この機能は Enterprise ユーザーのみが利用できます。
この機能は Cognition Platform プランには適用されません。Cognition Platform の場合、SSO の設定と管理は Cognition Platform の設定で行ってください。
- Google SSO(シングルサインオン)
- Microsoft Entra ID
- Okta SSO(シングルサインオン)
- Microsoft Entra ID SCIM
- Okta SCIM
- SCIM API
- デュオ
- PingID
Devin Desktop が、SAML 経由の SSO (シングルサインオン) によるサインインに対応しました。組織で Microsoft Entra、Okta、Google Workspaces、または SAML をサポートするその他のアイデンティティ プロバイダーを利用している場合は、Devin Desktop で SSO を利用できます。
Devin Desktop でサポートされているのは SP 開始の SSO のみです。IdP 開始の SSO は現在サポートされていません。
IdP アプリケーションを設定する
Google 管理コンソール (admin.google.com) で、左側の Apps -> Web and mobile apps をクリックします。Windsurf と入力し、Next をクリックします。次の画面 (Google Identity Provider details) には、Devin Desktop の SSO 設定 (https://windsurf.com/team/settings) にコピーする必要がある情報が表示されます。- Google のコンソールページの SSO URL を、Devin Desktop の設定画面の SSO URL にコピーします
- Google のコンソールページの Entity ID を、Devin Desktop の設定画面の Idp Entity ID にコピーします
- Google のコンソールページの Certificate を、Devin Desktop の設定画面の X509 Certificate にコピーします
- Google のコンソールページで Continue をクリックします
- Codeium の設定ページの Callback URL を、Google のコンソールページの ACS URL にコピーします
- Codeium の設定ページの SP Entity ID を、Google のコンソールページの SP Entity ID にコピーします
- Name ID の形式を EMAIL に変更します
- Google のコンソールページで Continue をクリックします
- Add Mapping をクリックし、First name を選択して、App attributes を firstName に設定します
- Add Mapping をクリックし、Last name を選択して、App attributes を lastName に設定します
- Finish をクリックします
Devin Desktop Enterprise で、SAML 経由の SSO (シングルサインオン) サインインが利用できるようになりました。組織で Microsoft Entra ID (旧称 Azure AD) を利用している場合は、Devin Desktop で SSO を利用できます。
Devin Desktop でサポートされているのは SP 開始の SSO のみで、IdP 開始の SSO は現在サポートされていません。
パート 1: Microsoft Entra ID で Enterprise Application を作成する
このセクションのすべての手順は、Microsoft Entra ID 管理センターで行います。
- Microsoft Entra ID で、Add をクリックし、次に Enterprise Application をクリックします。
- Create your own application をクリックします。
- アプリケーション名を Devin Desktop にし、Integrate any other application you don’t find in the gallery を選択してから、Create をクリックします。
パート 2: Microsoft Entra ID で SAML とユーザー属性を設定する
このセクションのすべての手順は、Microsoft Entra ID 管理センターで行います。
- 新しく作成した Devin Desktop アプリケーションで、Set up single sign on をクリックし、次に SAML をクリックします。
- Basic SAML Configuration の Edit をクリックします。
- この Entra ID のタブは開いたままにして、新しいタブを開き、https://windsurf.com/team/settings の Devin Desktop Teams SSO settings に移動します。
-
Microsoft Entra ID の SAML 設定フォームで、次のように設定します:
- Identifier (Entity ID): Devin Desktop SSO settings page から SP Entity ID の値をコピーします
- Reply URL (Assertion Consumer Service URL): Devin Desktop SSO settings page から Callback URL の値をコピーします
- 上部の Save をクリックします
- 名前が正しく表示されるよう、ユーザー属性を設定します。Microsoft Entra ID の Attributes & Claims で、Edit をクリックします。
-
Add new claim をクリックして、次の claim を 2 つ作成します:
- 1 つ目の claim: Name =
firstName, Source attribute =user.givenname - 2 つ目の claim: Name =
lastName, Source attribute =user.surname
- 1 つ目の claim: Name =
パート 3: Devin Desktop Portal で SSO 設定を行う
設定は Devin Desktop portal (https://windsurf.com/team/settings) で完了してください。
-
Devin Desktop SSO settings page で、次のように設定します:
- Pick your SSO ID: チームのログインポータル用に一意の識別子を選択します (これは後から変更できません)
- IdP Entity ID: Microsoft Entra ID の Set up Devin Desktop → Microsoft Entra Identifier から値をコピーします
IdP Entity ID の URL は末尾が
/で終わっている必要があります (例:https://sts.windows.net/{tenant-id}/) 。URL に末尾のスラッシュが含まれていない場合は、手動で追加してください。 - SSO URL: Microsoft Entra ID から Login URL の値をコピーします
