- Altere o formato de Name ID para EMAIL
- Clique em Continue no console do Google
- Clique em Add Mapping, selecione First name e defina App attributes como firstName
- Clique em Add Mapping, selecione Last name e defina App attributes como lastName
- Clique em Finish
O Devin Desktop Enterprise agora oferece suporte a login com Single Sign-On (SSO) via SAML. Se a sua organização usa o Microsoft Entra ID (antigo Azure AD), você poderá usar SSO com o Devin Desktop.
O Devin Desktop oferece suporte apenas a SSO iniciado por SP; no momento, SSO iniciado por IDP NÃO é compatível.
Parte 1: Criar um aplicativo Enterprise no Microsoft Entra ID
Todas as etapas desta seção são realizadas no centro de administração do Microsoft Entra ID.
- No Microsoft Entra ID, clique em Adicionar e, em seguida, em Aplicativo Enterprise.
- Clique em Criar seu próprio aplicativo.
- Dê ao aplicativo o nome Devin Desktop, selecione Integrar qualquer outro aplicativo que você não encontrar na galeria e, em seguida, clique em Criar.
Parte 2: Configurar SAML e os atributos do usuário no Microsoft Entra ID
Todas as etapas desta seção são realizadas no centro de administração do Microsoft Entra ID.
- No seu novo aplicativo Devin Desktop, clique em Configurar logon único e depois em SAML.
- Clique em Editar em Configuração básica de SAML.
- Mantenha esta aba do Entra ID aberta e abra uma nova aba para acessar as Configurações de SSO do Teams do Devin Desktop em https://windsurf.com/team/settings.
-
No formulário de configuração SAML do Microsoft Entra ID:
- Identificador (ID da Entidade): copie o valor de SP Entity ID da página de configurações de SSO do Devin Desktop
- URL de Resposta (URL do Serviço do Consumidor de Asserção): copie o valor de Callback URL da página de configurações de SSO do Devin Desktop
- Clique em Salvar na parte superior
- Configure os atributos do usuário para exibir o nome corretamente. No Microsoft Entra ID, em Atributos e claims, clique em Editar.
-
Crie 2 novas claims clicando em Adicionar nova claim para cada uma:
- Primeira claim: Name =
firstName, Source attribute =user.givenname - Segunda claim: Name =
lastName, Source attribute =user.surname
- Primeira claim: Name =
Parte 3: Configurar as Configurações de SSO no portal do Devin Desktop
Conclua a configuração no portal do Devin Desktop (https://windsurf.com/team/settings).
-
Na página de configurações de SSO do Devin Desktop:
- Escolha seu ID de SSO: escolha um identificador exclusivo para o portal de login da sua equipe (isso não poderá ser alterado depois)
- ID da Entidade do IdP: copie o valor do Microsoft Entra ID em Configurar o Devin Desktop → Identificador do Microsoft Entra
A URL do ID da Entidade do IdP deve terminar com uma
/no final (por exemplo,https://sts.windows.net/{tenant-id}/). Se a URL não incluir a barra final, adicione-a manualmente. - URL de SSO: copie o valor de Login URL do Microsoft Entra ID
- Certificado X509: baixe o certificado SAML (Base64) do Microsoft Entra ID, abra o arquivo e cole aqui o conteúdo do texto
- No portal do Devin Desktop, clique em Ativar login com SAML e depois em Salvar.
- Teste a configuração: clique em Testar login para verificar se a configuração de SSO funciona como esperado.
Importante: Não saia nem feche a página de configurações do Devin Desktop até testar o login com sucesso. Se o teste falhar, talvez seja necessário solucionar o problema da configuração antes de prosseguir.
O Devin Desktop Enterprise agora oferece suporte a login com Single Sign-On (SSO) via SAML. Se sua organização usa Microsoft Entra, Okta, Google Workspaces ou outro provedor de identidade compatível com SAML, você poderá usar SSO com Devin Desktop.
O Devin Desktop oferece suporte apenas a SSO iniciado por SP; SSO iniciado por IdP NÃO é compatível no momento.
