Autorización y control de acceso mediante SAML

Instrucciones y metodología para definir su política de acceso y gestionar SAML para su organización.

SAML permite a las organizaciones gestionar la autenticación y los derechos de acceso de los usuarios de Tulip utilizando su proveedor de identidad (IdP) existente. Esta guía detallará las opciones disponibles para la implementación de la integración de IdP a nivel empresarial a través del protocolo SAML.

:::(Warning) (Nota) Este artículo se centra en todas las opciones para configurar su integración SAML + Tulip. Para la guía sobre cómo configurar esto dentro de Tulip, consulte esta guía. :::

Trabajo previo

• Entender los roles de usuario de Tulip
• Agrupa a los empleados en grupos basados en roles
• Identifica quién dentro de tu organización configurará tu IdP y cuenta de Tulip

Opciones de configuración de SAML + Tulip

Modos de Control

El modo de control deTulip indica que el rol de Tulip y el espacio de trabajo de un usuario se toman del mapeo de atributos SAML **sólo la primera vez que inician sesión en Tulip. **

Los usuarios desactivados en Tulip no pueden iniciar sesión.

IdP Control Mode significa que el rol y el espacio de trabajo de un usuario de Tulip se actualizarán desde el IdP cada vez que inicie sesión.

Asignación de roles por defecto (sólo en Tulip Control Mode)

En el primer inicio de sesión, todos los usuarios reciben un nivel de acceso predeterminado (Visor con acceso a Reproductor). El propietario de la cuenta tendrá que ajustar el rol al nivel apropiado manualmente dentro de Tulip.

Control de acceso

Puedes elegir añadir un atributo de control de acceso, donde el usuario necesita tener un valor específico para poder acceder a Tulip. Esto es especialmente relevante para los escenarios de mapeo por defecto, donde usted todavía quiere dictar quién debe ser capaz de acceder a Tulip, independientemente de la función o espacio de trabajo.

Por ejemplo:

• Un usuario debe tener un atributo TulipAccessControl establecido en True
• Un usuario debe pertenecer a un grupo TulipUsers, que se expone a través de un atributo TulipAccessControl (ver ejemplo abajo)

Si decide utilizar el control de acceso, deberá solicitar a su equipo de IdP que añada el atributo y el valor definidos a todos los usuarios que deban tener algún tipo de acceso a Tulip.

Espacios de trabajo

Puedes leer sobre los espacios de trabajo en detalle aquí

Al igual que el atributo de rol, ahora se le dará la opción de asignar usuarios a un espacio de trabajo específico de forma automática cuando el usuario se crea inicialmente. Tras la creación del usuario, los propietarios de cuentas pueden mover usuarios entre espacios de trabajo de forma flexible.

Asignación de espacios de trabajo personalizados SAML

En el primer inicio de sesión, a un usuario se le asigna un acceso al espacio de trabajo basado en el grupo presentado en su atributo de espacio de trabajo. Después de ese momento, Tulip ya no leerá el atributo de espacio de trabajo de ese usuario, y cualquier cambio de espacio de trabajo deberá ser realizado en la plataforma por un propietario de cuenta.

Asignación del espacio de trabajo por defecto

En el primer inicio de sesión, todos los usuarios tienen acceso a un espacio de trabajo predeterminado de su elección. A continuación, el propietario de la cuenta puede ajustar el acceso al espacio de trabajo.

Ejemplo - Creación de grupos de acceso dentro de su IdP

Creación de grupos de acceso estandarizados de Tulip

Cada usuario necesitará un atributo de rol especificado en su IdP para que Tulip pueda determinar sus privilegios una vez que se hayan autenticado con su nombre de usuario y contraseña de IdP.

También puede utilizar este campo Rol para determinar a qué sitios tienen acceso utilizando una convención de nomenclatura estándar. Mientras que un campo de rol puede ser simplemente una variable de conjunto, se recomienda que asignes al usuario a grupos específicos de Tulip y los asignes a un atributo.

Rol

Revisa los roles de usuario de Tulip aquí. Cada usuario necesitará al menos un rol. Si un usuario tiene múltiples roles, Tulip seleccionará el de mayor acceso.

Un ejemplo de rol es Propietario de Cuenta.

:::(Info) (NOTA:) Debe haber al menos un Propietario de Cuenta por sitio. :::

Sitio

Digamos que tu organización tiene dos sitios, con una instancia de Tulip para cada uno.

Podemos denotar cada sitio por su ubicación (Texas y Londres, respectivamente).

Combinando Sitio y Rol

Podemos combinar estas dos propiedades para crear una matriz de grupos para asignar usuarios. Recomendamos que las organizaciones añadan o antepongan el valor con Tulip, para que sea más fácil filtrar por él.

Convención: tulip-siteRole

| | | | | --- | --- | | | | acme-texas.tulip.co | acme-london.tulip.tulip-texasAccountOwner | tulip-londonAccountOwner | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | Viewer | tulip-texasViewer | tulip-londonViewer | Operator | tulip-texasOperator | tulip-londonOperator | ... | | |

Si Jane Smith es la responsable del sitio de Texas, la asignaría al grupo tulip-texasAccountOwner. Si Jane Smith también necesita acceso a la vista del sitio de Londres, podría añadirse al grupo tulip-londonViewer.

Exponer estos grupos como un atributo para Tulip

En su IdP, Jane debe tener un atributo, tulip-role, donde se asignarán todos los grupos de los que sea miembro y que contengan el prefijo "tulip-".

Cuando se registra en Tulip, el atributo tulip-role tiene dos valores: tulip-texasAccountOwner, tulip-londonViewer. Puedes configurar la asignación de roles para cada instancia de Tulip individualmente para que ella reciba los permisos correctos en cada instancia.

Roles Globales

También puedes crear roles de acceso global, como por ejemplo un rol de "Visor". Estos usuarios podrán acceder a todas las instancias de Tulip con los mismos permisos. El formato recomendado para ello es

tulip-globalViewer

Tendrías que configurar esta asignación de roles en cada instancia individual dentro de la página de configuración SAML en Configuración de la cuenta para permitir que este usuario acceda a cada instancia.

¿Has encontrado lo que buscabas?

También puedes dirigirte a community.tulip.co para publicar tu pregunta o ver si otros se han enfrentado a una pregunta similar.