> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Security

> Práticas e controles de segurança para o Devin em implantações federais.

<Info>
  Esta documentação se destina às implantações federais do Devin. [Voltar para a documentação do Devin](/pt-BR/get-started/devin-intro)
</Info>

Este guia descreve como criar, configurar, operar e desativar com segurança contas administrativas de nível superior no Devin Desktop. Ele abrange definições de funções administrativas, procedimentos do ciclo de vida das contas e todas as configurações de segurança controladas por administradores, com suas funções associadas, impactos na segurança e valores recomendados.

***

<div id="administrative-role-definitions">
  ## Definições de funções administrativas
</div>

O Devin Desktop usa um sistema de controle de acesso baseado em função (RBAC) para controlar os privilégios administrativos. As funções são gerenciadas no Admin Portal, na seção de Configurações de gerenciamento de funções, e podem ser atribuídas a usuários individuais.

<div id="built-in-roles">
  ### Funções nativas
</div>

O Devin Desktop oferece duas funções nativas que não podem ser excluídas.

| Função      | Descrição                                                                                                                                                                                                      | Permissões padrão                |
| ----------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------- |
| **Admin**   | Acesso administrativo completo às configurações da organização, gerenciamento de usuários, análises e controles de segurança. Este é o nível mais alto de privilégio que um usuário pode ter em uma equipe.    | Todas as permissões ativadas     |
| **Usuário** | Acesso padrão de usuário final, sem permissões administrativas. Os usuários podem acessar os recursos de programação do Devin Desktop, mas não podem visualizar nem modificar as configurações da organização. | Nenhuma permissão administrativa |

<div id="custom-roles">
  ### Funções personalizadas
</div>

Os administradores podem criar funções personalizadas para aplicar o princípio do privilégio mínimo. As funções personalizadas são compostas por permissões granulares selecionadas nas categorias abaixo. Para criar uma função personalizada, acesse o Admin Portal e abra a seção de gerenciamento de funções em Configurações.

<div id="permission-reference">
  ### Referência de permissões
</div>

A tabela abaixo lista todas as permissões disponíveis para atribuição de funções na implantação FedRAMP. Cada permissão controla o acesso a uma função administrativa específica.

| Categoria           | Permissão                | Descrição                                                                 |
| ------------------- | ------------------------ | ------------------------------------------------------------------------- |
| **Teams**           | Teams Read-Only          | Acesso somente leitura à página de gerenciamento de Teams                 |
| **Teams**           | Teams Update             | Permite atualizar as funções dos usuários na página de Teams              |
| **Teams**           | Teams Delete             | Permite remover usuários da página de Teams                               |
| **Analytics**       | Analytics Read           | Acesso de leitura à página de análises e aos dashboards                   |
| **Attribution**     | Attribution Read         | Acesso de leitura à página de atribuição                                  |
| **License**         | License Read             | Acesso de leitura à página de licença                                     |
| **SSO**             | SSO Read                 | Acesso de leitura à página de configuração de SSO                         |
| **SSO**             | SSO Write                | Permite configurar e modificar as configurações do provedor de SSO        |
| **Service Key**     | Service Key Read         | Acesso de leitura à página de chaves de serviço                           |
| **Service Key**     | Service Key Create       | Permite criar novas chaves de serviço para acesso à API                   |
| **Service Key**     | Service Key Update       | Permite modificar chaves de serviço existentes                            |
| **Service Key**     | Service Key Delete       | Permite revogar e excluir chaves de serviço                               |
| **Role Management** | Role Read                | Acesso de leitura à aba de funções em Configurações                       |
| **Role Management** | Role Create              | Permite criar novas funções                                               |
| **Role Management** | Role Update              | Permite modificar definições de funções existentes                        |
| **Role Management** | Role Delete              | Permite excluir funções                                                   |
| **External Chat**   | External Chat Management | Permite modificar configurações de modelos de chat externo                |
| **Indexing**        | Indexing Read            | Acesso de leitura à página de configuração de indexação                   |
| **Indexing**        | Indexing Create          | Permite criar novos índices                                               |
| **Indexing**        | Indexing Update          | Permite atualizar repositórios indexados existentes                       |
| **Indexing**        | Indexing Delete          | Permite excluir índices                                                   |
| **Indexing**        | Indexing Management      | Permite realizar o gerenciamento e a limpeza do banco de dados de índices |
| **Fine-Tuning**     | Fine-Tuning Read         | Acesso de leitura à página de ajuste fino                                 |
| **Fine-Tuning**     | Fine-Tuning Create       | Permite criar jobs de ajuste fino                                         |
| **Fine-Tuning**     | Fine-Tuning Update       | Permite atualizar jobs de ajuste fino                                     |
| **Fine-Tuning**     | Fine-Tuning Delete       | Permite excluir jobs de ajuste fino                                       |