- X509 Certificate: Microsoft Entra ID から SAML certificate (Base64) をダウンロードし、ファイルを開いて、そのテキスト内容をここに貼り付けます
- Devin Desktop portal で、Enable Login with SAML をクリックし、次に Save をクリックします。
- 設定をテストする: Test Login をクリックし、SSO 設定が想定どおりに機能することを確認します。
重要: ログインのテストが正常に完了するまで、Devin Desktop の設定ページからログアウトしたり、ページを閉じたりしないでください。テストに失敗した場合は、先に進む前に設定のトラブルシューティングが必要になることがあります。
Devin Desktop Enterprise で、SAML 経由の Single Sign-On (SSO) によるサインインがサポートされるようになりました。組織で Microsoft Entra、Okta、Google Workspace、または SAML をサポートするその他の ID プロバイダーを利用している場合は、Devin Desktop で SSO を利用できます。
Devin Desktop でサポートされているのは SP 開始の SSO のみです。IDP 開始の SSO は現在サポートされていません。
IDP アプリケーションを設定する
左側のサイドバーで Applications をクリックし、次に Create App Integration をクリックします- Single sign-on URL を https://auth.windsurf.com/__/auth/handler に設定
- Audience URI (SP Entity ID) を www.codeium.com に設定
- NameID format を EmailAddress に設定
- Application username を Email に設定
Okta を SAML プロバイダーとして登録する
カスタム SAML アプリケーションの Sign on タブにリダイレクトされます。次に、このページの情報を Devin Desktop の SSO 設定に入力します。- https://windsurf.com/team/settings を開き、Configure SAML をクリックします
- Okta のアプリケーションページで ‘Issuer’ の後ろにあるテキストをコピーし、Idp Entity ID に貼り付けます
- Okta のアプリケーションページで ‘Sign on URL’ の後ろにあるテキストをコピーし、SSO URL に貼り付けます
- Signing Certificate をダウンロードし、X509 certificate に貼り付けます
- Enable Login with SAML をチェックしてから Save をクリックします
- Test Login ボタンでログインをテストします。成功メッセージが表示されるはずです:
注意事項
Devin Desktop は現在、IDP 開始のログインフローをサポートしていません。また、OIDC にもまだ対応していません。トラブルシューティング
Login with SAML config failed: Firebase: Error (auth/operation-not-allowed)
Login with SAML config failed: Firebase: SAML Response <Issuer> mismatch. (auth/invalid-credential)
Failed to verify the signature in samlresponse
これは、X509 certificate の値が正しくないことを示しています。正しいキーをコピーしており、次の形式になっていることを確認してください:-----BEGIN CERTIFICATE-----
value
------END CERTIFICATE------
Devin Desktop は、Microsoft Entra ID とのユーザーおよびグループの SCIM 同期をサポートしています。SCIM 同期を利用するために SSO (シングルサインオン) を設定する必要はありませんが、設定することを強く推奨します。必要なもの:
- Microsoft Entra ID への管理者アクセス
- Devin Desktopへの管理者アクセス
- Entra ID 上の既存の Devin Desktop Application (通常は既存の SSO (シングルサインオン) アプリケーション)
サービスキーに必要な権限SCIMプロビジョニングに利用するサービスキーには、次の権限が必要です。
- Team User Read - ユーザーおよびグループの情報を読み取るために必要
- Team User Update - ユーザーおよびグループを作成・更新するために必要
- Team User Delete - ユーザーおよびグループを無効化または削除するために必要
ステップ1: SCIM権限を持つロールを作成する
SCIMプロビジョニングを設定する前に、必要な権限を持つロールを作成する必要があります。- Windsurf チーム設定に移動します
- “その他の設定” で、ロール管理 の横の 設定 をクリックします
- 「Add Role」をクリックし、名前を”SCIM Provisioning”に設定します
- 以下の権限を追加してください:
- Team ユーザーの閲覧
- Team ユーザーの更新
- Team ユーザーの削除
- Save をクリックします
Step 2: 既存の Devin Desktop Application に移動する
AzureでMicrosoft Entra IDに移動し、左サイドバーの「Enterprise applications」をクリックして、一覧に表示されている既存のDevin Desktopアプリケーションをクリックします。ステップ3: SCIMプロビジョニングの設定
中央の「Provision User Accounts」の下にある「Get started」をクリックし (ステップ3) 、もう一度「Get started」をクリックします。ステップ4: SCIMプロビジョニングの設定
「保存」をクリックすると、プロビジョニングページに新しいオプション「マッピング」が表示されます。「マッピング」を展開して、「Provision Microsoft Entra ID Users」をクリックします。NOT([IsSoftDeleted])
Devin Desktop は、Okta を使用したユーザーおよびグループの SCIM 同期をサポートしています。SCIM 同期を利用するために SSO (シングルサインオン) を設定する必要はありませんが、設定することを強く推奨します。必要なもの:
- Okta への Admin アクセス
- Devin Desktop への Admin アクセス
- Okta 上に既存の Devin Desktop Application があること (通常は既存の SSO アプリケーション)
