Autorización y control de acceso mediante SAML

Instrucciones y metodología para definir su política de acceso y gestionar SAML para su organización.

SAML permite a las organizaciones gestionar la autenticación y los derechos de acceso de los usuarios de Tulip utilizando su proveedor de identidad (IdP) existente. Esta guía detallará el proceso de descubrimiento e implementación de la instalación de SAML a nivel de empresa. Para un solo sitio, por favor consulte nuestro artículo de soporte aquí.

Proceso de alto nivel

Trabajo previo

• Entender los roles de usuario de Tulip
• Agrupar a los empleados en grupos basados en roles
• Identifica quién dentro de tu organización configurará tu IdP y cuenta Tulip
• Determinar si los usuarios existentes necesitan ser migrados

Sitios nuevos

• Tulip habilita SAML en su sitio
• Tu organización configura SAML (tanto en tu IdP como en Tulip) y concede acceso a los usuarios

Proceso de creación de un nuevo sitio

Envíe una solicitud a su Tulip Customer Success Manager que le gustaría crear un nuevo sitio con SAML. Debes proporcionar lo siguiente

• Nombre y URL del sitio
• El nombre y correo electrónico de la persona de su organización que se conectará y configurará SAML

Tulip creará el sitio y habilitará SAML.

La persona responsable de la configuración recibirá un correo electrónico para iniciar sesión en el sitio, ellos configurarán SAML como se describe aquí. Configurarán el sitio en función de su estrategia de acceso, que se define a continuación.

Asegúrese de probar el acceso con los usuarios.

:::(Info) (NOTA:) Una vez completado, el Propietario de Cuenta necesita eliminar la cuenta de usuario de la persona que configuró SAML, ya que su cuenta utiliza un nombre de usuario y contraseña de Tulip. Si esa persona va a mantener SAML en el futuro, se le debe dar acceso de Propietario de Cuenta e iniciar sesión con SAML para futuras configuraciones.

Los certificados SAML creados por Tulip caducan anualmente. Tulip se pondrá en contacto para notificar a su equipo con 2 semanas de antelación para rotar el certificado. :::

Proceso de conversión de Active Site SAML

Igual que arriba, pero antes de habilitar SAML, necesitaremos convertir todos los usuarios existentes de cuentas Tulip a cuentas SAML. Para ello, necesitamos una lista con el correo electrónico de cada usuario y su NameId proporcionado por el IdP. Trabajaremos con la persona responsable de la configuración para hacer esa conversión con el mínimo tiempo de inactividad. Si los usuarios existentes no son necesarios, podemos simplemente eliminar todos los usuarios. Tenga en cuenta que los datos existentes, como las finalizaciones vinculadas a esos usuarios, no se migrarán a su nuevo usuario. Consulte la documentación aquí

Referencias

Las instrucciones paso a paso para configurar Tulip for Azure Active Directory están aquí.

Configuración de Access

LTS 6

Con el lanzamiento de Workspaces en LTS 6, la estrategia de autorización SAML ha cambiado para permitir a las organizaciones gestionar mejor a sus usuarios sin crear una carga innecesaria para TI.

Cambios en SAML

Modos de control

Tulip Control Mode es el comportamiento actual donde el rol de Tulip y el espacio de trabajo de un usuario se toma del mapeo de atributos SAML sólo la primera vez que inician sesión en Tulip. Los usuarios desactivados en Tulip no pueden iniciar sesión. IdP Control Mode significa que cada vez que un usuario se autentique correctamente, será reactivado. Su rol en Tulip y su espacio de trabajo se actualizarán desde el IdP.

Asignación de roles por defecto

En el primer inicio de sesión, todos los usuarios reciben un nivel de acceso por defecto (Visor con acceso a Reproductor), el propietario de la cuenta tendrá que ajustar el rol al nivel apropiado.

Control de acceso

Puedes elegir añadir un atributo de control de acceso, donde el usuario necesita tener un valor específico para poder acceder a Tulip. Esto es especialmente relevante para los escenarios de mapeo por defecto, donde usted todavía quiere dictar quién debe ser capaz de acceder a Tulip, independientemente de la función o espacio de trabajo.

