Autorización y control de acceso mediante SAML
  • 23 Sep 2022
  • 6 Minutos para leer
  • Colaboradores

Autorización y control de acceso mediante SAML


Objetivo

Instrucciones y metodología para definir su política de acceso y gestionar SAML para su organización

SAML permite a las organizaciones gestionar la autenticación y los derechos de acceso de los usuarios de Tulip utilizando su proveedor de identidad (IdP) existente. Esta guía detallará el proceso de descubrimiento e implementación de la instalación de SAML a nivel de empresa. Para un solo sitio, por favor consulte nuestro artículo de apoyo aquí

Proceso de alto nivel

Trabajo previo

Entender los roles de los usuarios de Tulip

Agrupar a los empleados en grupos basados en roles

Identificar quién dentro de su organización configurará su IdP y Tulip

Determine si los usuarios existentes necesitan ser migrados

Para cada sitio nuevo

Tulip habilita SAML en su sitio

Su organización configura SAML (tanto en su IdP como en Tulip) y concede el acceso a los usuarios

Proceso de creación de un nuevo sitio

Envíe una solicitud a su Tulip Customer Success Manager que le gustaría crear un nuevo sitio con SAML. Debes proporcionar lo siguiente

  • El nombre y la URL del sitio
  • El nombre y el correo electrónico de la persona de su organización que se conectará y configurará SAML

Tulip creará el sitio y habilitará SAML.

La persona responsable de la configuración recibirá un correo electrónico para iniciar sesión en el sitio, y configurará SAML como se describe aquí. Configurarán el sitio basándose en su estrategia de acceso, las cuales se definen a continuación.

Prueba de acceso con usuarios

:::(Información) (NOTA:)
Una vez completado, el Propietario de la Cuenta necesita eliminar la cuenta de usuario de la persona que configuró SAML, ya que su cuenta utiliza un nombre de usuario y contraseña de Tulip. Si esa persona va a mantener SAML en el futuro, se le debe dar acceso de Propietario de la Cuenta e iniciar sesión con SAML para futuras configuraciones.

Los certificados SAML creados por Tulip expiran anualmente. Tulip se pondrá en contacto para notificar a su equipo con 2 semanas de antelación para rotar el certificado.
:::

Proceso de conversión a SAML del sitio activo

Igual que el anterior, pero antes de habilitar SAML, necesitaremos convertir todos los usuarios existentes de cuentas Tulip a cuentas SAML. Para ello, necesitamos una lista con el correo electrónico de cada usuario y su NameId proporcionado por el IdP. Trabajaremos con la persona responsable de la configuración para hacer esa conversión con el mínimo tiempo de inactividad. Si los usuarios existentes no son necesarios, podemos simplemente eliminar todos los usuarios. Tenga en cuenta que los datos existentes, como las finalizaciones vinculadas a esos usuarios, no se migrarán a su nuevo usuario. Vea la documentación aquí

Referencias

Las instrucciones paso a paso para configurar Tulip for Azure Active Directory están aquí.

Configurar el acceso

LTS 6

Con el lanzamiento de los espacios de trabajo en LTS 6, la estrategia de autorización SAML ha cambiado para permitir a las organizaciones gestionar mejor a sus usuarios sin crear una carga innecesaria en TI.

Cambios en SAML

Ahora hay dos opciones para la autorización:

Asignación de roles personalizada de SAML

En el primer inicio de sesión, a un usuario se le asigna un rol basado en los grupos presentados en su atributo de rol. Después de ese momento, Tulip ya no leerá el atributo de rol de ese usuario, y cualquier cambio de rol debe ser realizado en la plataforma por un propietario de la cuenta.

Si se elige este método, tendrás que solicitar a tu equipo de IdP que añada el rol apropiado a todos los usuarios que requieran acceso a Tulip.

Asignación de roles por defecto

En el primer inicio de sesión, a todos los usuarios se les da un nivel de acceso por defecto (Visor con acceso a Reproductor), el propietario de la cuenta deberá entonces ajustar el rol al nivel apropiado.

Control de Acceso

Puedes elegir añadir un atributo de control de acceso, donde el usuario necesita tener un valor específico para poder acceder a Tulip. Esto es especialmente relevante para los escenarios de mapeo por defecto, donde usted todavía quiere dictar quién debe ser capaz de acceder a Tulip, independientemente de su rol o espacio de trabajo.

