Zawartość x
    Autoryzacja i kontrola dostępu przy użyciu SAML
    • 20 Dec 2022
    • 5 Minuty do przeczytania
    • Współtwórcy
    • Wydrukować
    Zawartość

    Autoryzacja i kontrola dostępu przy użyciu SAML

    • Zaktualizowano 20 Dec 2022
    • 5 Minuty do przeczytania
    • Współtwórcy
    • Wydrukować
    Article Summary

    Instrukcja i metodologia definiowania polityki dostępu i zarządzania SAML dla Twojej organizacji.

    SAML pozwala organizacjom na zarządzanie uwierzytelnianiem i prawami dostępu użytkowników Tulipa przy użyciu istniejącego dostawcy tożsamości (IdP). Ten przewodnik będzie szczegółowo opisywał proces odkrywania i wdrażania instalacji SAML na poziomie Enterprise. Dla pojedynczej witryny, proszę zapoznać się z naszym artykułem wsparcia tutaj.

    Proces wysokiego poziomu

    Wstępna praca

    • Zrozumienie ról użytkowników Tulipa
    • Zbierz pracowników w grupy oparte na rolach
    • Określ, kto w Twojej organizacji będzie konfigurował Twoje konto IdP i Tulip
    • Ustal, czy istniejący użytkownicy muszą zostać zmigrowani

    Nowe strony

    • Tulip umożliwia SAML na Twojej stronie
    • Twoja organizacja konfiguruje SAML (zarówno w IdP, jak i w Tulipie) i przyznaje dostęp użytkownikom

    Proces tworzenia nowej strony

    Wyślij prośbę do swojego menedżera sukcesu klienta Tulip, że chciałbyś stworzyć nową stronę z SAML. Powinieneś dostarczyć następujące informacje:

    • Nazwa i adres URL strony
    • Nazwisko i email osoby z Twojej organizacji, która zaloguje się i skonfiguruje SAML

    Tulip stworzy witrynę i włączy SAML.

    Osoba odpowiedzialna za konfigurację otrzyma e-mail, aby zalogować się do witryny, skonfigurują SAML zgodnie z opisem tutaj. Skonfigurują witrynę w oparciu o twoją strategię dostępu, z których dwie są zdefiniowane poniżej.

    Upewnij się, że testujesz dostęp z użytkownikami.

    :::(Info) (UWAGA:) Po zakończeniu, Właściciel konta musi usunąć konto użytkownika osoby, która skonfigurowała SAML, ponieważ jej konto używa nazwy użytkownika i hasła Tulip. Jeśli ta osoba będzie utrzymywać SAML w przyszłości, powinna otrzymać dostęp Account Owner i zalogować się za pomocą SAML dla przyszłych konfiguracji.

    Certyfikaty SAML stworzone przez Tulipa wygasają co roku. Tulip powiadomi Twój zespół 2 tygodnie wcześniej o konieczności rotacji certyfikatu. :::

    Active Site SAML Conversion Process

    Tak jak powyżej, ale zanim SAML zostanie włączony, będziemy musieli przekonwertować wszystkich istniejących użytkowników z kont Tulip na konta SAML. W tym celu potrzebujemy listę emaili każdego użytkownika oraz jego IdP provided NameId. Będziemy pracować z osobą odpowiedzialną za konfigurację, aby dokonać tej konwersji z minimalnym przestojem. Jeśli istniejący użytkownicy nie są potrzebni, możemy po prostu usunąć wszystkich użytkowników. Pamiętaj, że istniejące dane takie jak Ukończenia powiązane z tymi użytkownikami nie zostaną zmigrowane do ich nowego użytkownika. Zobacz dokumentację tutaj

    Referencje

    Instrukcje krok po kroku dotyczące konfiguracji Tulipa dla Azure Active Directory znajdują się tutaj.

    Konfiguracja dostępu

    LTS 6

    Wraz z wydaniem Workspaces w LTS 6, strategia autoryzacji SAML uległa zmianie, aby lepiej umożliwić organizacjom zarządzanie użytkownikami bez tworzenia niepotrzebnego obciążenia dla IT.

    Zmiany w SAML

    Dwie opcje autoryzacji:

    SAML Custom Role Mapping

    Przy pierwszym logowaniu, użytkownikowi przypisywana jest rola na podstawie grup przedstawionych w jego atrybucie roli. Po tym momencie Tulip nie będzie już czytał atrybutu roli tego użytkownika, a wszelkie zmiany ról muszą być dokonywane w platformie przez właściciela konta.

    Jeśli ta metoda zostanie wybrana, będziesz musiał poprosić, aby Twój zespół IdP dodał odpowiednią rolę do wszystkich użytkowników, którzy wymagają dostępu do Tulipa.

    Domyślne mapowanie ról

    Przy pierwszym logowaniu wszyscy użytkownicy otrzymują domyślny poziom dostępu (Viewer z dostępem Player), właściciel konta będzie musiał następnie dostosować rolę do odpowiedniego poziomu.

    Kontrola dostępu

    Możesz zdecydować się na dodanie atrybutu kontroli dostępu, gdzie użytkownik musi mieć określoną wartość, aby uzyskać dostęp do Tulipa. Jest to szczególnie istotne dla scenariuszy domyślnego mapowania, gdzie nadal chcesz dyktować, kto powinien mieć dostęp do Tulipa, niezależnie od roli lub przestrzeni roboczej.

