跳转到主要内容

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

概览

自定义角色和 RBAC 使你能够对 Devin 应用的访问进行精细化控制。Enterprise 管理员可以创建具有特定权限的自定义角色,并将其分配给用户或 IdP 组,从而对用户在你的 Devin Enterprise 部署中可执行的操作进行精细化管控。 Devin Enterprise 实现了一个具有不同范围和能力的两级角色体系:组织级角色和账户级角色。

创建和分配自定义角色

只有 Enterprise 管理员或拥有 Manage Account Membership 权限的用户可以配置自定义角色。前往 Enterprise 设置并选择“Roles”选项卡,以管理组织级和账户级角色。
Devin
要创建自定义角色:
  1. 前往 Enterprise Settings > Roles
  2. 在 Organization 或 Enterprise 级别点击“Create a custom role”
  3. 输入一个具有清晰描述性的角色名称
  4. 选择你希望授予的具体权限
  5. 保存角色
创建完成后,可以通过成员管理界面将自定义角色分配给单个用户或 IdP 组:
  • Enterprise 管理员或拥有 Manage Account Membership 权限的用户可以前往 Enterprise 设置中的“Enterprise members”页面并分配账户级角色
    • 请注意,能够创建、编辑和删除自定义角色的也是这一同一批用户
  • Organization 管理员或拥有 Manage Organization Membership 权限的用户可以前往“Organization members”页面并分配组织级角色
    • 请注意,这些用户只能在组织级别分配自定义角色,而创建、编辑或删除自定义角色则需要具备 Manage Account Membership (Enterprise 级) 权限
我们目前尚不支持为单个用户分配多个角色,但此功能已在我们的路线图中,计划很快支持。当前每位用户在每个组织中只能被分配一个角色,以及一个账户级角色。

组织级角色

组织级角色是在每个组织内单独分配的,不会应用到被分配组织之外的其他组织。这些角色控制在特定组织内对资源和操作的访问。 组织级角色可以配置以下权限:
PermissionDescription
Use DeepWiki访问 DeepWiki 功能
Use Ask Devin访问 Ask Devin 功能
Use Devin Sessions创建和使用 Devin 会话
Manage Membership添加/移除用户和群组,分配或取消分配权限角色
Manage Settings管理组织级设置
Manage Playbooks创建/编辑/删除组织 Playbook
Manage Secrets创建/编辑/删除组织 Secret
Manage Knowledge创建/编辑/删除组织 Knowledge
Manage Snapshots创建/编辑/删除机器快照
Index Repositories为 AskDevin 和 DeepWiki 的生成建立代码仓库索引
Manage Sessions编辑组织中其他用户的 Devin 会话
View Sessions查看组织中其他用户的 Devin 会话
Manage API Keys创建/删除/使用 API key
Manage MCP Servers创建/编辑/删除 MCP 服务器
View Metrics查看组织级指标
View Consumption查看组织整体用量
用户可以基于特定的权限集合创建自定义角色,或者使用我们提供的三个默认组织角色之一:
  • Admin:在组织内拥有完整管理权限
  • Member:具有核心功能的标准用户访问权限
  • DeepWiki Only:访问仅限 DeepWiki 和 AskDevin 相关功能,包括代码仓库索引权限
Devin

账户级角色 (企业级角色)

账户级角色 (也称为企业级角色) 是在整个企业范围内分配的,并适用于该企业下的每个组织。具有账户级角色的用户,会在其所属的所有组织中自动继承相应的组织级权限。 账户级角色可以配置以下权限:
PermissionDescription
Manage Organizations查看/创建/编辑/删除企业组织
Manage Account Membership查看/创建/编辑/删除企业和组织层级的成员关系。创建/编辑/删除自定义角色
Manage Enterprise Settings查看/编辑企业和组织层级的设置
Manage Git Integrations创建/编辑/删除 Git 集成 (GitHub、GitLab、ADO、Bitbucket) 。管理仓库权限和仓库索引
Manage Chat Integrations创建/编辑/删除聊天工具集成,例如 Microsoft Teams 或 Slack
Manage Ticket Integrations创建/编辑/删除工单系统集成,例如 Jira 或 Linear
Use Account Tools在任意组织中使用 Devin 会话、Ask Devin 和 DeepWiki
Manage Account Resources在任意组织中创建/编辑/删除 playbook、secret 和 Knowledge
Manage Account Snapshots在任意组织中创建/编辑/删除机器快照。管理账户级快照并为仓库建立索引
Index Account Repositories在整个企业范围内为 AskDevin 和 DeepWiki 的生成建立代码仓库索引
Manage Sessions在任意组织中编辑其他用户的 Devin 会话
View Sessions在任意组织中查看其他用户的 Devin 会话
View Enterprise Infra Details查看企业基础设施详细信息
Manage Account API Keys在企业和任意组织中创建/编辑/删除/使用 API key
Manage Account MCP Servers在任意组织中创建/编辑/删除 MCP 服务器
View Account Metrics查看企业级指标
Manage Billing查看/编辑企业的用量与计费
Use Devin Review (manual)访问 Devin Review,并在任意 PR 上手动触发审查。基础层级——查看 Review 选项卡所必需的权限
Use Devin Review (on PR creation)包含手动层级的全部能力,此外还会在创建 PR 或将草稿标记为 ready for review 时自动触发审查
Use Devin Review对每次 push 执行完整的自动审查——在创建 PR、添加新提交、将草稿标记为 ready for review,以及添加 reviewer/assignee 时触发审查。默认授予所有成员和管理员
Manage Devin ReviewSettings > Review 中管理自动审查设置、发布选项、审查规则及其他管理员配置。独立于上述用量层级——本身不会授予 Review 访问权限
用户可以基于特定的权限集合创建自己的自定义角色,或者使用我们提供的两个默认账户角色之一:
  • Admin:对整个企业拥有完整的管理访问权限
  • Member:对企业中所有组织拥有标准用户访问权限
Devin

基于 SSO IdP 组自动分配角色

您可以根据用户在身份提供商 (IdP) 中的组自动为其分配角色。这可以简化用户访问控制,确保用户在完成认证后自动获得正确的权限。
  1. 前往 Enterprise Settings > Members
  2. 配置 IdP 组映射,将组名与特定角色关联
  3. 当用户通过 SSO 进行认证时,他们会自动获得分配给其 IdP 组的角色
您的 SSO 提供商必须在 SSO 断言中发送 groups 数组。有关详细的设置说明,请参阅 IdP Group Integration

最佳实践

  • 最小权限原则:仅为用户授予完成其职责所必需的最低权限
  • 使用 IdP 组:利用 IdP 组集成,在大规模场景下更高效地管理角色分配
  • 定期审计:定期审查角色分配和权限,确保其始终合理
  • 具有描述性的命名:为自定义角色使用清晰、具有描述性的名称,使其用途一目了然
  • 文档记录:维护内部文档,记录自定义角色及其预期使用场景

常见问题

如果某个用户没有获得预期的权限:
  • 确认该用户是否已被分配到该组织中正确的角色
  • 确认该角色已配置所需的权限
如需角色配置方面的更多帮助,请联系你的 Devin Enterprise 管理员,或联系 support