Autorisierung und Zugangskontrolle mit SAML
  • 23 Sep 2022
  • 5 Minuten zu lesen
  • Mitwirkende

Autorisierung und Zugangskontrolle mit SAML


Zweck

Anleitung und Methodik für die Definition Ihrer Zugriffspolitik und die Verwaltung von SAML für Ihre Organisation

SAML ermöglicht es Organisationen, die Authentifizierung und die Zugriffsrechte von Tulip-Benutzern über ihren bestehenden Identitätsanbieter (IdP) zu verwalten. In dieser Anleitung wird der Prozess der Entdeckung und Implementierung der SAML-Installation auf Unternehmensebene detailliert beschrieben. Für einen einzelnen Standort lesen Sie bitte unseren Support-Artikel hier

Prozess auf hoher Ebene

Vorarbeit

Verstehen der Tulip-Benutzerrollen

Einteilung der Mitarbeiter in rollenbasierte Gruppen

Bestimmen Sie, wer innerhalb Ihrer Organisation Ihren IdP und Tulip konfigurieren wird

Bestimmen Sie, ob bestehende Benutzer migriert werden müssen

Für jeden neuen Standort

Tulip aktiviert SAML auf Ihrer Website

Ihre Organisation konfiguriert SAML (sowohl in Ihrem IdP als auch in Tulip) und gewährt den Benutzern Zugang

Erstellung einer neuen Website

Senden Sie eine Anfrage an Ihren Tulip Customer Success Manager, dass Sie eine neue Site mit SAML erstellen möchten. Sie sollten folgende Angaben machen:

  • Name und URL der Website
  • Name und E-Mail-Adresse der Person in Ihrer Organisation, die sich anmelden und SAML konfigurieren soll

Tulip wird die Site erstellen und SAML aktivieren.

Die Person, die für die Konfiguration verantwortlich ist, erhält eine E-Mail, um sich in die Website einzuloggen und SAML wie hier beschrieben zu konfigurieren. Sie konfigurieren die Site auf der Grundlage Ihrer Zugriffsstrategie, von denen die beiden unten definiert sind.

Testzugang mit Benutzern

HINWEIS:

Sobald die Konfiguration abgeschlossen ist, muss der Kontoinhaber das Benutzerkonto der Person, die SAML konfiguriert hat, löschen, da deren Konto einen Tulip-Benutzernamen und ein Passwort verwendet. Wenn diese Person SAML in Zukunft verwalten wird, sollte sie Zugang zum Kontoinhaber erhalten und sich mit SAML für zukünftige Konfigurationen anmelden.

Die von Tulip erstellten SAML-Zertifikate laufen jährlich ab. Tulip wird Ihr Team 2 Wochen im Voraus benachrichtigen, um das Zertifikat zu erneuern.

SAML-Konvertierungsprozess für aktive Websites

Wie oben, aber bevor SAML aktiviert wird, müssen wir alle bestehenden Benutzer von Tulip-Konten in SAML-Konten umwandeln. Dazu benötigen wir eine Liste mit den E-Mail-Adressen aller Benutzer und die vom IdP bereitgestellte NameId. Wir werden mit der Person, die für die Konfiguration verantwortlich ist, zusammenarbeiten, um diese Umwandlung mit minimaler Ausfallzeit durchzuführen. Wenn bestehende Benutzer nicht benötigt werden, können wir alle Benutzer einfach löschen. Denken Sie daran, dass bestehende Daten, wie z. B. Abschlüsse, die mit diesen Benutzern verknüpft sind, nicht zu ihrem neuen Benutzer migriert werden. Siehe Dokumentation hier

Referenzen

Eine schrittweise Anleitung für die Konfiguration von Tulip für Azure Active Directory finden Sie hier.

Zugang konfigurieren

LTS 6

Mit der Veröffentlichung von Workspaces in LTS 6 hat sich die SAML-Autorisierungsstrategie geändert, um Organisationen eine bessere Verwaltung ihrer Benutzer zu ermöglichen, ohne die IT-Abteilung unnötig zu belasten.

SAML-Änderungen

Es gibt jetzt zwei Optionen für die Autorisierung:

SAML Custom Role Mapping

Bei der ersten Anmeldung wird einem Benutzer eine Rolle zugewiesen, die auf den Gruppen basiert, die in seinem Rollenattribut angegeben sind. Danach wird Tulip das Rollenattribut dieses Benutzers nicht mehr lesen, und alle Rollenänderungen müssen in der Plattform von einem Kontoinhaber vorgenommen werden.

Wenn Sie sich für diese Methode entscheiden, müssen Sie Ihr IdP-Team bitten, allen Benutzern, die Zugang zu Tulip benötigen, die entsprechende Rolle hinzuzufügen.

Standard-Rollenzuweisung

Bei der ersten Anmeldung erhalten alle Benutzer eine Standard-Zugangsstufe (Viewer mit Player-Zugang), der Kontoinhaber muss dann die Rolle auf die entsprechende Stufe anpassen.

Zugriffskontrolle

Sie können ein Attribut zur Zugriffskontrolle hinzufügen, bei dem der Benutzer einen bestimmten Wert haben muss, um Zugang zu Tulip zu erhalten. Dies ist vor allem für Standard-Zuordnungsszenarien relevant, bei denen Sie noch festlegen möchten, wer unabhängig von der Rolle oder dem Arbeitsbereich Zugang zu Tulip haben soll.