Configurar o aplicativo do IdP
Clique em Applications na barra lateral esquerda e, em seguida, em Create App Integration- Single sign-on URL como https://auth.windsurf.com/__/auth/handler
- Audience URI (SP Entity ID) como www.codeium.com
- Formato de NameID como EmailAddress
- Nome de usuário do aplicativo como Email
Registrar o Okta como provedor SAML
Você deverá ser redirecionado para a aba Sign on no seu aplicativo SAML personalizado. Agora, pegue as informações dessa página e preencha as configurações de SSO do Devin Desktop.- Abra https://windsurf.com/team/settings e clique em Configure SAML
- Copie o texto após ‘Issuer’ na página do aplicativo do Okta e cole em Idp Entity ID
- Copie o texto após ‘Sign on URL’ na página do aplicativo do Okta e cole em SSO URL
- Baixe o Signing Certificate e cole em X509 certificate
- Marque Enable Login with SAML e clique em Save
- Teste o login com o botão Test Login. Você deverá ver uma mensagem de sucesso:
Observações
Observe que o Devin Desktop não oferece suporte no momento a fluxos de login iniciados por IdP.Também ainda não oferecemos suporte a OIDC.Solução de problemas
Login with SAML config failed: Firebase: Error (auth/operation-not-allowed)
Login with SAML config failed: Firebase: SAML Response <Issuer> mismatch. (auth/invalid-credential)
Failed to verify the signature in samlresponse
Isso indica um valor incorreto no seu certificado X509. Certifique-se de copiar a chave correta e de que ela esteja formatada da seguinte forma:-----BEGIN CERTIFICATE-----
value
------END CERTIFICATE------
O Devin Desktop oferece suporte à sincronização SCIM para usuários e grupos com Microsoft Entra ID / Azure AD. Não é necessário configurar o SSO para usar a sincronização SCIM, mas é altamente recomendável.Você vai precisar de:
- Acesso administrativo ao Microsoft Entra ID / Azure AD
- Acesso administrativo ao Devin Desktop
- Um aplicativo de desktop existente do Devin no Entra ID (normalmente do seu aplicativo de SSO existente)
Permissões necessárias da chave de serviçoA chave de serviço usada para o provisionamento SCIM deve ter as seguintes permissões:
- Team User Read - Necessária para ler informações de usuários e grupos
- Team User Update - Necessária para criar e atualizar usuários e grupos
- Team User Delete - Necessária para desativar/excluir usuários e grupos
Etapa 1: Criar uma função com permissões SCIM
Antes de configurar o provisionamento SCIM, você precisa criar uma função com as permissões necessárias.- Acesse Configurações da equipe do Windsurf
- Em “Outras configurações”, clique em Configurar ao lado de Gerenciamento de funções
- Clique em Adicionar função e dê a ela o nome de “SCIM Provisioning”
- Adicione as permissões a seguir:
- Visualização de usuário da equipe
- Atualização de usuário da equipe
- Exclusão de usuário da equipe
- Clique em Salvar
Etapa 2: Acesse o app desktop existente do Devin
Acesse o Microsoft Entra ID no Azure, clique em Enterprise applications na barra lateral esquerda e, em seguida, clique no app Devin Desktop existente na lista.Etapa 3: Configurar o provisionamento SCIM
Clique em Get started em Provision User Accounts no meio (etapa 3) e clique em Get started novamente.Etapa 4: Configurar o Provisionamento SCIM
Após clicar em Save, uma nova opção Mappings deve ter aparecido na página de Provisioning. Expanda Mappings e clique em Provision Microsoft Entra ID UsersNOT([IsSoftDeleted])
O Devin Desktop oferece suporte à sincronização SCIM de usuários e grupos com o Okta. Não é necessário configurar o SSO para usar a sincronização SCIM, mas isso é altamente recomendado.Você vai precisar de:
- Acesso de administrador ao Okta
- Acesso de administrador ao Devin Desktop
- Um app existente do Devin Desktop no Okta (normalmente o seu app de SSO existente)
Etapa 1: Navegue até o app existente do Devin Desktop
Acesse o Okta, clique em Applications, depois em Applications na barra lateral esquerda e, em seguida, clique no app existente do Devin Desktop na lista de aplicativos.Etapa 2: Ativar o provisionamento SCIM