<Note>Várias dessas permissões (como Attribution, License, SSO, Indexing e Fine-Tuning) existem no sistema RBAC, mas as páginas correspondentes no portal não estão disponíveis na implantação multitenant do FedRAMP. Essas permissões estão incluídas na UI de gerenciamento de funções para fins de completude, mas não concedem acesso a nenhum recurso ativo neste ambiente.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procedimentos do ciclo de vida da conta administrativa
</div>

Esta seção descreve o ciclo de vida completo de uma conta administrativa principal, desde a criação inicial até a desativação.

<div id="account-setup">
  ### Configuração da conta
</div>

O **onboarding via SSO** é o principal método de provisionamento na implantação FedRAMP. A plataforma oferece suporte a OIDC e SAML 2.0 para integração com SSO (Single Sign-On). Os usuários se autenticam por meio do provedor de identidade configurado e, após o primeiro login, que cria sua conta, um administrador atribui a função apropriada pelo Admin Portal. Observe que a integração com SSO no ambiente FedRAMP exige coordenação com a equipe FedRAMP do Devin Desktop e não pode ser configurada de forma self-service.

Toda nova conta de administrador deve ser configurada de acordo com o princípio do privilégio mínimo. Prefira funções personalizadas com apenas as permissões necessárias para as responsabilidades do administrador, em vez de atribuir a função Admin completa, a menos que o usuário precise de acesso total ao sistema.

<div id="authentication-and-mfa-requirements">
  ### Requisitos de autenticação e MFA
</div>

A implantação FedRAMP usa exclusivamente SSO, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail e senha não está disponível. Todos os usuários devem se autenticar por meio do provedor de identidade configurado.

A Autenticação Multifator (MFA) é imposta por meio do provedor de identidade da organização. O Devin Desktop herda as políticas de MFA configuradas no IdP conectado, o que significa que todos os requisitos de segurança de autenticação (como exigir um segundo fator, autenticadores resistentes a phishing ou políticas de acesso condicional) são definidos no nível do IdP. As organizações devem configurar seu IdP para exigir MFA de todos os usuários que acessam o aplicativo Devin Desktop, especialmente para contas com funções administrativas.

<Warning>O Devin Desktop recomenda fortemente exigir MFA para todas as contas administrativas. Configure seu provedor de identidade para impor MFA como condição de acesso ao aplicativo Devin Desktop.</Warning>

<div id="account-setup">
  ### Configuração da conta
</div>

Após a criação de uma conta administrativa, as etapas de configuração a seguir devem ser concluídas.

**Atribuição de funções** determina o escopo do acesso administrativo da conta. Atribua funções pelo Admin Portal, navegando até a aba Manage Team, localizando o usuário, clicando em Edit e selecionando a função adequada no menu suspenso. As alterações entram em vigor imediatamente.

**Gerenciamento de chaves de serviço** é necessário quando o administrador precisa de acesso à API para automação ou análises. As chaves de serviço são criadas em Configurações com permissões delimitadas de acordo com o uso pretendido da chave. Cada chave de serviço deve receber um nome descritivo (por exemplo, "Analytics Dashboard") e ser atribuída a uma função com as permissões mínimas necessárias.

<div id="account-operation">
  ### Operação da conta
</div>

As práticas operacionais contínuas para contas administrativas incluem o seguinte.

**Revisões regulares de acesso** devem ser realizadas para verificar se as contas administrativas ainda precisam do nível de acesso atual. Revise periodicamente a lista de usuários com a função Admin na aba Manage Team e ajuste as funções conforme as responsabilidades mudarem.

**O monitoramento de atividades** está disponível por meio dos dashboards de análises nativos. Administradores com a permissão Analytics Read podem acompanhar a atividade dos usuários, métricas de engajamento e o uso de funcionalidades. A Analytics API fornece acesso programático a esses dados para integração com sistemas de monitoramento externos.

