> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configuração de SSO com SAML

> Configure o Single Sign-On com um provedor de identidade SAML

Se a sua organização usa um provedor de identidade baseado em SAML (por exemplo, Microsoft Entra ID via SAML, ADFS, Ping Identity, OneLogin ou outro IdP compatível com SAML 2.0), você pode configurar SSO para o Devin Enterprise usando o SAML genérico.

<Note>
  Este guia é para clientes que desejam usar **SAML** em vez das integrações nativas com [Microsoft Entra ID (OIDC)](/pt-BR/enterprise/security-access/sso/azure) ou [Okta (OIDC)](/pt-BR/enterprise/security-access/sso/okta). Em geral, recomendamos usar a integração nativa com OIDC sempre que possível, mas existem situações em que o SSO baseado em SAML é preferível.
</Note>

<div id="what-youll-need">
  ## O que você vai precisar
</div>

As seguintes informações são necessárias para configurar o SSO SAML para o Devin. Você as coletará durante as etapas de configuração abaixo e as enviará para sua equipe de conta na Cognition na etapa final.

* **Sign In URL** - O endpoint de SSO SAML do seu IdP (por exemplo, `https://idp.example.com/sso/saml`)
* **X509 Signing Certificate** - O certificado público que seu IdP usa para assinar as asserções SAML
* **Identity Provider Domains** - Todos os domínios de e-mail corporativos que irão autenticar por meio desse IdP (por exemplo, `example.com`, `subsidiary.example.com`)
* **Group Attribute Name** (se estiver usando grupos do IdP) - O nome do atributo SAML que seu IdP usa para enviar as associações a grupos

<div id="setup-instructions">
  ## Instruções de configuração
</div>

<div id="step-1-create-a-saml-application-in-your-idp">
  ### Etapa 1: Crie um aplicativo SAML no seu IdP
</div>

No console de administração do seu provedor de identidade, crie um novo aplicativo SAML 2.0 com as seguintes configurações:

| Configuração                             | Valor                                                                                              |
| :--------------------------------------- | :------------------------------------------------------------------------------------------------- |
| **ACS (Assertion Consumer Service) URL** | `https://auth.devin.ai/login/callback`                                                             |
| **Entity ID / Audience URI**             | Deixe em branco inicialmente — consulte a [Etapa 5](#step-5-complete-configuration-with-cognition) |
| **Name ID Format**                       | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` (recomendado) ou `persistent`             |
| **Name ID Value**                        | Endereço de e-mail do usuário                                                                      |
| **Signature Algorithm**                  | RSA-SHA256                                                                                         |
| **Digest Algorithm**                     | SHA256                                                                                             |
| **Response Binding**                     | HTTP-POST                                                                                          |

<div id="step-2-configure-saml-attributes">
  ### Etapa 2: Configurar atributos SAML
</div>

Certifique-se de que seu IdP envie os seguintes atributos na asserção SAML:

| Atributo SAML                                                          | Descrição                                                                   | Obrigatório |
| :--------------------------------------------------------------------- | :-------------------------------------------------------------------------- | :---------- |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` | Identificador único do usuário (geralmente o endereço de e-mail do usuário) | Sim         |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`   | Endereço de e-mail do usuário                                               | Sim         |
| `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`           | Nome de exibição do usuário                                                 | Recomendado |

<Note>
  Devin usa o atributo `nameidentifier` para identificar usuários. A maioria dos IdPs preenche esse atributo automaticamente a partir do valor **Name ID** do SAML. Se o seu IdP não enviar `nameidentifier` como um atributo separado, certifique-se de que o **Name ID Value** na Etapa 1 esteja definido como o endereço de e-mail do usuário.
</Note>

<div id="step-3-configure-group-assertions-required-for-idp-groups">
  ### Etapa 3: Configurar Declarações de Grupo (Obrigatório para Grupos do IdP)
</div>

<Warning>
  Se você quiser usar a [Integração de Grupos do IdP](/pt-BR/enterprise/security-access/idp-groups) para controle de acesso baseado em função no Devin, **você deve** configurar seu IdP para enviar o pertencimento a grupos na asserção SAML. Sem isso, os usuários serão autenticados com sucesso, mas os grupos do IdP não serão sincronizados.
</Warning>

Para habilitar a sincronização de grupos do IdP, configure um **atributo de grupo** no seu aplicativo SAML:

| Atributo SAML         | Valor                                     |
| :-------------------- | :---------------------------------------- |
| **Nome do atributo**  | `http://schemas.xmlsoap.org/claims/Group` |
| **Valor do atributo** | Pertencimento do usuário aos grupos       |