Na aba general, em App Settings, clique em Edit no canto superior direito. Em seguida, marque a caixa de seleção ‘Enable SCIM Provisioning’ e clique em Save. Uma nova aba de provisionamento deverá aparecer na parte superior.Agora vá para provisioning, clique em Edit e preencha os seguintes campos:SCIM connector base URL: https://server.codeium.com/scim/v2Unique identifier field for users: emailSupported provisioning actions: Push New Users, Push Profile Updates, Push GroupsAuthentication Mode: HTTP HeaderEm HTTP Header - Authorization, você pode gerar o token em:- https://windsurf.com/team/settings e ir até Service Key Configuration
- Clique em Configure, depois em Add Service Key, e dê um nome à sua Chave de API
- Copie a Chave de API, volte para o Okta e cole em HTTP Header - Authorization
Etapa 3: Configurar o provisionamento
Na aba provisioning, à esquerda, devem aparecer duas novas abas. Clique em To App e depois em Edit Provisioning to App. Marque as caixas de seleção Create Users, Update User Attributes e Deactivate Users e clique em Save.Após esta etapa, todos os usuários atribuídos ao grupo passarão a ser sincronizados com o Devin Desktop.Etapa 4: Configurar o provisionamento de grupos (Opcional)
Para sincronizar grupos com o Devin Desktop, você precisará especificar quais grupos enviar. No aplicativo, clique na aba Push Groups na parte superior. Em seguida, clique em + Push Groups -> Find Groups by name. Filtre o grupo que você deseja adicionar, verifique se Push group memberships immediately está marcado e clique em Save. O grupo será criado, e os membros do grupo serão sincronizados com o Devin Desktop. Depois, os grupos poderão ser usados para filtrar análises de grupo na página de análises.Este guia mostra como criar e gerenciar grupos no Devin Desktop usando a API SCIM.Em alguns casos, pode ser necessário provisionar grupos manualmente em vez de usar um Provedor de Identidade (Azure/Okta). As empresas podem querer provisionar grupos a partir de uma fonte interna diferente (site de RH, ferramenta de gerenciamento de código-fonte etc.) à qual o Devin Desktop não tem acesso, ou podem precisar de um controle mais granular sobre os grupos do que o oferecido pelo seu Provedor de Identidade. Nesses casos, os grupos podem ser criados via API por meio de uma requisição HTTP. A seguir, são apresentados exemplos de requisição HTTP via CURL.Existem 5 APIs principais aqui: Create Group, Add group members, Replace group members, Delete Group e List Users in a Group.Você precisará primeiro criar o grupo e, em seguida, substituí-lo para criar um grupo com membros. Também será necessário codificar os nomes dos grupos em URL caso o nome do grupo contenha um caractere especial como espaço; por exemplo, um nome de grupo como ‘Engineering Group’ precisará ser ‘Engineering%20Group’ na URL.Observe que os usuários precisam ser criados no Devin Desktop (via SCIM ou com a criação manual da conta) antes de serem adicionados a um grupo.Desativar o acesso à CLI para um usuário (defina O atributo Atualizar nome:
Criar Grupo
curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
"displayName": "<group name>",
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Adicionar Membros ao Grupo
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "add",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Substituir Membros do Grupo
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "replace",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Excluir Grupo
curl -X DELETE https://server.codeium.com/scim/v2/Groups/<group name> -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
Listar Grupo
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups"
Listar Usuários em um Grupo
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups/<group_id>"
APIs de Usuário
Também há APIs para usuários. A seguir estão algumas das APIs SCIM mais comuns com suporte no Devin Desktop.Desativar um usuário (Ativar substituindo false por true):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": false
}
]
}'
cliActive como true para reativar):curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "cliActive",
"value": false
}
]
}'
