Autorizzazione e controllo degli accessi con SAML

Istruzioni e metodologia per definire la politica di accesso e gestire SAML per la vostra organizzazione.

SAML consente alle organizzazioni di gestire l'autenticazione e i diritti di accesso degli utenti Tulip utilizzando l'identity provider (IdP) esistente. Questa guida illustra le opzioni disponibili per l'implementazione dell'integrazione IdP a livello aziendale tramite il protocollo SAML.

:::(Warning) (Nota) Questo articolo si concentra su tutte le opzioni per configurare l'integrazione SAML + Tulip. Per la guida su come configurare l'integrazione in Tulip, consultare questa guida:

Prelavoro

• Comprendere i ruoli degli utenti Tulip
• Suddividere i dipendenti in gruppi basati sui ruoli
• Identificare chi, all'interno dell'organizzazione, configurerà l'IdP e l'account Tulip.

Opzioni di configurazione SAML + Tulip

Modalità di controllo

Lamodalità di controllo Tulip indica che il ruolo e l'area di lavoro Tulip di un utente sono ricavati dalla mappatura degli attributi SAML **solo al primo accesso a Tulip. **

Agli utenti disattivati in Tulip viene impedito di accedere.

Lamodalità di controllo IdP significa che il ruolo e l'area di lavoro di Tulip di un utente verranno aggiornati dall'IdP a ogni accesso.

Mappatura dei ruoli predefinita (solo modalità di controllo Tulip)

Al primo accesso, a tutti gli utenti viene assegnato un livello di accesso predefinito (Viewer con accesso Player). Il proprietario dell'account dovrà quindi regolare manualmente il ruolo al livello appropriato all'interno di Tulip.

Controllo dell'accesso

Si può scegliere di aggiungere un attributo di controllo dell'accesso, in cui l'utente deve avere un valore specifico per poter accedere a Tulip. Questo è particolarmente importante per gli scenari di mappatura predefinita, dove si vuole comunque stabilire chi deve essere in grado di accedere a Tulip, indipendentemente dal ruolo o dallo spazio di lavoro.

Ad esempio:

• Un utente deve avere l'attributo TulipAccessControl impostato su True.
• Un utente deve appartenere a un gruppo TulipUsers, che è esposto attraverso l'attributo TulipAccessControl (vedi esempio sotto).

Se si sceglie di utilizzare il controllo degli accessi, è necessario richiedere al team dell'IdP di aggiungere l'attributo e il valore definiti a tutti gli utenti che devono avere accesso a Tulip.

Spazi di lavoro

Potete leggere qui i dettagli degli spazi di lavoro

Come per l'attributo ruolo, ora vi sarà data la possibilità di mappare gli utenti a uno specifico workspace automaticamente quando l'utente viene creato inizialmente. Dopo la creazione dell'utente, i proprietari degli account possono spostare in modo flessibile gli utenti tra gli spazi di lavoro.

Mappatura SAML personalizzata dello spazio di lavoro

Al primo accesso, a un utente viene assegnato l'accesso allo spazio di lavoro in base al gruppo presentato nell'attributo dello spazio di lavoro. Dopo questo momento, Tulip non leggerà più l'attributo dello spazio di lavoro di quell'utente e qualsiasi modifica dello spazio di lavoro dovrà essere effettuata nella piattaforma dal proprietario dell'account.

Mappatura predefinita dello spazio di lavoro

Al primo accesso, tutti gli utenti hanno accesso a uno spazio di lavoro predefinito di vostra scelta. Il proprietario dell'account può quindi modificare l'accesso allo spazio di lavoro.

Esempio: creazione di gruppi di accesso all'interno del vostro IdP

Creazione di gruppi di accesso Tulip standardizzati

Ogni utente avrà bisogno di un attributo di ruolo specificato nel vostro IdP, in modo che Tulip possa determinare i suoi privilegi una volta che si è autenticato con il nome utente e la password dell'IdP.

Potete anche usare questo campo Ruolo per determinare a quali siti hanno accesso utilizzando una convenzione di denominazione standard. Sebbene un campo ruolo possa essere semplicemente una variabile impostata, si raccomanda di assegnare l'utente a gruppi specifici di Tulip e di mapparli su un attributo.

Ruolo

Esaminare qui i ruoli degli utenti Tulip. Ogni utente avrà bisogno di almeno un ruolo. Se un utente ha più ruoli, Tulip selezionerà quello con l'accesso più alto.

Un esempio di ruolo è Proprietario dell'account.

:::(Info) (NOTA:) Ci deve essere almeno un Proprietario account per ogni sito:

Sito

Supponiamo che la vostra organizzazione abbia due siti, con un'istanza Tulip per ciascuno.

Possiamo indicare ogni sito con la sua posizione (Texas e Londra, rispettivamente).

Combinare Sito e Ruolo

Possiamo combinare queste due proprietà per creare una matrice di gruppo da assegnare agli utenti. Si consiglia alle organizzazioni di aggiungere o anteporre il valore con Tulip, in modo da facilitare il filtraggio.

Convenzione: tulip-siteRole

| | | | | --- | --- | | | | | | | | acme-texas.tulip.co | acme-london.tulip.co | | Proprietario dell'account | tulip-texasAccountOwner | tulip-londonAccountOwner | | Supervisore dell'applicazione | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Visualizzatore | tulip-texasViewer | tulip-londonViewer | | Operatore | tulip-texasOperator | tulip-londonOperator | | ... | | |

Se Jane Smith è il responsabile del sito in Texas, la si assegnerà al gruppo tulip-texasAccountOwner. Se Jane Smith ha bisogno di un accesso di visualizzazione al sito di Londra, potrebbe essere aggiunta al gruppo tulip-londonViewer.

Esporre questi gruppi come attributo per Tulip

Nel vostro IdP, Jane dovrebbe avere un attributo, tulip-role, in cui saranno mappati tutti i gruppi di cui è membro e che contengono il prefisso "tulip-".

Quando accede a Tulip, l'attributo tulip-role ha due valori: tulip-texasAccountOwner, tulip-londonViewer. È possibile configurare la mappatura dei ruoli per ogni istanza di Tulip individualmente, in modo che la donna riceva i permessi corretti in ogni istanza.

Ruoli globali

Si possono anche creare ruoli di accesso globali, come ad esempio il ruolo "Viewer". Questi utenti potranno accedere a tutte le istanze Tulip con le stesse autorizzazioni. Il formato consigliato è:

tulip-globalViewer

È necessario impostare questa mappatura dei ruoli su ogni singola istanza nella pagina di configurazione SAML in Impostazioni account per consentire a questo utente di accedere a ogni istanza.

Avete trovato quello che cercavate?

Potete anche andare su community.tulip.co per postare la vostra domanda o vedere se altri hanno affrontato una domanda simile!