<Note>
  O nome exato do atributo pode variar dependendo do seu IdP. Nomes de atributo comuns para grupos incluem:

  * `http://schemas.xmlsoap.org/claims/Group`
  * `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`
  * `groups`
  * `memberOf`

  **Compartilhe o nome exato do atributo que você configurar com a equipe responsável pela sua conta na Cognition** para que possamos mapeá-lo corretamente do nosso lado.
</Note>

<div id="microsoft-entra-id-with-saml">
  #### Microsoft Entra ID com SAML
</div>

Se você estiver usando Microsoft Entra ID com SAML em vez da integração OIDC nativa:

1. No portal do Azure, vá para **Enterprise Applications** > seu app SAML > **Single sign-on**
2. Em **Attributes & Claims**, clique em **Add a group claim**
3. Selecione **Groups assigned to the application** (recomendado) ou **All groups**
4. Defina o **Source attribute** como um valor adequado à sua configuração (por exemplo, `sAMAccountName` ou `Display name`)
5. Anote o **Claim name** que o Azure gerar (por exemplo, `http://schemas.microsoft.com/ws/2008/06/identity/claims/groups`) e compartilhe-o com a sua equipe de conta da Cognition

<div id="other-saml-identity-providers">
  #### Outros provedores de identidade SAML
</div>

Para outros IdPs (ADFS, Ping Identity, OneLogin, etc.):

1. Adicione uma declaração de atributo de grupo à configuração do seu aplicativo SAML
2. Configure esse atributo para enviar os grupos aos quais o usuário pertence
3. Anote o nome exato do atributo e compartilhe-o com a equipe de contas da Cognition

<div id="step-4-send-configuration-to-cognition">
  ### Etapa 4: Enviar a configuração para a Cognition
</div>

Envie o seguinte para a equipe da sua conta na Cognition:

1. **URL de login (Sign In)** (por exemplo, `https://idp.example.com/sso/saml`)
2. **Certificado de Assinatura X509** (o arquivo de certificado público ou o texto em formato PEM)
3. **Domínios do Provedor de Identidade** (todos os domínios de e-mail associados a esse IdP)
4. **Nome do Atributo de Grupo** (se estiver usando grupos do IdP) — o nome exato do atributo SAML configurado na Etapa 3

<div id="step-5-complete-configuration-with-cognition">
  ### Etapa 5: Concluir a configuração com a Cognition
</div>

Depois de receber sua configuração, a equipe de contas da Cognition irá:

1. Criar a conexão SAML e fornecer a você o **Entity ID / Audience URI** e um **nome de conexão**
2. Mapear o atributo de grupo (se aplicável) para que os grupos do IdP sejam sincronizados automaticamente a cada login de usuário

Assim que você receber o Entity ID, atualize a configuração de **Entity ID / Audience URI** do seu aplicativo SAML com o valor fornecido.

<Note>
  Devin envia solicitações de autenticação SAML assinadas. Seu arquivo de metadados SAML estará disponível em:

  ```
  https://auth.devin.ai/samlp/metadata?connection=<connection_name>
  ```

  em que `<connection_name>` é o nome de conexão fornecido pela sua equipe de contas da Cognition. Importe esses metadados no seu IdP para concluir a configuração de confiança e habilitar a verificação da assinatura das solicitações.
</Note>

<div id="verifying-your-setup">
  ## Verificando sua configuração
</div>

Depois de atualizar o Entity ID e a equipe de conta da Cognition confirmar que a configuração está concluída:

1. Acesse a URL do seu Devin Enterprise (por exemplo, `https://<your_subdomain>.devinenterprise.com`)
2. Clique em **Sign in with SAML** (ou no botão de SSO equivalente) para iniciar o fluxo de autenticação
3. Você deve ser redirecionado para a página de login do seu IdP
4. Após a autenticação, você deve ser direcionado para a organização do seu Devin Enterprise

Para verificar se os grupos do IdP estão funcionando:

1. Vá para **Settings** > **IdP Groups** no aplicativo web do Devin
2. Você deve ver seus grupos do IdP listados depois que pelo menos um membro do grupo tiver feito login
3. Os grupos são sincronizados a cada login, portanto, quaisquer alterações de participação nos grupos no seu IdP entrarão em vigor na próxima vez que um usuário fizer login

<Note>
  Os grupos do IdP são buscados no login do usuário, portanto, alterações na participação nos grupos exigirão nova autenticação. Consulte [IdP Group Integration](/pt-BR/enterprise/security-access/idp-groups) para mais detalhes sobre como configurar o controle de acesso baseado em grupos.
</Note>