    Na przykład:

    • Użytkownik musi mieć atrybut TulipAccessControl ustawiony na True
    • Użytkownik musi należeć do grupy TulipUsers, która jest eksponowana poprzez atrybut TulipAccessControl (patrz przykład poniżej)

    Jeśli zdecydujesz się na użycie Kontroli Dostępu, będziesz musiał poprosić, aby Twój zespół IdP dodał zdefiniowany atrybut i wartość do wszystkich użytkowników, którzy powinni mieć jakikolwiek dostęp do Tulipa.

    Obszary robocze

    Możesz przeczytać o przestrzeniach roboczych w szczegółach tutaj

    Podobnie jak w przypadku atrybutu roli, będziesz miał teraz możliwość mapowania użytkowników do przestrzeni roboczych.

    SAML Custom Workspace Mapping

    Przy pierwszym logowaniu, użytkownik otrzymuje dostęp do przestrzeni roboczej na podstawie grup prezentowanych w jego atrybucie przestrzeni roboczej. Po tym momencie Tulip nie będzie już czytał atrybutu przestrzeni roboczej tego użytkownika, a wszelkie zmiany przestrzeni roboczej muszą być dokonywane w platformie przez właściciela konta.

    :::(Info) (UWAGA) Jeśli ta metoda zostanie wybrana, będziesz musiał poprosić, aby twój zespół IdP dodał odpowiednią przestrzeń roboczą do wszystkich użytkowników, którzy wymagają dostępu do Tulipa. :::

    Default Workspace Mapping (domyślne mapowanie przestrzeni roboczej)

    Przy pierwszym logowaniu wszyscy użytkownicy otrzymują dostęp do domyślnej przestrzeni roboczej wybranej przez Ciebie. Właściciel konta może następnie dostosować dostęp do przestrzeni roboczej.

    Tworzenie grup dostępu

    Dla opcji niestandardowego mapowania ról (Domyślnie przed LTS 6)

    Tworzenie standardowych grup dostępu Tulipa:

    Każdy użytkownik będzie potrzebował atrybutu Role określonego w Twoim IdP, którego Tulip używa do określenia swoich uprawnień po uwierzytelnieniu się za pomocą nazwy użytkownika i hasła IdP. Możemy również użyć tego pola Role, aby określić, do jakich stron mają dostęp, używając standardowej konwencji nazewnictwa. Podczas gdy pole roli może być po prostu ustawioną zmienną, zalecane jest przypisanie użytkownika do określonych grup Tulipa i zmapowanie ich do atrybutu.

    Role

    Przejrzyj role dostępu do Tulipa tutaj. Każdy użytkownik będzie potrzebował przynajmniej jednej roli. Jeśli użytkownik ma wiele ról, Tulip wybierze tę z najwyższym dostępem.

    Przykładowa rola to Właściciel konta.

    :::(Info) (UWAGA:) Na każdej stronie musi być przynajmniej jeden Właściciel konta. :::

    Strona

    Załóżmy, że Twoja organizacja ma dwie strony, z instancją Tulipa dla każdej.

    Możemy oznaczyć każdą witrynę przez jej lokalizację (odpowiednio Texas i Londyn).

    Łączenie dwóch

    Możemy połączyć te dwie witryny, aby stworzyć macierz grupową dla użytkowników, którzy mają być przypisani. Zalecamy, aby organizacje dołączały lub poprzedzały wartość Tulip, aby łatwiej było ją filtrować.

    Konwencja: tulip-siteRole

    | | | | | | | | | | | | | | | acme-texas.tulip.co | | acme-london.tulip.co | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

    Jeśli Jane Smith jest kierownikiem placówki w Teksasie, przydzielamy ją do grupy tulip-texasAccountOwner. Jeśli Jane Smith potrzebuje również dostępu do widoku w witrynie w Londynie, można ją dodać do grupy tulip-londonViewer.

    Eksponowanie tych grup jako atrybutów dla Tulipa

    W twoim IdP, Jane powinna mieć atrybut, tulip-role, gdzie wszystkie grupy, których jest członkiem, zawierające prefiks "tulip-" będą mapowane. Kiedy zaloguje się do Tulipa, atrybut tulip-role ma dwie wartości: tulip-texasAccountOwner, tulip-londonViewer.

    Role globalne

    Możesz również chcieć stworzyć globalne role dostępu, na przykład jako widz. Format dla tego to:

    tulip-globalViewer

    :::(Info) (UWAGA:) Jeśli użytkownik, który jest członkiem globalnej grupy widzów, zaloguje się na stronie, gdzie ma również rolę z większym dostępem, Tulip da mu najwyższy dostępny dostęp. :::

    Czy znalazłeś to, czego szukałeś?

    Możesz również udać się na stronę community.tulip.co, aby zadać swoje pytanie lub zobaczyć, czy inni spotkali się z podobnym pytaniem!

    Czy ten artykuł był pomocny?
    What's Next
    Platforma
    Biblioteka
    Produkty
    Zasoby
    Dotychczasowi użytkownicy
    Połącz się z nami
    Kontakt Sprzedaż
    • +1 833 468 8547
    • sales@tulip.co
    Copyright © Tulip Interfaces. Wszystkie prawa zastrzeżone