Por ejemplo:

• Un usuario debe tener un atributo TulipAccessControl establecido en True
• Un usuario debe pertenecer a un grupo TulipUsers, que se expone a través de un atributo TulipAccessControl (ver ejemplo abajo)

Si decide utilizar el control de acceso, deberá solicitar a su equipo de IdP que añada el atributo y el valor definidos a todos los usuarios que deban tener algún tipo de acceso a Tulip.

Espacios de trabajo

Puedes leer sobre los espacios de trabajo en detalle aquí

Al igual que el atributo de rol, ahora se le dará la opción de asignar usuarios a espacios de trabajo.

Asignación de espacios de trabajo SAML personalizados

En el primer inicio de sesión, a un usuario se le asigna un acceso al espacio de trabajo basado en los grupos presentados en su atributo de espacio de trabajo. A partir de ese momento, Tulip ya no leerá el atributo de espacio de trabajo de ese usuario, y cualquier cambio en el espacio de trabajo deberá ser realizado en la plataforma por un propietario de cuenta.

:::(Info) (NOTA) Si se elige este método, deberá solicitar a su equipo de IdP que añada el espacio de trabajo adecuado a todos los usuarios que requieran acceso a Tulip. :::

Asignación del espacio de trabajo por defecto

En el primer inicio de sesión, todos los usuarios tienen acceso a un espacio de trabajo predeterminado de su elección. A continuación, el propietario de la cuenta puede ajustar el acceso al espacio de trabajo.

Creación de grupos de acceso

Para la opción de asignación de roles personalizada (Predeterminada LTS 6)

Creación de grupos de acceso estandarizados de Tulip:

Cada usuario necesitará un atributo de rol especificado en su IdP que Tulip utiliza para determinar sus privilegios una vez que se han autenticado con su nombre de usuario y contraseña de IdP. También podemos utilizar este campo Rol para determinar a qué sitios tienen acceso utilizando una convención de nomenclatura estándar. Mientras que un campo de rol puede ser simplemente una variable de conjunto, se recomienda asignar el usuario a grupos específicos de Tulip y asignarlos a un atributo.

Rol

Revisa los roles de acceso a Tulip aquí. Cada usuario necesitará al menos un rol. Si un usuario tiene múltiples roles, Tulip seleccionará el de mayor acceso.

Un ejemplo de rol es Propietario de Cuenta.

:::(Info) (NOTA:) Debe haber al menos un Propietario de Cuenta por sitio. :::

Sitio

Digamos que tu organización tiene dos sitios, con una instancia de Tulip para cada uno.

Podemos denotar cada sitio por su ubicación (Texas y Londres, respectivamente).

Combinar los dos

Podemos combinar estos dos sitios para crear una matriz de grupos para asignar usuarios. Recomendamos que las organizaciones añadan o antepongan el valor con Tulip, para que sea más fácil filtrar por él.

Convención: tulip-siteRole

| | | | | --- | --- | | | | acme-texas.tulip.co | acme-london.tulip.tulip-texasAccountOwner | tulip-londonAccountOwner | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | Viewer | tulip-texasViewer | tulip-londonViewer | Operator | tulip-texasOperator | tulip-londonOperator | ... | | |

Si Jane Smith es la responsable del sitio de Texas, la asignaríamos al grupo tulip-texasAccountOwner. Si Jane Smith también necesita acceso a la vista en el sitio de Londres, podría ser añadida al grupo, tulip-londonViewer.

Exponer estos grupos como un atributo para Tulip

En su IdP, Jane debe tener un atributo, tulip-role, donde se asignarán todos los grupos de los que sea miembro y que contengan el prefijo "tulip-". Cuando se registra en Tulip, el atributo tulip-role tiene dos valores: tulip-texasAccountOwner, tulip-londonViewer.

Roles globales

También puedes querer crear roles de acceso globales, como por ejemplo un visor. El formato para ello es

tulip-globalViewer

:::(Info) (NOTA:) Si un usuario que es miembro del grupo global viewer entra en un sitio donde también tiene un rol con más acceso, Tulip le dará el mayor acceso disponible. :::

¿Has encontrado lo que buscabas?

También puedes dirigirte a community.tulip.co para publicar tu pregunta o ver si otras personas se han enfrentado a una pregunta similar.