Por ejemplo:

  • Un usuario debe tener un atributo TulipAccessControl establecido como True
  • Un usuario debe pertenecer a un grupo TulipUsers, que se expone a través de un atributo TulipAccessControl (véase el ejemplo siguiente)

Si eliges utilizar el Control de Acceso, deberás solicitar a tu equipo de IdP que añada el atributo y el valor definidos a todos los usuarios que deban tener algún tipo de acceso a Tulip.

Espacios de trabajo

Puedes leer sobre los espacios de trabajo en detalle aquí

Al igual que el atributo de rol, ahora se le dará la opción de asignar usuarios a espacios de trabajo.

Asignación de espacios de trabajo personalizados SAML

En el primer inicio de sesión, a un usuario se le asigna el acceso al espacio de trabajo basado en los grupos presentados en su atributo de espacio de trabajo. Después de ese momento, Tulip ya no leerá el atributo del espacio de trabajo de ese usuario, y cualquier cambio en el espacio de trabajo deberá ser realizado en la plataforma por un propietario de la cuenta.

Si se elige este método, tendrás que solicitar a tu equipo de IdP que añada el espacio de trabajo adecuado a todos los usuarios que requieran acceso a Tulip.

Asignación del espacio de trabajo por defecto

En el primer inicio de sesión, todos los usuarios reciben acceso a un espacio de trabajo predeterminado de su elección. El propietario de la cuenta puede entonces ajustar el acceso al espacio de trabajo.


Creación de grupos de acceso

Para la opción de mapeo de roles personalizados (Pre LTS 6 por defecto)

Creación de grupos de acceso estandarizados de Tulip:

Cada usuario necesitará un atributo de rol especificado en su IdP que Tulip utiliza para determinar sus privilegios una vez que se ha autenticado con su nombre de usuario y contraseña del IdP. También podemos utilizar este campo de rol para determinar a qué sitios tienen acceso utilizando una convención de nomenclatura estándar. Mientras que un campo de rol puede ser simplemente una variable de conjunto, se recomienda asignar al usuario a grupos específicos de Tulip y asignar estos a un atributo.

Rol

Revisa los roles de acceso a Tulipán aquí. Cada usuario necesitará al menos un rol. Si un usuario tiene varios roles, Tulip seleccionará el de mayor acceso.

Un ejemplo de rol es el de Propietario de Cuenta.

:::(Información) (NOTA:)
Debe haber al menos un propietario de cuenta por sitio.
:::

Sitio

Digamos que su organización tiene dos sitios, con una Instancia Tulip para cada uno.

Podemos denotar cada sitio por su ubicación (Texas y Londres, respectivamente).

Combinar los dos

Podemos combinar estos dos sitios para crear una matriz de grupos para la asignación de usuarios. Recomendamos que las organizaciones anexen o antepongan el valor con Tulip, para que sea más fácil de filtrar.

Convención: tulip-siteRole

| --- | --- | --- |

| Propietario de la cuenta tulip-texas Propietario de la cuenta tulip-london Propietario de la cuenta
| Supervisor de la aplicación: tulip-texasApplicationSupervisor, tulip-londonApplicationSupervisor
| Visor: tulip-texasViewer, tulip-londonViewer
| Operador: tulip-texasOperator, tulip-londonOperator
| ... | | |

Si Jane Smith es la líder del sitio en Texas, la asignaríamos al grupo tulip-texasAccountOwner. Si Jane Smith también necesita acceso a la vista en el sitio de Londres, ella podría ser agregada al grupo, tulip-londonViewer.

Exponer estos grupos como un atributo para Tulip

En su IdP, Jane debe tener un atributo, tulip-role, donde se asignarán todos los grupos de los que es miembro y que contienen el prefijo "tulip-". Cuando se registra en Tulip, el atributo tulip-role tiene dos valores: tulip-texasAccountOwner, tulip-londonViewer.

Roles globales

Es posible que también quieras crear roles de acceso global, como un visor por ejemplo. El formato para ello sería

tulip-globalViewer

:::(Información) (NOTA:)
Si un usuario que es miembro del grupo de visor global entra en un sitio donde también tiene un rol con más acceso, Tulip le dará el mayor acceso disponible.
:::


¿Te ha sido útil este artículo?