Step 1: 既存の Devin Desktop Application に移動する
Okta に移動し、左側のサイドバーで Applications、Applications の順にクリックしてから、アプリケーション一覧で既存の Devin Desktop application をクリックします。Step 2: SCIM Provisioning を有効にする
General タブの App Settings で、右上の Edit をクリックします。次に、‘Enable SCIM Provisioning’ チェックボックスをオンにし、Save をクリックします。上部に新しい provisioning タブが表示されます。続いて provisioning に移動し、Edit をクリックして、以下の項目を入力します:SCIM connector base URL: https://server.codeium.com/scim/v2Unique identifier field for users: emailSupported provisioning actions: Push New Users, Push Profile Updates, Push GroupsAuthentication Mode: HTTP HeaderHTTP Header - Authorization には、次の手順で token を生成して入力できます- https://windsurf.com/team/settings にアクセスし、Service Key Configuration を開く
- Configure をクリックし、次に Add Service Key をクリックして、APIキーに名前を付ける
- APIキーをコピーし、Okta に戻って HTTP Header - Authorization に貼り付ける
Step 3: Provisioning を設定する
provisioning タブの左側に、新しく 2 つのタブが表示されます。To App をクリックし、Edit Provisioning to App をクリックします。Create Users、Update User Attributes、Deactivate Users のチェックボックスをオンにして、Save をクリックします。この手順の後、グループに割り当てられているすべてのユーザーが Devin Desktop に同期されます。Step 4: Group Provisioning を設定する (任意)
グループを Devin Desktop に同期するには、どのグループを push するかを指定する必要があります。アプリケーション画面で、上部の Push Groups タブをクリックします。次に、+ Push Groups -> Find Groups by name をクリックします。追加するグループ名で絞り込み、Push group memberships immediately がオンになっていることを確認してから、Save をクリックします。グループが作成され、グループのメンバーが Devin Desktop に同期されます。作成したグループは、その後 analytics ページでグループ別の analytics の絞り込みに利用できます。このガイドでは、SCIM APIを使用してDevin Desktopでグループを作成・管理する方法を説明します。Identity Provider (Azure/Okta) を使用せず、手動でグループをプロビジョニングしたい場合があります。Devin Desktop がアクセスできない別の社内ソース (HRウェブサイト、ソースコード管理ツールなど) からグループをプロビジョニングしたい企業や、Identity Provider が提供する機能よりも細かくグループを管理したい企業が該当します。そのような場合、HTTPリクエスト経由のAPIを使用してグループを作成できます。以下に、CURLを使用したHTTPリクエストの使用例を示します。主要なAPIは5つあります:Create Group、Add group members、Replace group members、Delete Group、List Users in a Groupです。まず最初にグループを作成し、次にグループを置き換えてメンバーを含むグループを作成する必要があります。グループ名にスペースなどの特殊文字が含まれる場合は、グループ名をURLエンコードする必要があります。たとえば、‘Engineering Group’ というグループ名はURLでは ‘Engineering%20Group’ と指定してください。ユーザーをグループに追加するには、事前に Devin Desktop でアカウントを作成しておく必要があります (SCIM 経由、または手動でのアカウント作成) 。ユーザーのCLIアクセスを無効にします (再有効化するには 名前を更新:
グループの作成
curl -k -X POST https://server.codeium.com/scim/v2/Groups -d '{
"displayName": "<group name>",
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:Group"]
}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
グループメンバーの追加
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "add",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
グループメンバーの置き換え
curl -X PATCH https://server.codeium.com/scim/v2/Groups/<group name> -d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations":[
{
"op": "replace",
"path":"members",
"value": [{"value": "<email 1>"}, {"value": "<email 2>"}]
}]}' -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
グループの削除
curl -X DELETE https://server.codeium.com/scim/v2/Groups/<group name> -H "Authorization: Bearer <api secret key>" -H "Content-Type: application/scim+json"
グループの一覧表示
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups"
グループ内のユーザーを一覧表示する
curl -X GET -H "Authorization: Bearer <api secret key>" "https://server.codeium.com/scim/v2/Groups/<group_id>"
ユーザーAPI
