Autorización y control de acceso mediante SAML
  • 08 Jan 2025
  • 5 Minutos para leer
  • Colaboradores

Autorización y control de acceso mediante SAML


Resumen del artículo

Instrucciones y metodología para definir su política de acceso y gestionar SAML para su organización.

SAML permite a las organizaciones gestionar la autenticación y los derechos de acceso de los usuarios de Tulip utilizando su proveedor de identidad (IdP) existente. Esta guía detallará las opciones disponibles para la implementación de la integración de IdP a nivel empresarial a través del protocolo SAML.

Note

This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

Trabajo previo

  • Entender los roles de usuario de Tulip
  • Agrupar a los empleados en grupos basados en roles
  • Identifique quién dentro de su organización configurará su IdP y cuenta Tulip

Opciones de configuración de SAML + Tulip

Modos de Control

Elmodo de control de Tulip indica que el rol de Tulip y el espacio de trabajo de un usuario se toman del mapeo de atributos SAML **sólo la primera vez que inician sesión en Tulip. **

Los usuarios desactivados en Tulip no pueden iniciar sesión.

IdP Control Mode significa que el rol y el espacio de trabajo de un usuario de Tulip se actualizarán desde el IdP cada vez que inicie sesión.

Asignación de roles por defecto (sólo en Tulip Control Mode)

En el primer inicio de sesión, todos los usuarios reciben un nivel de acceso predeterminado (Visor con acceso de Reproductor). El propietario de la cuenta tendrá que ajustar el rol al nivel apropiado manualmente dentro de Tulip.

Control de acceso

Puedes elegir añadir un atributo de control de acceso, donde el usuario necesita tener un valor específico para poder acceder a Tulip. Esto es especialmente relevante para los escenarios de mapeo por defecto, donde usted todavía quiere dictar quién debe ser capaz de acceder a Tulip, independientemente de la función o espacio de trabajo.

Por ejemplo:

  • Un usuario debe tener un atributo TulipAccessControl establecido en True
  • Un usuario debe pertenecer a un grupo TulipUsers, que se expone a través de un atributo TulipAccessControl (ver ejemplo abajo)

Si decide utilizar el control de acceso, deberá solicitar a su equipo de IdP que añada el atributo y el valor definidos a todos los usuarios que deban tener algún tipo de acceso a Tulip.

Espacios de trabajo

Puedes leer sobre los espacios de trabajo en detalle aquí

Al igual que el atributo de rol, ahora se le dará la opción de asignar usuarios a un espacio de trabajo específico de forma automática cuando el usuario se crea inicialmente. Tras la creación del usuario, los propietarios de cuentas pueden mover usuarios entre espacios de trabajo de forma flexible.

Asignación de espacios de trabajo personalizados SAML

:::(Info) (Múltiples espacios de trabajo) Tenga en cuenta que sólo puede asignar usuarios a múltiples espacios de trabajo en Tulip Control Mode.

En el modo de control IdP, cada usuario sólo puede ser miembro de un único espacio de trabajo.
:::

En el primer inicio de sesión, a un usuario se le asigna un acceso al espacio de trabajo basado en el grupo presentado en su atributo de espacio de trabajo. A partir de ese momento, Tulip ya no leerá el atributo de espacio de trabajo de ese usuario, y cualquier cambio en el espacio de trabajo deberá ser realizado en la plataforma por un propietario de cuenta.

Asignación del espacio de trabajo por defecto

En el primer inicio de sesión, todos los usuarios tienen acceso a un espacio de trabajo predeterminado de su elección. A continuación, el propietario de la cuenta puede ajustar el acceso al espacio de trabajo.

Ejemplo - Creación de grupos de acceso dentro de su IdP

Creación de grupos de acceso estandarizados de Tulip

Cada usuario necesitará un atributo de rol especificado en su IdP para que Tulip pueda determinar sus privilegios una vez que se hayan autenticado con su nombre de usuario y contraseña de IdP.

También puede utilizar este campo Rol para determinar a qué sitios tienen acceso utilizando una convención de nomenclatura estándar. Mientras que un campo de rol puede ser simplemente una variable de conjunto, se recomienda que asignes al usuario a grupos específicos de Tulip y los asignes a un atributo.

Rol

Revisa los roles de usuario de Tulip aquí. Cada usuario necesitará al menos un rol. Si un usuario tiene múltiples roles, Tulip seleccionará el de mayor acceso.

Un ejemplo de rol es Propietario de Cuenta.

NOTE:

There needs to be at least one Account Owner per site.

Sitio

Digamos que tu organización tiene dos sitios, con una instancia de Tulip para cada uno.

Podemos denotar cada sitio por su ubicación (Texas y Londres, respectivamente).

Combinación de sitio y función

Podemos combinar estas dos propiedades para crear una matriz de grupos para asignar usuarios. Recomendamos que las organizaciones añadan o antepongan el valor con Tulip, para que sea más fácil filtrar por él.

Convención: tulip-siteRole

acme-texas.tulip.coacme-london.tulip.co
Propietario de la cuentatulip-texasAccountOwnertulip-londonAccountOwner
Supervisor de aplicacióntulip-texasApplicationSupervisortulip-londonApplicationSupervisor
Visortulip-texasViewertulip-londonViewer
Operadortulip-texasOperatortulip-londonOperator
...

Si Jane Smith es la responsable del sitio de Texas, la asignarías al grupo tulip-texasAccountOwner. Si Jane Smith también necesita acceso a la vista en el sitio de Londres, podría ser agregada al grupo tulip-londonViewer.

Exponer estos grupos como un atributo para Tulip

En su IdP, Jane debe tener un atributo, tulip-role, donde se asignarán todos los grupos de los que sea miembro y que contengan el prefijo "tulip-".

Cuando se registra en Tulip, el atributo tulip-role tiene dos valores: tulip-texasAccountOwner, tulip-londonViewer. Puedes configurar la asignación de roles para cada instancia de Tulip individualmente para que ella reciba los permisos correctos en cada instancia.

Roles Globales

También puedes crear roles de acceso global, como por ejemplo un rol de "Visor". Estos usuarios podrán acceder a todas las instancias de Tulip con los mismos permisos. El formato recomendado para ello es

tulip-globalViewer

Tendrás que configurar esta asignación de roles en cada instancia individual dentro de la página de configuración SAML en Configuración de la cuenta para permitir que este usuario acceda a cada instancia.


¿Has encontrado lo que buscabas?

También puedes dirigirte a community.tulip.co para publicar tu pregunta o ver si otros se han enfrentado a una pregunta similar.


¿Te ha sido útil este artículo?