Tartalomjegyzék x
    Engedélyezés és hozzáférés-szabályozás SAML használatával
    • 05 Jan 2024
    • 4 Elolvasandó percek
    • Közreműködők
    • Nyomtat
    Tartalomjegyzék

    Engedélyezés és hozzáférés-szabályozás SAML használatával

    • Frissítve 05 Jan 2024
    • 4 Elolvasandó percek
    • Közreműködők
    • Nyomtat
    Article Summary

    Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.

    A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletesen ismerteti a SAML protokollon keresztül történő vállalati szintű IdP-integráció megvalósításának rendelkezésre álló lehetőségeit.

    :::(Warning) (Megjegyzés) Ez a cikk a SAML + Tulip integráció konfigurálásának összes lehetőségére összpontosít. A Tulipban történő beállításról szóló útmutatót lásd ebben az útmutatóban. :::

    Prework

    • A Tulip felhasználói szerepek megértése
    • Az alkalmazottak szerepkör alapú csoportokba sorolása
    • Határozza meg, hogy a szervezeten belül ki fogja konfigurálni az IdP és a Tulip fiókot.

    SAML + Tulip konfigurációs lehetőségek

    Vezérlési módok

    ATulip Control Mode azt jelzi, hogy a felhasználó Tulip-szerepét és munkaterületét a SAML attribútum-leképezésből veszi **csak akkor, amikor először jelentkezik be a Tulipba. **

    A Tulipban deaktivált felhasználók nem tudnak bejelentkezni.

    AzIdP Control Mode azt jelenti, hogy a felhasználó Tulip-szerepe és munkaterülete minden bejelentkezéskor frissül az IdP-től.

    Alapértelmezett szerepkör-leképezés (csak Tulip Control Mode)

    Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel). A fiók tulajdonosának ezután a Tulipban manuálisan kell a megfelelő szintre állítania a szerepkört.

    Hozzáférés-szabályozás

    Lehetőség van hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja határozni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szerepkörtől vagy a munkaterülettől.

    Például:

    • Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
    • A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).

    Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.

    Munkaterületek

    A munkaterületekről itt olvashat részletesen

    A szerep attribútumhoz hasonlóan mostantól lehetősége lesz arra, hogy a felhasználókat automatikusan hozzárendelje egy adott munkaterülethez, amikor a felhasználót először létrehozzák. A felhasználó létrehozása után a fiók tulajdonosai rugalmasan mozgathatják a felhasználókat a munkaterületek között.

    SAML egyéni munkaterület-leképezés

    Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában megadott csoport alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.

    Alapértelmezett munkaterület-leképezés

    Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által kiválasztott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.

    Példa - Hozzáférési csoportok létrehozása az IdP-n belül

    Szabványosított Tulip hozzáférési csoportok létrehozása

    Minden felhasználónak meg kell adni egy szerepkör-attribútumot az IdP-ben, hogy a Tulip meg tudja határozni a jogosultságait, miután az IdP felhasználónevével és jelszavával hitelesítették.

    Ezt a Role mezőt arra is használhatja, hogy egy szabványos elnevezési konvenció segítségével meghatározza, hogy milyen webhelyekhez férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót a Tulip meghatározott csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.

    Szerepkör

    Tekintse át a Tulip felhasználói szerepköröket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.

    Egy példa erre a szerepkörre a Számlatulajdonos.

    :::(Info) (MEGJEGYZÉS:) Oldalanként legalább egy Account Owner kell, hogy legyen. :::

    Site

    Tegyük fel, hogy a szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.

    Az egyes telephelyeket a helyükkel jelölhetjük (Texas, illetve London).

    Telephely és szerepkör kombinálása

    Ezt a két tulajdonságot kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a hozzárendelendő felhasználók számára. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg a Tulip értéket, így könnyebb lesz szűrni.

    Egyezmény: tulip-siteRole

    | | | | | | | | --- | --- | | | | | acme-texas.tulip.co | acme-london.tulip.co | | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

    Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz kell rendelni. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatja hozzá.

    Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára

    Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot.

    Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer. A szerepek hozzárendelését minden egyes Tulip-példányhoz külön-külön is beállíthatja, hogy minden egyes példányban a megfelelő jogosultságokat kapja.

    Globális szerepkörök

    Globális hozzáférési szerepköröket is létrehozhat, mint például a "Viewer" szerepkör. Ezek a felhasználók minden Tulip-példányba ugyanazokkal a jogosultságokkal tudnak majd bejelentkezni. Az ajánlott formátum ehhez a következő:

    Tulip-globalViewer

    Ezt a szerepköri hozzárendelést minden egyes példányon be kell állítania a Fiókbeállítások SAML konfigurációs lapon belül, hogy ez a felhasználó minden egyes példányhoz hozzáférhessen.

    Megtalálta, amit keresett?

    A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!

    Hasznos volt ez a cikk?
    What's Next
    Platform
    Library
    Products
    Resources
    Existing Users
    Connect With Us
    Contact Sales
    Copyright © Tulip Interfaces. All Rights Reserved