ユーザー向けのAPIも利用できます。以下は、Devin Desktopがサポートする主なSCIM APIの一覧です。ユーザーを無効にする (有効にするには false を true に置き換えてください) :curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": false
}
]
}'
cliActive を true に設定します) :curl -X PATCH \
https://server.codeium.com/scim/v2/Users/<user api key> \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "cliActive",
"value": false
}
]
}'
cliActive 属性は、ユーザーが Devin CLI にアクセスできるかどうかを制御します。この属性は active 属性とは独立しており、CLI アクセスを無効にしても、ユーザーのシートや他の Devin Desktop 製品へのアクセスには影響しません。ユーザーに cliActive が設定されていない場合、チームのデフォルト CLI アクセスポリシーが適用されます。ユーザーを作成する:curl -X POST \
https://server.codeium.com/scim/v2/Users \
-H 'Content-Type: application/scim+json' \
-H 'Authorization: Bearer <api secret key>' \
-d '{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "<email>",
"displayName": "<full name>",
"active": true
}'
curl -X PATCH \
'https://<enterprise portal url>/_route/api_server/scim/v2/Users/<user api key>' \
-H 'Authorization: Bearer <service key>' \
-H 'Content-Type: application/scim+json' \
-d '{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "Replace",
"path": "displayName",
"value": "<new name>"
}
]
}'
APIシークレットキーの作成
https://windsurf.com/team/settings にアクセスします。「Service Key Configuration」の下にある「Add Service Key」をクリックします。任意のキー名 (例:「Azure Provisioning Key」) を入力し、「Create Service Key」をクリックします。生成されたキーをコピーして保存してください。このキーを利用して上記のAPIを認証できます。前提条件
このガイドでは、Duo が設定済みで組織の IdP として機能しているか、または外部 IdP が設定済みであることを前提としています。Duo と Devin Desktop の両方のアカウントに対する管理者権限が必要です。Devin Desktop 向けに Duo を設定する
- Applications に移動し、Generic SAML service provider を追加します
- チーム設定 の SSO (シングルサインオン) に移動します
- 初めて SAML を有効にする際は、SSO ID の設定が必要です。この ID は後から変更できません。 組織名またはチーム名を英数字のみで設定することを推奨します。
-
Duo ポータルから
Entity IDの値をコピーし、Devin Desktop ポータルのIdP Entity IDフィールドに貼り付けます。 -
Duo ポータルから
Single Sign-On URLの値をコピーし、Devin Desktop ポータルのSSO URLフィールドに貼り付けます。 -
Duo ポータルから証明書の値をコピーし、Devin Desktop ポータルの
X509 Certificateフィールドに貼り付けます
-
Devin Desktop ポータルから
SP Identity IDの値をコピーし、Duo ポータルのEntity IDフィールドに貼り付けます。 -
Devin Desktop ポータルから
Callback URL (Assertion Consumer Service URL)をコピーし、Duo ポータルのAssertion Consumer Service (ACS) URLフィールドに貼り付けます。 - Duo ポータルで、属性ステートメントを次のように設定します。
- テストできるように、Devin Desktop ポータルで SAML ログインを有効にします。
- テストが正常に完了したら、ログアウトしてかまいません。これで、手順 3 で設定した SSO ID を使用してチーム/組織ページにアクセスする際に、SSO サインインを利用できるようになります。
前提条件
このガイドは、PingID が設定済みで組織の IdP として機能している、または外部 IdP が設定されていることを前提としています。PingID と Devin Desktop の両方のアカウントに対する管理者権限が必要です。Devin Desktop 用に PingID を設定する
- Applications に移動し、Devin Desktop を SAML アプリケーションとして追加します
- チーム設定の SSO に移動します
- 初めて SAML を有効にする際は、SSO ID を設定する必要があります。この ID は後から変更できません。
- PingID で構成を手動入力するオプションを選択し、以下の値を各項目に入力します。
- ACS URLs - Devin Desktop ポータルの
Callback URL (Assertion Consumer Service URL)を入力します。 - Entity ID - Devin Desktop ポータルの
SP Entity IDを入力します。
-
PingID の
Issuer IDを、Devin Desktop ポータルのIdP Entity IDにコピーします。 -
PingID の
Single Signon Serviceの値を、Devin Desktop ポータルのSSO URLにコピーします。 -
PingID から Signing Certificate を X509 PEM (.crt) 形式でダウンロードし、ファイルを開いてその内容を Devin Desktop ポータルの
X509 Certificateにコピーします。
- 属性マッピングで、以下が設定されていることを確認します。
saml_subject- Email AddressfirstName- Given NamelastName- Family Name
- 構成や組織に応じて、必要なその他のポリシーやアクセス設定を追加または編集します
- Devin Desktop ポータルで SAML ログインを有効にし、テストできるようにします。
- テストが正常に完了したら、ログアウトできます。以降は、手順 3 で設定した SSO ID を使ってチーム/組織ページにアクセスする際に、SSO (シングルサインオン) でサインインできます。