Engedélyezés és hozzáférés-szabályozás SAML használatával

Prev Next

Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.

A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletezi a SAML protokollon keresztül történő vállalati szintű IdP-integráció megvalósításának rendelkezésre álló lehetőségeit.

Note

This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

Előzetes munka

  • A Tulip felhasználói szerepek megértése
  • Várható Tulip-felhasználók szerepkörök szerint, így készen áll a SAML-attribútum frissítésére a Tulip-szerepükkel.
  • Határozza meg, hogy a szervezetén belül ki fogja konfigurálni az IdP és a Tulip fiókot.

SAML + Tulip konfigurációs lehetőségek

Vezérlési módok

A Tulip Control Mode azt jelzi, hogy a felhasználó Tulip-szerepét és munkaterületét csak akkor veszi át a SAML-attribútum leképezéséből, amikor először jelentkezik be a Tulipba.

A Tulipban deaktivált felhasználók nem tudnak bejelentkezni.

Az IdP Control Mode azt jelenti, hogy a felhasználó Tulip-szerepe és munkaterülete minden bejelentkezéskor frissül az IdP-ről.

Alapértelmezett szerepkör-leképezés (csak Tulip-vezérlési mód)

Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel). A fiók tulajdonosának ezután a Tulipban manuálisan kell a megfelelő szintre állítania a szerepkört.

Hozzáférés-szabályozás (csak Tulip Control Mode)

Lehetőség van olyan hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja határozni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szereptől vagy a munkaterülettől.

Például:

  • Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
  • A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).

Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.

Munkaterületek

A munkaterületekről itt olvashat részletesen

A szerep attribútumhoz hasonlóan mostantól lehetőséged lesz arra, hogy a felhasználókat automatikusan hozzárendeld egy adott munkaterülethez, amikor a felhasználót először létrehozod. A felhasználó létrehozása után a fiók tulajdonosai rugalmasan mozgathatják a felhasználókat a munkaterületek között.

SAML egyéni munkaterület-leképezés

::::(Info) (Több munkaterület) Felhívjuk figyelmét, hogy a felhasználókat csak a Tulip Control módban lehet több munkaterülethez hozzárendelni.

IdP Control Mode (IdP-ellenőrzési mód) esetén minden felhasználó csak egyetlen munkaterület tagja lehet.
:::

Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában bemutatott csoport alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.

Alapértelmezett munkaterület-leképezés

Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által kiválasztott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.

Felhasználói csoportok

Minden SAML-konfigurációban leképezheti a felhasználókat a Tulip felhasználói csoportok{target=_blank} funkciójába.

A felhasználói csoportok a fiókok szintjén léteznek. Ha egy felhasználó leképezésre kerül egy felhasználói csoportba, akkor minden munkaterületen az adott felhasználói csoport tagja lesz.

Ha bekapcsolja a Felhasználói csoportok opciót, akkor a SAML egy attribútumának értéke alapján leképezheti az IdP felhasználóit a Tulip felhasználói csoportjaiba.

image.png

Ezt követően akár 100 SAML-attribútumot is megnevezhet, és mindegyikből leképezheti az értékeket egy felhasználói csoporthoz. Egy felhasználó ezután több felhasználói csoporthoz is hozzárendelhető.

image.png

Példa - Hozzáférési csoportok létrehozása az IdP-n belül

A következő példa segítségével láthatja, hogyan használhatók együtt a SAML-beállítások különböző opciói.

Szabványosított Tulip szerepkörök létrehozása

Minden felhasználónak szüksége lesz egy szerep attribútumra, amelyet az IdP-ben kell megadni, hogy a Tulip meg tudja határozni a jogosultságait, miután az IdP felhasználónevével és jelszavával hitelesítették.

Ezt a Role mezőt arra is használhatja, hogy egy szabványos elnevezési konvenció segítségével meghatározza, hogy milyen webhelyekhez férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót az IdP-n belül a Tulip meghatározott csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.

Szerepkör

Tekintse át a Tulip felhasználói szerepeket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.

Egy példa erre a szerepkörre a Számlatulajdonos.

NOTE:

There needs to be at least one Account Owner per site.

Oldal

Tegyük fel, hogy szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.

Az egyes telephelyeket a helyükkel jelölhetjük (Texas és London).

Telephely és szerepkör kombinálása

Ezt a két tulajdonságot kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a felhasználók számára kijelölhető csoportokhoz. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg a Tulip értéket, így könnyebb lesz szűrni.

Egyezmény: tulip-siteRole

acme-texas.tulip.co acme-london.tulip.co
Fiók tulajdonosa tulip-texasAccountOwner tulip-londonAccountOwner
Alkalmazásfelügyelő tulip-texasApplicationSupervisor tulip-londonApplicationSupervisor
Viewer tulip-texasViewer tulip-londonViewer
Operator tulip-texasOperator tulip-londonOperator
...

Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz rendeljük. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatja hozzá.

Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára

Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot.

Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer. A szerepek hozzárendelését minden egyes Tulip-példányhoz külön-külön is beállíthatja, hogy minden egyes példányban a megfelelő jogosultságokat kapja.

Globális szerepkörök

Globális hozzáférési szerepköröket is létrehozhat, mint például a "Viewer" szerepkör. Ezek a felhasználók minden Tulip-példányba ugyanazokkal a jogosultságokkal tudnak majd bejelentkezni. Az ajánlott formátum ehhez a következő:

Tulip-globalViewer

Ezt a szerepköri hozzárendelést minden egyes példányon be kell állítania a Fiókbeállítások SAML konfigurációs lapon belül, hogy ez a felhasználó minden egyes példányhoz hozzáférhessen.


Megtalálta, amit keresett?

A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!