Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.
A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletezi a SAML protokollon keresztül történő vállalati szintű IdP-integráció megvalósításának rendelkezésre álló lehetőségeit.
This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.
Előzetes munka
- A Tulip felhasználói szerepek megértése
- Várható Tulip-felhasználók szerepkörök szerint, így készen áll a SAML-attribútum frissítésére a Tulip-szerepükkel.
- Határozza meg, hogy a szervezetén belül ki fogja konfigurálni az IdP és a Tulip fiókot.
SAML + Tulip konfigurációs lehetőségek
Vezérlési módok
A Tulip Control Mode azt jelzi, hogy a felhasználó Tulip-szerepét és munkaterületét csak akkor veszi át a SAML-attribútum leképezéséből, amikor először jelentkezik be a Tulipba.
A Tulipban deaktivált felhasználók nem tudnak bejelentkezni.
Az IdP Control Mode azt jelenti, hogy a felhasználó Tulip-szerepe és munkaterülete minden bejelentkezéskor frissül az IdP-ről.
Alapértelmezett szerepkör-leképezés (csak Tulip-vezérlési mód)
Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel). A fiók tulajdonosának ezután a Tulipban manuálisan kell a megfelelő szintre állítania a szerepkört.
Hozzáférés-szabályozás (csak Tulip Control Mode)
Lehetőség van olyan hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja határozni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szereptől vagy a munkaterülettől.
Például:
- Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
- A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).
Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.
Munkaterületek
A munkaterületekről itt olvashat részletesen
A szerep attribútumhoz hasonlóan mostantól lehetőséged lesz arra, hogy a felhasználókat automatikusan hozzárendeld egy adott munkaterülethez, amikor a felhasználót először létrehozod. A felhasználó létrehozása után a fiók tulajdonosai rugalmasan mozgathatják a felhasználókat a munkaterületek között.
SAML egyéni munkaterület-leképezés
::::(Info) (Több munkaterület) Felhívjuk figyelmét, hogy a felhasználókat csak a Tulip Control módban lehet több munkaterülethez hozzárendelni.
IdP Control Mode (IdP-ellenőrzési mód) esetén minden felhasználó csak egyetlen munkaterület tagja lehet.
:::
Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában bemutatott csoport alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.
Alapértelmezett munkaterület-leképezés
Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által kiválasztott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.
Felhasználói csoportok
Minden SAML-konfigurációban leképezheti a felhasználókat a Tulip felhasználói csoportok{target=_blank}
funkciójába.
A felhasználói csoportok a fiókok szintjén léteznek. Ha egy felhasználó leképezésre kerül egy felhasználói csoportba, akkor minden munkaterületen az adott felhasználói csoport tagja lesz.
Ha bekapcsolja a Felhasználói csoportok opciót, akkor a SAML egy attribútumának értéke alapján leképezheti az IdP felhasználóit a Tulip felhasználói csoportjaiba.
Ezt követően akár 100 SAML-attribútumot is megnevezhet, és mindegyikből leképezheti az értékeket egy felhasználói csoporthoz. Egy felhasználó ezután több felhasználói csoporthoz is hozzárendelhető.
Példa - Hozzáférési csoportok létrehozása az IdP-n belül
A következő példa segítségével láthatja, hogyan használhatók együtt a SAML-beállítások különböző opciói.
Szabványosított Tulip szerepkörök létrehozása
Minden felhasználónak szüksége lesz egy szerep attribútumra, amelyet az IdP-ben kell megadni, hogy a Tulip meg tudja határozni a jogosultságait, miután az IdP felhasználónevével és jelszavával hitelesítették.
Ezt a Role mezőt arra is használhatja, hogy egy szabványos elnevezési konvenció segítségével meghatározza, hogy milyen webhelyekhez férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót az IdP-n belül a Tulip meghatározott csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.
Szerepkör
Tekintse át a Tulip felhasználói szerepeket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.
Egy példa erre a szerepkörre a Számlatulajdonos.
There needs to be at least one Account Owner per site.
Oldal
Tegyük fel, hogy szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.
Az egyes telephelyeket a helyükkel jelölhetjük (Texas és London).
Telephely és szerepkör kombinálása
Ezt a két tulajdonságot kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a felhasználók számára kijelölhető csoportokhoz. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg a Tulip értéket, így könnyebb lesz szűrni.
Egyezmény: tulip-siteRole
acme-texas.tulip.co | acme-london.tulip.co | |
Fiók tulajdonosa | tulip-texasAccountOwner | tulip-londonAccountOwner |
Alkalmazásfelügyelő | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor |
Viewer | tulip-texasViewer | tulip-londonViewer |
Operator | tulip-texasOperator | tulip-londonOperator |
... |
Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz rendeljük. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatja hozzá.
Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára
Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot.
Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer. A szerepek hozzárendelését minden egyes Tulip-példányhoz külön-külön is beállíthatja, hogy minden egyes példányban a megfelelő jogosultságokat kapja.
Globális szerepkörök
Globális hozzáférési szerepköröket is létrehozhat, mint például a "Viewer" szerepkör. Ezek a felhasználók minden Tulip-példányba ugyanazokkal a jogosultságokkal tudnak majd bejelentkezni. Az ajánlott formátum ehhez a következő:
Tulip-globalViewer
Ezt a szerepköri hozzárendelést minden egyes példányon be kell állítania a Fiókbeállítások SAML konfigurációs lapon belül, hogy ez a felhasználó minden egyes példányhoz hozzáférhessen.
Megtalálta, amit keresett?
A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!