Anleitung und Methodik für die Definition Ihrer Zugangspolitik und die Verwaltung von SAML für Ihre Organisation.
SAML ermöglicht es Organisationen, die Authentifizierung und die Zugriffsrechte von Tulip-Benutzern über ihren bestehenden Identitätsanbieter (IdP) zu verwalten. In diesem Leitfaden werden die verfügbaren Optionen für die Implementierung der IdP-Integration auf Unternehmensebene über das SAML-Protokoll beschrieben.
This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.
Vorarbeit
- Verstehen der Tulip-Benutzerrollen
- Voraussichtliche Tulip-Benutzer nach Rolle einordnen, damit Sie ein SAML-Attribut mit ihrer Tulip-Rolle aktualisieren können
- Bestimmen Sie, wer in Ihrer Organisation Ihr IdP- und Tulip-Konto konfigurieren wird
SAML + Tulip Konfigurationsmöglichkeiten
Kontroll-Modi
Der Tulip-Kontrollmodus gibt an, dass die Tulip-Rolle und der Arbeitsbereich eines Benutzers nur bei der ersten Anmeldung bei Tulip aus der SAML-Attribut-Zuordnung übernommen werden .
In Tulip deaktivierte Benutzer können sich nicht mehr anmelden.
IdP-Kontrollmodus bedeutet, dass die Tulip-Rolle und der Arbeitsbereich eines Benutzers jedes Mal, wenn er sich anmeldet, vom IdP aktualisiert werden .
Standard-Rollenzuweisung (nur Tulip-Kontrollmodus)
Bei der ersten Anmeldung erhalten alle Benutzer eine Standard-Zugangsstufe (Betrachter mit Player-Zugang). Der Kontobesitzer muss die Rolle dann manuell in Tulip auf die entsprechende Stufe einstellen.
Zugangskontrolle (nur Tulip Kontrollmodus)
Sie können ein Attribut für die Zugangskontrolle hinzufügen, bei dem der Benutzer einen bestimmten Wert haben muss, um Zugang zu Tulip zu erhalten. Dies ist vor allem für Standard-Zuordnungsszenarien relevant, bei denen Sie trotzdem bestimmen möchten, wer unabhängig von der Rolle oder dem Arbeitsbereich Zugang zu Tulip haben soll.
Zum Beispiel:
- Ein Benutzer muss ein Attribut TulipAccessControl auf True gesetzt haben
- Ein Benutzer muss zu einer Gruppe TulipUsers gehören, die durch ein Attribut TulipAccessControl sichtbar gemacht wird (siehe Beispiel unten)
Wenn Sie sich für Access Control entscheiden, müssen Sie Ihr IdP-Team bitten, das definierte Attribut und den Wert für alle Benutzer, die Zugang zu Tulip haben sollen, hinzuzufügen.
Arbeitsbereiche
Über Arbeitsbereiche können Sie hier im Detail lesen
Wie beim Rollenattribut erhalten Sie jetzt die Möglichkeit, Benutzer automatisch einem bestimmten Arbeitsbereich zuzuordnen, wenn der Benutzer zum ersten Mal angelegt wird. Nach der Erstellung des Benutzers können die Kontoinhaber die Benutzer flexibel zwischen den Arbeitsbereichen verschieben.
SAML Custom Workspace Mapping
:::(Info) (Multiple Workspaces) Bitte beachten Sie, dass Sie Benutzer nur im Tulip-Kontrollmodus mehreren Workspaces zuordnen können.
Im IdP-Kontrollmodus kann jeder Benutzer nur Mitglied in einem einzigen Arbeitsbereich sein.
:::
Bei der ersten Anmeldung wird einem Benutzer der Zugang zu einem Arbeitsbereich auf der Grundlage der in seinem Arbeitsbereich-Attribut angegebenen Gruppe zugewiesen. Danach wird Tulip das Arbeitsbereich-Attribut dieses Benutzers nicht mehr lesen, und alle Änderungen am Arbeitsbereich müssen in der Plattform von einem Kontobesitzer vorgenommen werden.
Standard-Arbeitsbereich-Zuordnung
Bei der ersten Anmeldung erhalten alle Benutzer Zugang zu einem von Ihnen gewählten Standard-Arbeitsbereich. Ein Kontoinhaber kann dann den Zugriff auf den Arbeitsbereich anpassen.
Benutzergruppen
In allen SAML-Konfigurationen können Sie Benutzer in die Funktion Benutzergruppen{target=_blank} von Tulip einordnen.
