SAML を使用した認証とアクセス制御
- 08 Jan 2025
- 1 読む分
- 寄稿者
- 印刷する
SAML を使用した認証とアクセス制御
- 更新日 08 Jan 2025
- 1 読む分
- 寄稿者
- 印刷する
記事の要約
この要約は役に立ちましたか?
ご意見ありがとうございます
アクセス・ポリシーを定義し、組織の SAML を管理するための手順と方法。
SAMLを使用すると、組織は既存のIDプロバイダ(IdP)を使用して、Tulipユーザーの認証とアクセス権を管理できます。このガイドでは、SAMLプロトコルを介してエンタープライズレベルのIdP統合を実装するための利用可能なオプションについて詳しく説明します。
Note
This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.
事前準備
- Tulip ユーザ・ロールを理解する
- 従業員をロール・ベースのグループにバケットする
- 組織内で誰がIdPとTulipアカウントを設定するかを特定する
SAML + Tulipの構成オプション
制御モード
Tulipコントロール・モードは、ユーザーのTulipロールとワークスペースがSAML属性マッピングから取得されることを示します。**
Tulip で非アクティブにされたユーザはログインできない。
IdPコントロールモードとは、ユーザーがログインするたびに、TulipのロールとワークスペースがIdPから更新されることを意味します。
デフォルトのロールマッピング(Tulipコントロールモードのみ)
最初のログインでは、すべてのユーザーにデフォルトのアクセス・レベル(プレーヤー・アクセスを持つビューアー)が与えられます。アカウント所有者は、Tulip内でロールを適切なレベルに手動で調整する必要があります。
アクセスコントロール
ユーザーがTulipにアクセスするために特定の値を持つ必要があるアクセス制御属性を追加することができます。これは、役割やワークスペースに関係なく、誰がTulipにアクセスできるかを決めたい、デフォルトマッピングのシナリオに特に関連します。
例えば
- ユーザーはTulipAccessControl属性がTrueに設定されていなければなりません。
- ユーザーは、属性TulipAccessControlを通して公開されるグループTulipUsersに属していなければなりません(以下の例を参照してください)。
Access Controlを使用する場合は、Tulipにアクセスできるすべてのユーザーに定義された属性と値を追加するよう、IdPチームに依頼する必要があります。
ワークスペース
ワークスペースについての詳細はこちらをご覧ください。
ロール属性と同様に、ユーザーの初期作成時に、ユーザーを特定のワークスペースに自動的にマッピングするオプションが提供されます。ユーザ作成後、アカウント所有者は、ユーザをワークスペース間で柔軟に移動できる。
SAML カスタム・ワークスペース・マッピング
:::(Info) (複数のワークスペース) ユーザを複数のワークスペースにマッピングできるのは、Tulip Control Mode のみであることに注意してください。
IdP Control Mode では、各ユーザは 1 つのワークスペースのメンバにしかなれません。
:::
初回ログイン時、ユーザーはワークスペース属性に提示されたグループに基づいてワークスペースへのアクセスが割り当てられます。それ以降、Tulipはそのユーザーのワークスペース属性を読み込まなくなり、ワークスペースの変更はアカウント所有者がプラットフォームで行う必要があります。
ワークスペースのデフォルトマッピング
初回ログイン時に、すべてのユーザーにデフォルトのワークスペースへのアクセス権が与えられます。その後、アカウント所有者がワークスペースのアクセス権を調整できます。
例-IdP内でのアクセスグループの作成
標準化されたTulipアクセスグループの作成
すべてのユーザーは、IdPのユーザー名とパスワードで認証された後、Tulipが権限を決定できるように、IdPでロール属性を指定する必要があります。
また、このRoleフィールドを使用して、標準的な命名規則を使用して、どのサイトにアクセスできるかを決定することもできます。roleフィールドは単なるセット変数にすることもできますが、ユーザーをTulipの特定のグループに割り当て、それらを属性にマッピングすることをお勧めします。
役割
Tulipユーザーのロールをここで確認してください。すべてのユーザーは少なくとも1つのロールが必要です。ユーザーが複数のロールを持つ場合、Tulipは最も高いアクセス権を持つロールを選択します。
ロールの例は、アカウント所有者です。
NOTE:
There needs to be at least one Account Owner per site.
サイト
組織に2つのサイトがあり、それぞれにTulipインスタンスがあるとします。
それぞれのサイトを場所(それぞれテキサスとロンドン)で表すことができます。
サイトとロールの組み合わせ
この2つのプロパティを組み合わせて、ユーザーに割り当てるグループマトリックスを作成できます。Tulipでフィルタリングしやすいように、組織では値を付加するか、前に付けることをお勧めします。
コンベンション:tulip-siteRole
| acme-texas.tulip.co | acme-london.tulip.co | |
| アカウント所有者 | tulip-texasAccountOwner | tulip-londonアカウントオーナー |
| アプリケーション・スーパーバイザー | チューリップ・テキサス・アプリケーション・スーパーバイザー | チューリップ・ロンドン・アプリケーション・スーパーバイザー |
| ビューアー | チューリップ・テキサスViewer | チューリップ・ロンドン |
| オペレーター | チューリップ・テキサス・オペレーター | チューリップ・ロンドンオペレーター |
| ... |
Jane SmithがTexasサイトのサイトリーダーである場合、彼女をtulip-texasAccountOwnerグループに割り当てます。Jane SmithがLondonサイトのビューアクセスも必要な場合は、彼女をtulip-londonViewerグループに追加します。
これらのグループをTulipの属性として公開します。
あなたのIdPでは、Janeはtulip-roleという属性を持っているはずです。この属性には、接頭辞 "tulip-"を含む、彼女がメンバーであるすべてのグループがマッピングされます。
JaneがTulipにサインインすると、tulip-role属性はtulip-texasAccountOwnerとtulip-londonViewerの2つの値を持ちます。彼女が各インスタンスで正しいパーミッションを受け取れるように、各チューリップインスタンスのロールマッピングを個別に設定できます。
グローバルロール
例えば "Viewer "ロールのように、グローバルアクセスロールを作成することもできます。これらのユーザーは同じパーミッションですべてのTulipインスタンスにログインできるようになります。そのための推奨フォーマットは
tulip-globalViewer
このユーザが各インスタンスにアクセスできるようにするには、アカウント設定のSAML構成ページで、個々のインスタンスにこのロール・マッピングを設定する必要があります。
お探しのものは見つかりましたか?
community.tulip.coで質問を投稿したり、他の人が同じような質問に直面していないか確認することもできます!
この記事は役に立ちましたか?
