自定义角色和 RBAC 让你能够精细化控制对 Devin 应用的访问权限。企业管理员可以创建具有特定权限的自定义角色,并将其分配给用户或 IdP 组,从而对用户在你的 Devin Enterprise 部署中可以执行的操作进行细粒度管控。
Devin Enterprise 实现了一个具有不同作用域和功能的双层角色体系:组织级角色和账户级角色。
组织级角色是按组织分别分配的,在所分配的组织之外不生效。这些角色用于控制在特定组织内对资源和操作的访问。
组织级角色可以配置以下权限:
| Permission | Description |
|---|
| Use DeepWiki | 访问 DeepWiki 功能 |
| Use Ask Devin | 访问 Ask Devin 功能 |
| Use Devin Sessions | 创建和使用 Devin 会话 |
| Manage Membership | 添加/移除用户和用户组,分配或取消分配权限角色 |
| Manage Settings | 管理组织级设置 |
| Manage Playbooks | 创建/编辑/删除组织级 Playbook |
| Manage Secrets | 创建/编辑/删除组织级 Secret |
| Manage Knowledge | 创建/编辑/删除组织级知识 |
| Manage Snapshots | 创建/编辑/删除机器快照 |
| Index Repositories | 为 AskDevin 和 DeepWiki 构建代码仓库索引 |
| Manage Sessions | 编辑组织中其他用户的 Devin 会话 |
| View Sessions | 查看组织中其他用户的 Devin 会话 |
| Manage API Keys | 创建/删除/使用 API 密钥 |
| Manage MCP Servers | 创建/编辑/删除 MCP 服务器 |
| View Metrics | 查看组织级指标 |
| View Consumption | 查看组织级用量 |
- Admin: 拥有组织内的完整管理权限
- Member: 拥有核心功能的标准用户权限
- DeepWiki Only: 访问受限,仅可使用 DeepWiki 和 AskDevin 功能,包括对代码仓库建立索引的权限
账户级角色(也称为企业级角色)在整个企业范围内进行分配,对企业内的每个组织生效。具有账户级角色的用户,会在其所属的所有组织中自动继承对应的组织级权限。
账户级角色可以配置以下权限:
| Permission | Description |
|---|
| Manage Organizations | 查看/创建/编辑/删除企业下的组织 |
| Manage Account Membership | 查看/创建/编辑/删除企业及所属组织的成员关系 |
| Manage Enterprise Settings | 查看/编辑企业级与组织级设置 |
| Manage Git Integrations | 创建/编辑/删除 Git 集成(Github、Gitlab、ADO、Bitbucket),管理仓库权限和仓库索引 |
| Manage Chat Integrations | 创建/编辑/删除 Microsoft Teams、Slack 等聊天集成 |
| Manage Ticket Integrations | 创建/编辑/删除 Jira、Linear 等工单集成 |
| Use Account Tools | 在任意组织中使用 Devin 会话、Ask Devin 和 DeepWiki |
| Manage Account Resources | 在任意组织中创建/编辑/删除 Playbooks、Secrets 和知识内容 |
| Manage Account Snapshots | 在任意组织中创建/编辑/删除机器快照,管理账户级快照并为仓库建立索引 |
| Index Account Repositories | 为整个企业范围内的 Ask Devin 和 DeepWiki 构建代码仓库索引 |
| Manage Sessions | 跨任意组织编辑其他用户的 Devin 会话 |
| View Sessions | 跨任意组织查看其他用户的 Devin 会话 |
| View Enterprise Infra Details | 查看企业基础设施详细信息 |
| Manage Account API Keys | 在企业和任意组织中创建/编辑/删除/使用 API Key |
| Manage Account MCP Servers | 跨任意组织创建/编辑/删除 MCP 服务器 |
| View Account Metrics | 查看企业级指标 |
| Manage Billing | 查看/编辑企业级用量与计费信息 |
- Admin:在整个企业范围内拥有完全管理权限
- Member:在企业中所有组织内拥有标准用户访问权限
管理员可以为 Identity Provider(IdP)组分配自定义角色。将某个角色分配给 IdP 组后,该组中的每位成员(由你的身份提供商定义)都会自动获得该角色。
- 组信息流:在身份验证过程中,Devin Enterprise 会从你的 IdP 接收组信息
- 自动角色分配:用户会基于其 IdP 组成员资格继承相应权限
- 动态更新:组成员变更会在用户重新进行身份验证时生效
企业 SSO 连接支持 IdP 组。如果你在组配置方面需要帮助,请联系你的管理员。
- 前往 Enterprise Settings > Roles
- 在 Organization 或 Enterprise 级别点击 “Create a custom role”
- 提供一个具有清晰描述的角色名称
- 选择你希望授予的具体权限
- 保存角色
创建完成后,可以通过成员管理界面将自定义角色分配给单个用户或 IdP 组:
- 企业管理员或具有 Manage Account Membership 权限的用户可以前往企业设置中的 “Enterprise members” 页面并分配账户级角色
- 请注意,这一权限范围与能够创建、编辑和删除自定义角色的用户相同
- 组织管理员或具有 Manage Organization Membership 权限的用户可以前往 “Organization members” 页面并分配组织级角色
- 请注意,这些用户可以在组织级别分配自定义角色,但他们可能无法创建、编辑或删除自定义角色
我们目前不支持为单个用户分配多个角色,但该功能已在规划中,预计很快会支持。当前每位用户在每个组织中只能被分配一个角色,并且在账户级也只能拥有一个角色。
- 最小权限原则:仅为用户授予其角色所必需的最低权限
- 使用 IdP 组:利用 IdP 组集成功能,更轻松地在大规模场景下管理角色分配
- 定期审计:定期审查角色分配和权限,确保其依然合理
- 描述性命名:为自定义角色使用清晰、具有描述性的名称,使其用途一目了然
- 完善文档:维护自定义角色及其预期使用场景的内部文档
如果某个用户未获得预期的权限:
- 验证该用户是否已被分配到该组织中正确的角色
- 确认该角色已配置所需的权限
- 检查 IdP 组成员资格是否为最新(可能需要重新认证)
如需更多有关角色配置的支持,请联系你们组织的 Devin Enterprise 管理员,或发送邮件至 support 与我们取得联系。 