Autorizzazione e controllo degli accessi con SAML

Istruzioni e metodologia per definire la politica di accesso e gestire SAML per la vostra organizzazione.

SAML consente alle organizzazioni di gestire l'autenticazione e i diritti di accesso degli utenti Tulip utilizzando il loro provider di identità (IdP) esistente. Questa guida illustra il processo di scoperta e implementazione dell'installazione SAML a livello aziendale. Per un singolo sito, consultare il nostro articolo di supporto qui.

Processo di alto livello

Prelavoro

• Comprendere i ruoli degli utenti Tulip
• Suddividere i dipendenti in gruppi basati sui ruoli
• Identificare chi, all'interno dell'organizzazione, configurerà l'IdP e l'account Tulip.
• Determinare se gli utenti esistenti devono essere migrati.

Nuovi siti

• Tulip abilita SAML sul vostro sito
• L'organizzazione configura SAML (sia nell'IdP che in Tulip) e concede l'accesso agli utenti.

Processo di creazione di un nuovo sito

Inviare al Customer Success Manager di Tulip una richiesta di creazione di un nuovo sito con SAML. Dovete fornire i seguenti dati:

• Nome e URL del sito
• Il nome e l'e-mail della persona della vostra organizzazione che effettuerà il login e configurerà SAML.

Tulip creerà il sito e abiliterà SAML.

La persona responsabile della configurazione riceverà un'e-mail per accedere al sito e configurerà SAML come descritto qui. Configurerà il sito in base alla strategia di accesso, definita di seguito.

Assicurarsi di testare l'accesso con gli utenti.

:::(Info) (NOTA:) Una volta completato, il Proprietario dell'account deve eliminare l'account utente della persona che ha configurato SAML, poiché il suo account utilizza un nome utente e una password Tulip. Se questa persona si occuperà di SAML in futuro, dovrà ottenere l'accesso come Proprietario dell'account e accedere con SAML per le configurazioni future.

I certificati SAML creati da Tulip hanno scadenza annuale. Tulip contatterà il vostro team per avvisarlo 2 settimane prima della rotazione del certificato:

Processo di conversione SAML del sito attivo

Come sopra, ma prima di abilitare SAML, dovremo convertire tutti gli utenti esistenti da account Tulip ad account SAML. A tal fine, abbiamo bisogno di un elenco di e-mail di tutti gli utenti e del loro NameId fornito dall'IdP. Collaboreremo con la persona responsabile della configurazione per effettuare la conversione con tempi di inattività minimi. Se gli utenti esistenti non sono necessari, possiamo semplicemente eliminarli tutti. Tenete presente che i dati esistenti, come le Completazioni, collegati a questi utenti non saranno migrati al loro nuovo utente. Vedere la documentazione qui

Riferimenti

Le istruzioni passo-passo per la configurazione di Tulip per Azure Active Directory sono qui.

Configurazione dell'accesso

LTS 6

Con il rilascio di Workspaces nella LTS 6, la strategia di autorizzazione SAML è cambiata per consentire alle organizzazioni di gestire meglio i propri utenti senza creare un onere inutile per l'IT.

Cambiamenti SAML

Modalità di controllo

La modalità di controllo Tulip è il comportamento attuale in cui il ruolo Tulip e lo spazio di lavoro di un utente vengono presi dalla mappatura degli attributi SAML solo al primo accesso a Tulip. Agli utenti disattivati in Tulip viene impedito di accedere. La modalità di controllo IdP significa che ogni volta che un utente si autentica con successo, viene riattivato. Il ruolo e lo spazio di lavoro di Tulip verranno aggiornati dall'IdP.

Mappatura dei ruoli predefinita

Al primo accesso, a tutti gli utenti viene assegnato un livello di accesso predefinito (Viewer con accesso Player); il proprietario dell'account dovrà poi regolare il ruolo al livello appropriato.

Controllo dell'accesso

Si può scegliere di aggiungere un attributo di controllo dell'accesso, in cui l'utente deve avere un valore specifico per poter accedere a Tulip. Questo è particolarmente importante per gli scenari di mappatura predefinita, in cui si vuole comunque stabilire chi deve essere in grado di accedere a Tulip, indipendentemente dal ruolo o dallo spazio di lavoro.

Ad esempio:

• Un utente deve avere l'attributo TulipAccessControl impostato su True.
• Un utente deve appartenere a un gruppo TulipUsers, che è esposto attraverso l'attributo TulipAccessControl (vedi esempio sotto).

