Engedélyezés és hozzáférés-szabályozás SAML használatával
  • 08 Jan 2025
  • 3 Elolvasandó percek
  • Közreműködők

Engedélyezés és hozzáférés-szabályozás SAML használatával


Cikk összefoglaló

Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.

A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletesen ismerteti a SAML protokollon keresztül történő vállalati szintű IdP-integráció megvalósításának rendelkezésre álló lehetőségeit.

Note

This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

Prework

  • A Tulip felhasználói szerepek megértése
  • Az alkalmazottak szerepkör-alapú csoportokba sorolása
  • Határozza meg, hogy a szervezeten belül ki fogja konfigurálni az IdP és a Tulip fiókot.

SAML + Tulip konfigurációs lehetőségek

Vezérlési módok

A Tulip Control Mode azt jelzi, hogy a felhasználó Tulip-szerepét és munkaterületét a SAML attribútum-leképezésből veszi **csak akkor, amikor először jelentkezik be a Tulipba. **

A Tulipban deaktivált felhasználók nem tudnak bejelentkezni.

Az IdP Control Mode azt jelenti, hogy a felhasználó Tulip-szerepe és munkaterülete minden bejelentkezéskor frissül az IdP-ről.

Alapértelmezett szerepkör-leképezés (csak Tulip Control Mode)

Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel). A fiók tulajdonosának ezután a Tulipban manuálisan kell a megfelelő szintre állítania a szerepkört.

Hozzáférés-szabályozás

Lehetőség van hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja határozni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szereptől vagy a munkaterülettől.

Például:

  • Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
  • A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).

Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.

Munkaterületek

A munkaterületekről itt olvashat részletesen

A szerep attribútumhoz hasonlóan mostantól lehetősége lesz arra, hogy a felhasználókat automatikusan hozzárendelje egy adott munkaterülethez, amikor a felhasználót először létrehozzák. A felhasználó létrehozása után a fiók tulajdonosai rugalmasan mozgathatják a felhasználókat a munkaterületek között.

SAML egyéni munkaterület-leképezés

:::(Info) (Több munkaterület) Felhívjuk figyelmét, hogy a felhasználókat csak Tulip Control módban lehet több munkaterülethez hozzárendelni.

IdP Control Mode (IdP-ellenőrzési mód) esetén minden felhasználó csak egyetlen munkaterület tagja lehet.
:::

Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában bemutatott csoport alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.

Alapértelmezett munkaterület-leképezés

Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által kiválasztott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.

Példa - Hozzáférési csoportok létrehozása az IdP-n belül

Szabványosított Tulip hozzáférési csoportok létrehozása

Minden felhasználónak meg kell adni egy szerepkör-attribútumot az IdP-ben, hogy a Tulip meg tudja határozni a jogosultságaikat, miután az IdP felhasználónevével és jelszavával hitelesítették őket.

Ezt a Role mezőt arra is használhatja, hogy egy szabványos elnevezési konvenció segítségével meghatározza, hogy milyen webhelyekhez férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót a Tulip meghatározott csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.

Szerepkör

Tekintse át a Tulip felhasználói szerepköröket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.

Egy példa erre a szerepkörre a Számlatulajdonos.

NOTE:

There needs to be at least one Account Owner per site.

Site

Tegyük fel, hogy a szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.

Az egyes telephelyeket a helyükkel jelölhetjük (Texas és London).

Telephely és szerep kombinálása

Ezt a két tulajdonságot kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a hozzárendelendő felhasználók számára. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg a Tulip értéket, így könnyebb lesz szűrni.

Egyezmény: tulip-siteRole

acme-texas.tulip.coacme-london.tulip.co
Fiók tulajdonosatulip-texasAccountOwnertulip-londonAccountOwner
Alkalmazásfelügyelőtulip-texasApplicationSupervisortulip-londonApplicationSupervisor
Viewertulip-texasViewertulip-londonViewer
Operatortulip-texasOperatortulip-londonOperator
...

Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz rendeljük. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatja hozzá.

Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára

Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot.

Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer. A szerepek hozzárendelését minden egyes Tulip-példányhoz külön-külön is beállíthatja, hogy minden egyes példányban a megfelelő jogosultságokat kapja.

Globális szerepkörök

Globális hozzáférési szerepköröket is létrehozhat, mint például a "Viewer" szerepkör. Ezek a felhasználók minden Tulip-példányba ugyanazokkal a jogosultságokkal tudnak majd bejelentkezni. Az ajánlott formátum ehhez a következő:

Tulip-globalViewer

Ezt a szerepköri hozzárendelést minden egyes példányon be kell állítania a Fiókbeállítások SAML konfigurációs lapon belül, hogy ez a felhasználó minden egyes példányhoz hozzáférhessen.


Megtalálta, amit keresett?

A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!


Hasznos volt ez a cikk?