Zum Beispiel:

  • Ein Benutzer muss ein Attribut TulipAccessControl auf True gesetzt haben
  • Ein Benutzer muss zu einer Gruppe TulipUsers gehören, die durch ein Attribut TulipAccessControl offengelegt wird (siehe Beispiel unten)

Wenn Sie sich für Access Control entscheiden, müssen Sie bei Ihrem IdP-Team beantragen, dass alle Benutzer, die Zugang zu Tulip haben sollen, das definierte Attribut und den Wert erhalten.

Arbeitsbereiche

Über Arbeitsbereiche können Sie hier im Detail lesen

Wie beim Rollenattribut haben Sie nun die Möglichkeit, Benutzer zu Arbeitsbereichen zuzuordnen.

SAML Custom Workspace Mapping

Bei der ersten Anmeldung wird einem Benutzer der Zugang zu einem Arbeitsbereich auf der Grundlage der in seinem Arbeitsbereich-Attribut angegebenen Gruppen zugewiesen. Danach liest Tulip das Workspace-Attribut dieses Benutzers nicht mehr, und alle Workspace-Änderungen müssen in der Plattform von einem Kontoinhaber vorgenommen werden.

Wenn diese Methode gewählt wird, müssen Sie bei Ihrem IdP-Team beantragen, dass alle Benutzer, die Zugang zu Tulip benötigen, den entsprechenden Arbeitsbereich hinzufügen.

Standard-Arbeitsbereich-Mapping

Bei der ersten Anmeldung erhalten alle Benutzer Zugang zu einem von Ihnen gewählten Standardarbeitsbereich. Ein Kontobesitzer kann dann den Zugang zum Arbeitsbereich anpassen.


Erstellen von Zugriffsgruppen

Für die Option der benutzerdefinierten Rollenzuordnung (Standard vor LTS 6)

Erstellen von standardisierten Tulip-Zugangsgruppen:

Jeder Benutzer braucht ein Rollenattribut, das in Ihrem IdP angegeben ist und das Tulip verwendet, um seine Privilegien zu bestimmen, sobald er sich mit seinem IdP-Benutzernamen und Passwort authentifiziert hat. Wir können dieses Rollenfeld auch verwenden, um zu bestimmen, zu welchen Websites sie Zugang haben, indem wir eine Standard-Namenskonvention verwenden. Ein Rollenfeld kann zwar nur eine gesetzte Variable sein, es wird jedoch empfohlen, den Benutzer bestimmten Tulip-Gruppen zuzuordnen und diese einem Attribut zuzuordnen.

Rolle

Sehen Sie sich hier die Tulip-Zugangsrollen an. Jeder Benutzer wird mindestens eine Rolle benötigen. Wenn ein Benutzer mehrere Rollen hat, wählt Tulip diejenige mit dem höchsten Zugriff.

Eine Beispielrolle ist Kontoinhaber.

ANMERKUNG:

Es muss mindestens einen Kontoinhaber pro Website geben.

Standort

Nehmen wir an, Ihre Organisation hat zwei Standorte, mit einer Tulip-Instanz für jeden.

Wir können jeden Standort durch seinen Standort bezeichnen (Texas bzw. London).

Kombinieren der beiden

Wir können diese beiden Standorte kombinieren, um eine Gruppenmatrix zu erstellen, die den Benutzern zugewiesen wird. Wir empfehlen, dass Organisationen den Wert mit Tulip anhängen oder voranstellen, damit er leichter zu filtern ist.

Konvention: tulip-siteRole

acme-texas.tulip.co acme-london.tulip.co
Kontoinhaber tulip-texasAccountOwner tulip-londonAccountOwner
Anwendungsbetreuer tulip-texasApplicationSupervisor tulip-londonApplicationSupervisor
Betrachter tulip-texasBetrachter tulip-londonBetrachter
Bediener tulip-texasOperator tulip-londonOperator
...

Wenn Jane Smith die Standortleiterin des Standorts Texas ist, würden wir sie der Gruppe tulip-texasAccountOwner zuordnen. Wenn Jane Smith auch Zugriff auf den Londoner Standort benötigt, könnte sie der Gruppe tulip-londonViewer hinzugefügt werden .

Offenlegung dieser Gruppen als Attribut für Tulip

In Ihrem IdP sollte Jane ein Attribut, tulip-role, haben, in dem alle Gruppen, in denen sie Mitglied ist und die das Präfix "tulip-" enthalten, abgebildet werden. Wenn sie sich bei Tulip anmeldet, hat das Attribut tulip-role zwei Werte: tulip-texasAccountOwner, tulip-londonViewer.

Globale Rollen

Vielleicht möchten Sie auch globale Zugriffsrollen erstellen, zum Beispiel als Betrachter. Das Format dafür wäre:

tulip-globalViewer

HINWEIS:

Wenn sich ein Benutzer, der Mitglied der globalen Betrachtergruppe ist, in eine Website einloggt, in der er auch eine Rolle mit mehr Zugang hat, gibt Tulip ihm den höchsten verfügbaren Zugang.


War dieser Artikel hilfreich?