Se si sceglie di utilizzare il controllo degli accessi, è necessario richiedere al team dell'IdP di aggiungere l'attributo e il valore definiti a tutti gli utenti che devono avere accesso a Tulip.

Spazi di lavoro

Potete leggere qui i dettagli degli spazi di lavoro

Come per l'attributo ruolo, ora vi sarà data l'opzione di mappare gli utenti agli spazi di lavoro.

Mappatura SAML personalizzata dello spazio di lavoro

Al primo accesso, a un utente viene assegnato l'accesso allo spazio di lavoro in base ai gruppi presentati nell'attributo dello spazio di lavoro. Dopo questo momento, Tulip non leggerà più l'attributo dello spazio di lavoro di quell'utente e qualsiasi modifica dello spazio di lavoro dovrà essere effettuata nella piattaforma da un proprietario dell'account.

:::(Info) (NOTA) Se si sceglie questo metodo, è necessario richiedere al team dell'IdP di aggiungere l'area di lavoro appropriata a tutti gli utenti che richiedono l'accesso a Tulip:

Mappatura predefinita dello spazio di lavoro

Al primo accesso, tutti gli utenti hanno accesso a uno spazio di lavoro predefinito di vostra scelta. Il proprietario dell'account può poi modificare l'accesso allo spazio di lavoro.

Creazione di gruppi di accesso

Per l'opzione di mappatura dei ruoli personalizzata (predefinita prima della LTS 6)

Creare gruppi di accesso Tulip standardizzati:

Ogni utente avrà bisogno di un attributo di ruolo specificato nel vostro IdP che Tulip utilizzerà per determinare i suoi privilegi una volta che si sarà autenticato con il suo nome utente e la sua password. Possiamo anche usare questo campo Ruolo per determinare a quali siti hanno accesso usando una convenzione di denominazione standard. Mentre un campo ruolo può essere semplicemente una variabile impostata, si raccomanda di assegnare l'utente a gruppi specifici di Tulip e di mapparli su un attributo.

Ruolo

Esaminare qui i ruoli di accesso a Tulip. Ogni utente avrà bisogno di almeno un ruolo. Se un utente ha più ruoli, Tulip selezionerà quello con l'accesso più alto.

Un esempio di ruolo è Proprietario dell'account.

:::(Info) (NOTA:) Ci deve essere almeno un Proprietario account per ogni sito:

Sito

Supponiamo che la vostra organizzazione abbia due siti, con un'istanza Tulip per ciascuno.

Possiamo indicare ogni sito con la sua posizione (Texas e Londra, rispettivamente).

Combinare i due siti

Possiamo combinare questi due siti per creare una matrice di gruppi da assegnare agli utenti. Si consiglia alle organizzazioni di aggiungere o anteporre il valore con Tulip, in modo da facilitare il filtraggio.

Convenzione: tulip-siteRole

| | | | | --- | --- | | | | | | | | acme-texas.tulip.co | acme-london.tulip.co | | Proprietario dell'account | tulip-texasAccountOwner | tulip-londonAccountOwner | | Supervisore dell'applicazione | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Visualizzatore | tulip-texasViewer | tulip-londonViewer | | Operatore | tulip-texasOperator | tulip-londonOperator | | ... | | |

Se Jane Smith è il responsabile del sito in Texas, la assegneremo al gruppo tulip-texasAccountOwner. Se Jane Smith ha bisogno di accedere al sito di Londra, potrebbe essere aggiunta al gruppo tulip-londonViewer.

Esposizione di questi gruppi come attributo per Tulip

Nel vostro IdP, Jane dovrebbe avere un attributo, tulip-role, in cui saranno mappati tutti i gruppi di cui è membro che contengono il prefisso "tulip-". Quando accede a Tulip, l'attributo tulip-role ha due valori: tulip-texasAccountOwner, tulip-londonViewer.

Ruoli globali

Si possono anche creare ruoli di accesso globali, ad esempio come viewer. Il formato è:

tulip-globalViewer

:::(Info) (NOTA:) Se un utente che fa parte del gruppo di visualizzatori globali accede a un sito in cui ha anche un ruolo con un accesso maggiore, Tulip gli darà l'accesso più alto disponibile:

Avete trovato quello che cercavate?

Potete anche andare su community.tulip.co per postare la vostra domanda o vedere se altri hanno affrontato una domanda simile!