Engedélyezés és hozzáférés-szabályozás SAML használatával
  • 04 Nov 2023
  • 5 Elolvasandó percek
  • Közreműködők

Engedélyezés és hozzáférés-szabályozás SAML használatával


Article Summary

Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.

A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletesen ismerteti a vállalati szintű SAML telepítésének felderítési és végrehajtási folyamatát. Egyetlen telephely esetén kérjük, tekintse meg támogatási cikkünket itt.

Magas szintű folyamat

Előmunkálatok

  • A Tulip felhasználói szerepkörök megértése
  • Az alkalmazottak szerepkör alapú csoportokba sorolása
  • Határozza meg, hogy a szervezeten belül ki fogja konfigurálni az IdP és a Tulip fiókot.
  • Annak meghatározása, hogy a meglévő felhasználókat át kell-e migrálni.

Új helyek

  • A Tulip engedélyezi a SAML-t a webhelyen
  • A szervezet konfigurálja a SAML-t (mind az IdP-ben, mind a Tulipban), és hozzáférést biztosít a felhasználóknak.

Új webhely létrehozásának folyamata

Küldjön egy kérést a Tulip Customer Success Managerének, hogy szeretne egy új webhelyet létrehozni SAML-lel. A következőket kell megadnia:

  • A webhely neve és URL címe
  • Annak a személynek a neve és e-mail címe a szervezetéből, aki bejelentkezik és konfigurálja a SAML-t.

A Tulip létrehozza a webhelyet és engedélyezi a SAML-t.

A konfigurációért felelős személy kap egy e-mailt, hogy jelentkezzen be a webhelyre, ő fogja konfigurálni a SAML-t az itt leírtak szerint. Ők fogják konfigurálni a webhelyet az Ön hozzáférési stratégiája alapján, amelyből a kettőt az alábbiakban határozzuk meg.

Győződjön meg róla, hogy teszteli a hozzáférést a felhasználókkal.

:::(Info) (MEGJEGYZÉS:) A befejezést követően a fiók tulajdonosának törölnie kell a SAML konfiguráló személy felhasználói fiókját, mivel az ő fiókja Tulip felhasználónevet és jelszót használ. Ha ez a személy a jövőben is karbantartja a SAML-t, akkor a jövőbeni konfigurációkhoz Account Owner hozzáféréssel kell rendelkeznie, és a SAML-lel kell bejelentkeznie.

A Tulip által létrehozott SAML tanúsítványok évente lejárnak. A Tulip 2 héttel korábban értesíti a csapatát a tanúsítvány cseréjéről :::

Aktív webhely SAML átalakítási folyamat

Ugyanaz, mint a fentiekben, de a SAML engedélyezése előtt az összes meglévő felhasználót át kell alakítanunk a Tulip-fiókokból SAML-fiókokká. Ehhez szükségünk van egy listára minden felhasználó e-mail címéről és az IdP által megadott NameId-jükről. Együtt fogunk dolgozni a konfigurációért felelős személlyel, hogy ezt az átalakítást minimális állásidővel elvégezzük. Ha a meglévő felhasználókra nincs szükség, egyszerűen törölhetjük az összes felhasználót. Ne feledje, hogy a meglévő adatok, például az ezekhez a felhasználókhoz kapcsolódó Completions nem kerülnek át az új felhasználójukhoz. Lásd a dokumentációt itt

Hivatkozások

A Tulip Azure Active Directoryhoz való konfigurálásának lépésről lépésre történő útmutatója itt található.

Hozzáférés konfigurálása

LTS 6

A Workspaces LTS 6 kiadásával a SAML engedélyezési stratégia megváltozott, hogy a szervezetek jobban tudják kezelni felhasználóikat anélkül, hogy felesleges terhet jelentene az IT számára.

SAML-változások

Vezérlési módok

A Tulip Control Mode a jelenlegi viselkedés, ahol a felhasználó Tulip-szerepét és munkaterületét csak akkor veszi át a SAML-attribútum-leképezésből, amikor először jelentkezik be a Tulipba. A Tulipban deaktivált felhasználók nem tudnak bejelentkezni. Az IdP Control Mode azt jelenti, hogy amikor egy felhasználó sikeresen hitelesíti magát, újra aktiválásra kerül. A Tulip-szerepük és munkaterületük frissül az IdP-től.

SAML Access Control Modes

Alapértelmezett szerepkör-leképezés

Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel), majd a fiók tulajdonosának kell a szerepkört a megfelelő szintre beállítania.

Hozzáférés-szabályozás

Lehetőség van hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja szabni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szerepkörtől vagy a munkaterülettől.

Például:

  • Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
  • A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).

Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.

Munkaterületek

A munkaterületekről itt olvashat részletesen

A szerepkör attribútumhoz hasonlóan most is lehetőséget kap arra, hogy a felhasználókat munkaterületekhez rendelje.

SAML egyéni munkaterület-leképezés

Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában bemutatott csoportok alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.

:::(Info) (MEGJEGYZÉS) Ha ezt a módszert választja, kérnie kell, hogy az IdP-csapata adja hozzá a megfelelő munkaterületet minden olyan felhasználóhoz, akinek Tulip-hozzáférésre van szüksége :::

Alapértelmezett munkaterület-leképezés

Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által választott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.

Hozzáférési csoportok létrehozása

Egyéni szerepkörök hozzárendelése esetén (alapértelmezett LTS 6 előtti)

Szabványosított Tulip hozzáférési csoportok létrehozása:

Minden felhasználónak szüksége lesz egy, az Ön IdP-jében megadott szerepkör-attribútumra, amelyet a Tulip a jogosultságok meghatározásához használ, miután az IdP felhasználónevével és jelszavával hitelesítette magát. Ezt a Role mezőt arra is használhatjuk, hogy egy szabványos elnevezési konvenció segítségével meghatározzuk, hogy milyen oldalakhoz férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót a Tulip specifikus csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.

Szerepkör

Tekintse át a Tulip hozzáférési szerepköröket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.

Egy példa erre a szerepkörre a Számlatulajdonos.

:::(Info) (MEGJEGYZÉS:) Oldalanként legalább egy Account Owner kell, hogy legyen. :::

Site

Tegyük fel, hogy a szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.

Az egyes telephelyeket a helyükkel jelölhetjük (Texas, illetve London).

A két

Ezt a két telephelyet kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a felhasználók hozzárendeléséhez. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg az értéket a Tulip-tel, így könnyebb lesz szűrni.

Egyezmény: tulip-siteRole

| | | | | | | | --- | --- | | | | | acme-texas.tulip.co | acme-london.tulip.co | | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz rendeljük. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatjuk hozzá.

Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára

Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot. Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer.

Globális szerepkörök

Globális hozzáférési szerepköröket is létrehozhat, például nézőként. Ennek formátuma a következő:

tulip-globalViewer

:::(Info) (MEGJEGYZÉS:) Ha egy felhasználó, aki a globális nézői csoport tagja, bejelentkezik egy olyan oldalra, ahol szintén rendelkezik egy nagyobb hozzáféréssel rendelkező szerepkörrel, a Tulip a legmagasabb elérhető hozzáférést adja meg neki :::


Megtalálta, amit keresett?

A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!


Hasznos volt ez a cikk?