cliActive controla se um usuário pode acessar o Devin CLI. Ele é independente do atributo active — desabilitar o acesso ao CLI não afeta o seat do usuário nem o acesso a outros produtos do Devin Desktop. Se cliActive não estiver definido para um usuário, ele seguirá a política de acesso padrão ao CLI do time.Criar um usuário:curl -X POST \
https://server.codeium.com/scim/v2/Users \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "<email>",
"displayName": "<full name>",
"active": true
}'
curl -X PATCH \
'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<user api key>' \
-H 'Authorization: Bearer <service key>' \
-H 'Content-Type: application/scim+json' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "<new name>"
}
]
}'
Criando uma Chave Secreta de API
Acesse https://windsurf.com/team/settings. Em Service Key Configuration, clique em Add Service Key. Insira um nome para a chave (como ‘Azure Provisioning Key’) e clique em Create Service Key. Copie a chave gerada e salve-a; agora você pode usá-la para autorizar as APIs mencionadas acima.Pré-requisitos
Este guia pressupõe que o Duo já esteja configurado e atue como o IdP da sua organização, ou que um IdP externo esteja configurado.Você precisará de acesso de administrador às contas do Duo e do Devin Desktop.Configurar o Duo para o Devin Desktop
- Acesse Applications e adicione um provedor de serviço SAML genérico
- Acesse SSO em Configurações da equipe
- Ao ativar o SAML pela primeira vez, será necessário configurar seu ID de SSO. Você não poderá alterá-lo depois. É recomendável defini-lo como o nome da sua organização ou equipe, usando apenas caracteres alfanuméricos.
-
Copie o valor de
Entity IDdo portal do Duo e cole-o no campoIdP Entity IDno portal do Devin Desktop. -
Copie o valor de
Single Sign-On URLdo portal do Duo e cole-o no campoSSO URLno portal do Devin Desktop. -
Copie o valor do certificado do portal do Duo e cole-o no campo
X509 Certificateno portal do Devin Desktop
-
Copie o valor de
SP Identity IDdo portal do Devin Desktop e cole-o no campoEntity IDno portal do Duo. -
Copie a
Callback URL (Assertion Consumer Service URL)do portal do Devin Desktop e cole-a no campoAssertion Consumer Service (ACS) URLno portal do Duo. - No portal do Duo, configure as declarações de atributo da seguinte forma:
- Ative o login SAML no portal do Devin Desktop para poder testá-lo.
- Quando o teste for concluído com sucesso, você poderá encerrar a sessão. Agora você já pode usar o login por SSO ao acessar a página da sua equipe/organização com o ID de SSO configurado na etapa 3.
Pré-requisitos
Este guia pressupõe que o PingID esteja configurado e atue como seu IdP organizacional, ou que um IdP externo esteja configurado.Você precisará de acesso de administrador às contas do PingID e do Devin Desktop.Configurar o PingID para o Devin Desktop
- Vá até Applications e adicione o Devin Desktop como um aplicativo SAML
- Vá até SSO em Configurações da equipe
- Ao ativar o SAML pela primeira vez, será necessário configurar seu ID de SSO. Você não poderá alterá-lo depois.
- No PingID, escolha inserir a configuração manualmente e preencha os campos com os seguintes valores:
- ACS URLs - este é o
Callback URL (Assertion Consumer Service URL)do portal do Devin Desktop. - Entity ID - este é o
SP Entity IDdo portal do Devin Desktop.
-
Copie o
Issuer IDdo PingID para o valorIdP Entity IDno portal do Devin Desktop. -
Copie o valor
Single Signon Servicedo PingID para o valorSSO URLno portal do Devin Desktop. -
Baixe o Signing Certificate do PingID como X509 PEM (.crt), abra o arquivo e copie seu conteúdo para o valor
X509 Certificateno portal do Devin Desktop.
- Nos mapeamentos de atributos, certifique-se de mapear:
saml_subject- Endereço de e-mailfirstName- NomelastName- Sobrenome
- Adicione/edite quaisquer outras políticas e acessos conforme exigido pela sua configuração/organização
- Ative o login SAML no portal do Devin Desktop para testá-lo.
- Quando o teste for concluído com sucesso, você poderá fazer logout. Agora você pode usar o login com SSO ao acessar a página da sua equipe/organização com o ID de SSO que configurou na etapa 3.