Autorizzazione e controllo degli accessi con SAML
  • 23 Sep 2022
  • 5 Minuti da leggere
  • Contributori

Autorizzazione e controllo degli accessi con SAML


Scopo

Istruzioni e metodologia per la definizione della politica di accesso e la gestione di SAML per la vostra organizzazione.

SAML consente alle organizzazioni di gestire l'autenticazione e i diritti di accesso degli utenti Tulip utilizzando il loro provider di identità (IdP) esistente. Questa guida illustra in dettaglio il processo di scoperta e implementazione dell'installazione SAML a livello aziendale. Per un singolo sito, consultare il nostro articolo di supporto qui

Processo di alto livello

Lavoro preliminare

Comprendere i ruoli degli utenti Tulip

Suddividere i dipendenti in gruppi basati sui ruoli

Identificare chi, all'interno dell'organizzazione, configurerà l'IdP e Tulip.

Determinare se gli utenti esistenti devono essere migrati.

Per ogni nuovo sito

Tulip abilita SAML sul vostro sito

L'organizzazione configura SAML (sia nell'IdP che in Tulip) e concede l'accesso agli utenti.

Processo di creazione di un nuovo sito

Inviare al Customer Success Manager di Tulip una richiesta di creazione di un nuovo sito con SAML. Dovete fornire i seguenti dati:

  • Nome e URL del sito
  • Il nome e l'e-mail della persona della vostra organizzazione che effettuerà il login e configurerà SAML.

Tulip creerà il sito e abiliterà SAML.

La persona responsabile della configurazione riceverà un'e-mail per accedere al sito e configurerà SAML come descritto qui. Configurerà il sito in base alla strategia di accesso, definita di seguito.

Prova di accesso con gli utenti

NOTA:

Una volta completato, il proprietario dell'account deve eliminare l'account utente della persona che ha configurato SAML, poiché il suo account utilizza un nome utente e una password Tulip. Se questa persona manterrà SAML in futuro, dovrà ottenere l'accesso come Proprietario dell'account e accedere con SAML per le configurazioni future.

I certificati SAML creati da Tulip hanno scadenza annuale. Tulip contatterà il team per informarlo con 2 settimane di anticipo per la rotazione del certificato.

Processo di conversione SAML del sito attivo

Come sopra, ma prima di abilitare SAML, dovremo convertire tutti gli utenti esistenti da account Tulip ad account SAML. A tal fine, abbiamo bisogno di un elenco di e-mail di tutti gli utenti e del loro NameId fornito dall'IdP. Collaboreremo con la persona responsabile della configurazione per effettuare la conversione con tempi di inattività minimi. Se gli utenti esistenti non sono necessari, possiamo semplicemente eliminarli tutti. Tenete presente che i dati esistenti, ad esempio i completamenti collegati a tali utenti, non saranno migrati al loro nuovo utente. Vedere la documentazione qui

Riferimenti

Le istruzioni passo-passo per la configurazione di Tulip per Azure Active Directory sono qui.

Configurazione dell'accesso

LTS 6

Con il rilascio di Workspaces nella LTS 6, la strategia di autorizzazione SAML è cambiata per consentire alle organizzazioni di gestire meglio i propri utenti senza creare un onere inutile per l'IT.

Modifiche a SAML

Esistono ora due opzioni per l'autorizzazione:

Mappatura dei ruoli personalizzata SAML

Al primo accesso, a un utente viene assegnato un ruolo in base ai gruppi presentati nel suo attributo di ruolo. Dopo questo momento, Tulip non leggerà più l'attributo del ruolo di quell'utente e qualsiasi modifica del ruolo dovrà essere effettuata nella piattaforma dal proprietario dell'account.

Se si sceglie questo metodo, è necessario richiedere al team IdP di aggiungere il ruolo appropriato a tutti gli utenti che richiedono l'accesso a Tulip.

Mappatura dei ruoli predefinita

Al primo accesso, a tutti gli utenti viene assegnato un livello di accesso predefinito (Viewer con accesso Player); il proprietario dell'account dovrà quindi regolare il ruolo al livello appropriato.

Controllo dell'accesso

Si può scegliere di aggiungere un attributo di controllo dell'accesso, in cui l'utente deve avere un valore specifico per poter accedere a Tulip. Questo è particolarmente importante per gli scenari di mappatura predefinita, dove si vuole comunque stabilire chi deve poter accedere a Tulip, indipendentemente dal ruolo o dallo spazio di lavoro.

