- Nyomtat
Engedélyezés és hozzáférés-szabályozás SAML használatával
Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.
A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletesen ismerteti a vállalati szintű SAML telepítésének felderítési és végrehajtási folyamatát. Egyetlen telephely esetén kérjük, tekintse meg támogatási cikkünket itt.
Magas szintű folyamat
Előmunkálatok
- A Tulip felhasználói szerepkörök megértése
- Az alkalmazottak szerepkör alapú csoportokba sorolása
- Határozza meg, hogy a szervezeten belül ki fogja konfigurálni az IdP és a Tulip fiókot.
- Annak meghatározása, hogy a meglévő felhasználókat át kell-e migrálni.
Új helyek
- A Tulip engedélyezi a SAML-t a webhelyen
- A szervezet konfigurálja a SAML-t (mind az IdP-ben, mind a Tulipban), és hozzáférést biztosít a felhasználóknak.
Új webhely létrehozásának folyamata
Küldjön egy kérést a Tulip Customer Success Managerének, hogy szeretne egy új webhelyet létrehozni SAML-lel. A következőket kell megadnia:
- A webhely neve és URL címe
- Annak a személynek a neve és e-mail címe a szervezetéből, aki bejelentkezik és konfigurálja a SAML-t.
A Tulip létrehozza a webhelyet és engedélyezi a SAML-t.
A konfigurációért felelős személy kap egy e-mailt, hogy jelentkezzen be a webhelyre, ő fogja konfigurálni a SAML-t az itt leírtak szerint. Ők fogják konfigurálni a webhelyet az Ön hozzáférési stratégiája alapján, amelyből a kettőt az alábbiakban határozzuk meg.
Győződjön meg róla, hogy teszteli a hozzáférést a felhasználókkal.
:::(Info) (MEGJEGYZÉS:) A befejezést követően a fiók tulajdonosának törölnie kell a SAML konfiguráló személy felhasználói fiókját, mivel az ő fiókja Tulip felhasználónevet és jelszót használ. Ha ez a személy a jövőben is karbantartja a SAML-t, akkor a jövőbeni konfigurációkhoz Account Owner hozzáféréssel kell rendelkeznie, és a SAML-lel kell bejelentkeznie.
A Tulip által létrehozott SAML tanúsítványok évente lejárnak. A Tulip 2 héttel korábban értesíti a csapatát a tanúsítvány cseréjéről :::
Aktív webhely SAML átalakítási folyamat
Ugyanaz, mint a fentiekben, de a SAML engedélyezése előtt az összes meglévő felhasználót át kell alakítanunk a Tulip-fiókokból SAML-fiókokká. Ehhez szükségünk van egy listára minden felhasználó e-mail címéről és az IdP által megadott NameId-jükről. Együtt fogunk dolgozni a konfigurációért felelős személlyel, hogy ezt az átalakítást minimális állásidővel elvégezzük. Ha a meglévő felhasználókra nincs szükség, egyszerűen törölhetjük az összes felhasználót. Ne feledje, hogy a meglévő adatok, például az ezekhez a felhasználókhoz kapcsolódó Completions nem kerülnek át az új felhasználójukhoz. Lásd a dokumentációt itt
Hivatkozások
A Tulip Azure Active Directoryhoz való konfigurálásának lépésről lépésre történő útmutatója itt található.
Hozzáférés konfigurálása
LTS 6
A Workspaces LTS 6 kiadásával a SAML engedélyezési stratégia megváltozott, hogy a szervezetek jobban tudják kezelni felhasználóikat anélkül, hogy felesleges terhet jelentene az IT számára.
SAML-változások
Vezérlési módok
A Tulip Control Mode a jelenlegi viselkedés, ahol a felhasználó Tulip-szerepét és munkaterületét csak akkor veszi át a SAML-attribútum-leképezésből, amikor először jelentkezik be a Tulipba. A Tulipban deaktivált felhasználók nem tudnak bejelentkezni. Az IdP Control Mode azt jelenti, hogy amikor egy felhasználó sikeresen hitelesíti magát, újra aktiválásra kerül. A Tulip-szerepük és munkaterületük frissül az IdP-től.
Alapértelmezett szerepkör-leképezés
Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel), majd a fiók tulajdonosának kell a szerepkört a megfelelő szintre beállítania.
Hozzáférés-szabályozás
Lehetőség van hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja szabni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szerepkörtől vagy a munkaterülettől.
Például:
- Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
- A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).
Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.
Munkaterületek
A munkaterületekről itt olvashat részletesen
A szerepkör attribútumhoz hasonlóan most is lehetőséget kap arra, hogy a felhasználókat munkaterületekhez rendelje.
SAML egyéni munkaterület-leképezés
Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában bemutatott csoportok alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.
:::(Info) (MEGJEGYZÉS) Ha ezt a módszert választja, kérnie kell, hogy az IdP-csapata adja hozzá a megfelelő munkaterületet minden olyan felhasználóhoz, akinek Tulip-hozzáférésre van szüksége :::
Alapértelmezett munkaterület-leképezés
Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által választott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.
Hozzáférési csoportok létrehozása
Egyéni szerepkörök hozzárendelése esetén (alapértelmezett LTS 6 előtti)
Szabványosított Tulip hozzáférési csoportok létrehozása:
Minden felhasználónak szüksége lesz egy, az Ön IdP-jében megadott szerepkör-attribútumra, amelyet a Tulip a jogosultságok meghatározásához használ, miután az IdP felhasználónevével és jelszavával hitelesítette magát. Ezt a Role mezőt arra is használhatjuk, hogy egy szabványos elnevezési konvenció segítségével meghatározzuk, hogy milyen oldalakhoz férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót a Tulip specifikus csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.
Szerepkör
Tekintse át a Tulip hozzáférési szerepköröket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.
Egy példa erre a szerepkörre a Számlatulajdonos.
:::(Info) (MEGJEGYZÉS:) Oldalanként legalább egy Account Owner kell, hogy legyen. :::
Site
Tegyük fel, hogy a szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.
Az egyes telephelyeket a helyükkel jelölhetjük (Texas, illetve London).
A két
Ezt a két telephelyet kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a felhasználók hozzárendeléséhez. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg az értéket a Tulip-tel, így könnyebb lesz szűrni.
Egyezmény: tulip-siteRole
| | | | | | | | --- | --- | | | | | acme-texas.tulip.co | acme-london.tulip.co | | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |
Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz rendeljük. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatjuk hozzá.
Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára
Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot. Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer.
Globális szerepkörök
Globális hozzáférési szerepköröket is létrehozhat, például nézőként. Ennek formátuma a következő:
tulip-globalViewer
:::(Info) (MEGJEGYZÉS:) Ha egy felhasználó, aki a globális nézői csoport tagja, bejelentkezik egy olyan oldalra, ahol szintén rendelkezik egy nagyobb hozzáféréssel rendelkező szerepkörrel, a Tulip a legmagasabb elérhető hozzáférést adja meg neki :::
Megtalálta, amit keresett?
A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!