Benutzergruppen existieren auf der Ebene des Kontos. Sobald ein Benutzer in eine Benutzergruppe eingeordnet ist, ist er in allen Arbeitsbereichen Mitglied dieser Benutzergruppe.
Wenn Sie die Option Benutzergruppen einschalten, können Sie Benutzer von Ihrem IdP in Benutzergruppen in Tulip abbilden, basierend auf dem Wert eines Attributs in SAML.
Danach können Sie bis zu 100 SAML-Attribute benennen und die Werte von jedem Attribut einer Benutzergruppe zuordnen. Ein Benutzer kann dann auf mehrere Benutzergruppen abgebildet werden.
Beispiel - Erstellen von Zugriffsgruppen innerhalb Ihres IdP
Anhand des folgenden Beispiels können Sie sehen, wie all die verschiedenen Optionen in den SAML-Einstellungen zusammen verwendet werden können.
Erstellen von standardisierten Tulip-Rollen
Für jeden Benutzer muss in Ihrem IdP ein Rollenattribut angegeben werden, damit Tulip seine Privilegien bestimmen kann, sobald er sich mit seinem IdP-Benutzernamen und Passwort authentifiziert hat.
Sie können dieses Rollenfeld auch verwenden, um zu bestimmen, zu welchen Websites sie Zugang haben, indem Sie eine Standardbenennungskonvention verwenden. Ein Rollenfeld kann zwar nur eine gesetzte Variable sein, aber es wird empfohlen, dass Sie den Benutzer innerhalb Ihres IdP bestimmten Tulip-Gruppen zuweisen und diese einem Attribut zuordnen.
Rolle
Sehen Sie sich hier die Tulip-Benutzerrollen an. Jeder Benutzer wird mindestens eine Rolle benötigen. Wenn ein Benutzer mehrere Rollen hat, wählt Tulip diejenige mit dem höchsten Zugriff.
Eine Beispielrolle ist Kontoinhaber.
There needs to be at least one Account Owner per site.
Website
Nehmen wir an, Ihre Organisation hat zwei Standorte, mit einer Tulip-Instanz für jeden.
Wir können jeden Standort mit seinem Standort bezeichnen (Texas bzw. London).
Kombination von Standort und Rolle
Wir können diese beiden Eigenschaften kombinieren, um eine Gruppenmatrix für zuzuweisende Benutzer zu erstellen. Wir empfehlen, dass Organisationen den Wert mit Tulip anhängen oder voranstellen, damit es einfacher ist, danach zu filtern.
Konvention: tulip-siteRole
| acme-texas.tulip.co | acme-london.tulip.co | |
| Kontoinhaber | tulip-texasAccountOwner | tulip-londonKundenbetreuer |
| Anwendungsbetreuer | tulip-texasAnwendungsbetreuer | tulip-londonAnwendungsbetreuer |
| Betrachter | tulip-texasBetrachter | tulip-londonBetrachter |
| Bediener | tulip-texasBetreiber | tulip-londonOperator |
| ... |
Wenn Jane Smith die Standortleiterin des Standorts Texas ist, würden Sie sie der Gruppe tulip-texasAccountOwner zuordnen. Wenn Jane Smith auch Zugriff auf den Londoner Standort benötigt, könnte sie der Gruppe tulip-londonViewer hinzugefügt werden.
Offenlegung dieser Gruppen als Attribut für Tulip
In Ihrem IdP sollte Jane ein Attribut, tulip-role, haben, in dem alle Gruppen, in denen sie Mitglied ist und die das Präfix "tulip-" enthalten, abgebildet werden.
Wenn sie sich bei Tulip anmeldet, hat das Attribut tulip-role zwei Werte: tulip-texasAccountOwner, tulip-londonViewer. Sie können die Rollenzuordnung für jede Tulip-Instanz individuell konfigurieren, so dass sie in jeder Instanz die richtigen Berechtigungen erhält.
Globale Rollen
Sie können auch globale Zugriffsrollen erstellen, z.B. eine "Viewer"-Rolle. Diese Benutzer können sich in jeder Tulip-Instanz mit denselben Rechten anmelden. Das empfohlene Format dafür ist:
tulip-globalViewer
Sie müssen diese Rollenzuordnung auf jeder einzelnen Instanz auf der SAML-Konfigurationsseite in den Kontoeinstellungen einrichten, damit dieser Benutzer auf jede Instanz zugreifen kann.
Haben Sie gefunden, wonach Sie gesucht haben?
Sie können auch auf community.tulip.co Ihre Frage stellen oder sehen, ob andere mit einer ähnlichen Frage konfrontiert wurden!