Ad esempio:

  • Un utente deve avere l'attributo TulipAccessControl impostato su True.
  • Un utente deve appartenere a un gruppo TulipUsers, che è esposto attraverso un attributo TulipAccessControl (vedere l'esempio seguente)

Se si sceglie di utilizzare il controllo degli accessi, è necessario richiedere al team dell'IdP di aggiungere l'attributo e il valore definiti a tutti gli utenti che devono avere accesso a Tulip.

Spazi di lavoro

Potete leggere qui i dettagli sugli spazi di lavoro.

Come per l'attributo ruolo, ora vi sarà data l'opzione di mappare gli utenti agli spazi di lavoro.

Mappatura SAML personalizzata dello spazio di lavoro

Al primo accesso, a un utente viene assegnato l'accesso allo spazio di lavoro in base ai gruppi presentati nell'attributo dello spazio di lavoro. Dopo questo momento, Tulip non leggerà più l'attributo dello spazio di lavoro di quell'utente e qualsiasi modifica dello spazio di lavoro dovrà essere effettuata nella piattaforma da un proprietario dell'account.

Se si sceglie questo metodo, è necessario richiedere al team IdP di aggiungere lo spazio di lavoro appropriato a tutti gli utenti che richiedono l'accesso a Tulip.

Mappatura predefinita dello spazio di lavoro

Al primo accesso, tutti gli utenti hanno accesso a uno spazio di lavoro predefinito di vostra scelta. Il proprietario dell'account può poi modificare l'accesso allo spazio di lavoro.


Creazione di gruppi di accesso

Per l'opzione di mappatura dei ruoli personalizzata (predefinita prima della LTS 6)

Creare gruppi di accesso Tulip standardizzati:

Ogni utente avrà bisogno di un attributo di ruolo specificato nel vostro IdP che Tulip utilizzerà per determinare i suoi privilegi una volta che si sarà autenticato con il nome utente e la password dell'IdP. Possiamo anche usare questo campo Ruolo per determinare a quali siti hanno accesso, usando una convenzione di denominazione standard. Mentre un campo ruolo può essere semplicemente una variabile impostata, si raccomanda di assegnare l'utente a gruppi specifici di Tulip e di mapparli su un attributo.

Ruolo

Esaminare qui i ruoli di accesso a Tulip. Ogni utente avrà bisogno di almeno un ruolo. Se un utente ha più ruoli, Tulip selezionerà quello con l'accesso più alto.

Un esempio di ruolo è Proprietario dell'account.

NOTA:

Deve esserci almeno un Proprietario dell'account per ogni sito.

Sito

Supponiamo che la vostra organizzazione abbia due siti, con un'istanza Tulip per ciascuno.

Possiamo indicare ogni sito con la sua posizione (Texas e Londra, rispettivamente).

Combinare i due siti

Possiamo combinare questi due siti per creare una matrice di gruppi da assegnare agli utenti. Si consiglia alle organizzazioni di aggiungere o anteporre il valore con Tulip, in modo da facilitare il filtraggio.

Convenzione: tulip-siteRole

acme-texas.tulip.co acme-london.tulip.co
Account Owner tulip-texasAccountOwner tulip-londonAccountOwner
Application Supervisor tulip-texasApplicationSupervisor tulip-londonApplicationSupervisor
Viewer tulip-texasViewer tulip-londonViewer
Operatore tulip-texasOperator tulip-londonOperator
...

Se Jane Smith è il responsabile del sito in Texas, la assegneremo al gruppo tulip-texasAccountOwner. Se Jane Smith ha bisogno di accedere al sito di Londra, potrebbe essere aggiunta al gruppo tulip-londonViewer.

Esporre questi gruppi come attributo per Tulip

Nel vostro IdP, Jane dovrebbe avere un attributo, tulip-role, in cui saranno mappati tutti i gruppi di cui è membro che contengono il prefisso "tulip-". Quando accede a Tulip, l'attributo tulip-role ha due valori: tulip-texasAccountOwner, tulip-londonViewer.

Ruoli globali

Si possono anche creare ruoli di accesso globali, ad esempio come viewer. Il formato sarebbe:

tulip-globalViewer

NOTA:

Se un utente che è membro del gruppo di visualizzatori globali accede a un sito in cui ha anche un ruolo con un accesso maggiore, Tulip gli darà l'accesso più alto disponibile.


Questo articolo è stato utile?