**A rotação de chaves de serviço** deve ser realizada regularmente. Para fazer a rotação de uma chave, crie uma nova chave de serviço com as mesmas permissões, atualize o sistema consumidor para usar a nova chave e, em seguida, exclua a chave antiga.

<div id="account-decommissioning">
  ### Desativação de conta
</div>

Quando um administrador não precisar mais de acesso, a conta deve ser desativada imediatamente, seguindo o procedimento abaixo.

<Steps>
  <Step title="Revogar função administrativa">
    Acesse o Admin Portal, abra a aba Manage Team, localize o usuário, clique em Edit e altere a função dele de Admin para usuário (ou para uma função personalizada sem permissões administrativas).
  </Step>

  <Step title="Revogar chaves de serviço">
    Exclua todas as chaves de serviço criadas pelo administrador que está saindo ou usadas exclusivamente por ele. Acesse Configurações, depois Service Key, e exclua as chaves relevantes.
  </Step>

  <Step title="Remover ou desativar a conta">
    Remova o usuário pela aba Manage Team clicando em Delete ao lado do nome dele. Isso desativará a conta do usuário no Devin Desktop e liberará a licença atribuída a ele.
  </Step>

  <Step title="Revisar acesso residual">
    Verifique se a conta desativada não aparece mais em nenhuma função administrativa conferindo a lista de usuários da Manage Team filtrada pela função Admin. Confirme que todas as chaves de serviço associadas à conta foram excluídas.
  </Step>
</Steps>

<Warning>Desative contas administrativas imediatamente quando um administrador mudar de função ou sair da organização. Adiar a desativação cria um risco de segurança desnecessário.</Warning>

***

<div id="security-settings-reference">
  ## Referência das configurações de segurança
</div>

A tabela abaixo documenta todas as configurações de segurança controladas por administradores disponíveis no Admin Portal da implantação FedRAMP. Cada entrada descreve a função da configuração, seu impacto na segurança e a configuração recomendada para uma implantação com foco em segurança.

| Setting                                         | Function                                                                                                                                                                                                                                                                                                 | Security impact                                                                                                                                                                                                                       | Recommended value                                                                                                                                                                                             |
| ----------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Controle de acesso baseado em função (RBAC)** | Controla quais ações administrativas cada usuário pode executar com base na função e nas permissões atribuídas. Gerenciado na seção de gerenciamento de funções em Configurações.                                                                                                                        | Limita a área de impacto de contas comprometidas ao restringir as permissões apenas ao que cada usuário precisa. Atribuições de funções excessivamente amplas aumentam o impacto potencial do comprometimento de uma única conta.     | **Configure com privilégio mínimo.** Crie funções personalizadas apenas com as permissões de que cada administrador precisa. Reserve a função nativa Admin para um pequeno número de administradores.         |
| **Permissões de chave de serviço**              | Define escopos de tokens de acesso da API para conjuntos específicos de permissões, controlando quais operações os sistemas automatizados podem executar. Gerenciado na seção Service Key em Configurações.                                                                                              | Chaves de serviço com permissões excessivas podem ser exploradas se vazarem, concedendo acesso não autorizado ao gerenciamento de usuários, análises ou outras funções.                                                               | **Restrinja ao mínimo de permissões necessárias.** Crie chaves de serviço dedicadas para cada integração, apenas com as permissões de que essa integração precisa. Faça a rotação das chaves regularmente.    |
| **Configuração do provedor de SSO**             | Configura o provedor de identidade usado para toda a autenticação de usuários, com suporte aos protocolos OIDC e SAML 2.0. A autenticação por e-mail/senha não está disponível. A configuração de SSO exige coordenação com a equipe FedRAMP do Devin Desktop. Gerenciado na seção SSO em Configurações. | Centraliza a autenticação por meio do IdP da organização, permitindo aplicar MFA, acesso condicional e políticas de sessão. Uma configuração incorreta pode bloquear o acesso de todos os usuários ou permitir acesso não autorizado. | **Configure com o provedor de identidade aprovado pela sua organização (OIDC ou SAML 2.0).** Verifique a configuração testando o login com uma conta não administrativa antes de disponibilizá-la amplamente. |

*Última atualização: 28 de janeiro de 2026*
