Autorização e controle de acesso usando SAML

Instruções e metodologia para definir sua política de acesso e gerenciar SAML para sua organização.

O SAML permite que as organizações gerenciem a autenticação e os direitos de acesso dos usuários da Tulip usando seu provedor de identidade (IdP) existente. Este guia detalhará o processo de descoberta e implementação da instalação do SAML em nível empresarial. Para um único site, consulte nosso artigo de suporte aqui.

Processo de alto nível

Trabalho prévio

• Entenda as funções de usuário da Tulip
• Agrupar os funcionários em grupos baseados em funções
• Identifique quem em sua organização configurará seu IdP e a conta da Tulip
• Determinar se os usuários existentes precisam ser migrados

Novos sites

• A Tulip habilita o SAML em seu site
• Sua organização configura o SAML (tanto no IdP quanto na Tulip) e concede acesso aos usuários

Processo de criação de novo site

Envie uma solicitação ao seu Tulip Customer Success Manager informando que você gostaria de criar um novo site com SAML. Você deve fornecer o seguinte:

• Nome e URL do site
• O nome e o e-mail da pessoa de sua organização que fará o login e configurará o SAML

A Tulip criará o site e habilitará o SAML.

A pessoa responsável pela configuração receberá um e-mail para fazer login no site e configurará o SAML conforme descrito aqui. Ela configurará o site com base em sua estratégia de acesso, sendo que as duas são definidas abaixo.

Certifique-se de testar o acesso com os usuários.

:::(Info) (OBSERVAÇÃO:) Após a conclusão, o proprietário da conta precisa excluir a conta de usuário da pessoa que configurou o SAML, pois a conta dela usa um nome de usuário e senha da Tulip. Se essa pessoa for manter o SAML no futuro, ela deverá receber acesso de Account Owner e fazer login com o SAML para configurações futuras.

Os certificados SAML criados pela Tulip expiram anualmente. A Tulip entrará em contato para notificar a sua equipe com 2 semanas de antecedência para fazer a rotação do certificado:

Processo de conversão SAML do Active Site

O mesmo que acima, mas antes que o SAML seja ativado, precisaremos converter todos os usuários existentes das contas da Tulip em contas SAML. Para isso, precisamos de uma lista com o e-mail de cada usuário e o NameId fornecido pelo IdP. Trabalharemos com a pessoa responsável pela configuração para fazer essa conversão com o mínimo de tempo de inatividade. Se os usuários existentes não forem necessários, podemos simplesmente excluir todos os usuários. Lembre-se de que os dados existentes, como as conclusões vinculadas a esses usuários, não serão migrados para o novo usuário. Veja a documentação aqui

Referências

Instruções passo a passo para configurar o Tulip para o Azure Active Directory estão aqui.

Configuração de acesso

LTS 6

Com o lançamento do Workspaces no LTS 6, a estratégia de autorização SAML foi alterada para permitir que as organizações gerenciem melhor seus usuários sem criar uma carga desnecessária para a TI.

Mudanças no SAML

Modos de controle

O modo de controle do Tulip é o comportamento atual em que a função e o espaço de trabalho do usuário no Tulip são retirados do mapeamento de atributos do SAML somente na primeira vez em que ele faz login no Tulip. Os usuários desativados na Tulip são impedidos de fazer login. O Modo de Controle IdP significa que sempre que um usuário se autenticar com sucesso, ele será reativado. Sua função e espaço de trabalho no Tulip serão atualizados a partir do IdP.

Mapeamento de função padrão

No primeiro login, todos os usuários recebem um nível de acesso padrão (Viewer com acesso Player). O proprietário da conta precisará ajustar a função para o nível apropriado.

Controle de acesso

Você pode optar por adicionar um atributo de controle de acesso, no qual o usuário precisa ter um valor específico para acessar a Tulip. Isso é especialmente relevante para cenários de mapeamento padrão, em que você ainda deseja ditar quem deve ser capaz de acessar a Tulip, independentemente da função ou espaço de trabalho.

Por exemplo:

• Um usuário deve ter um atributo TulipAccessControl definido como True
• Um usuário deve pertencer a um grupo TulipUsers, que é exposto por meio de um atributo TulipAccessControl (veja o exemplo abaixo)

Se optar por usar o controle de acesso, será necessário solicitar que sua equipe de IdP adicione o atributo e o valor definidos a todos os usuários que devem ter acesso à Tulip.

Espaços de trabalho

Você pode ler sobre espaços de trabalho em detalhes aqui

Assim como o atributo de função, agora você terá a opção de mapear usuários para espaços de trabalho.

Mapeamento de espaço de trabalho personalizado SAML

No primeiro login, um usuário recebe acesso ao espaço de trabalho com base nos grupos apresentados em seu atributo de espaço de trabalho. Depois disso, o Tulip não lerá mais o atributo de espaço de trabalho desse usuário, e qualquer alteração no espaço de trabalho deverá ser feita na plataforma por um proprietário de conta.

:::(Info) (OBSERVAÇÃO) Se esse método for escolhido, será necessário solicitar que sua equipe de IdP adicione o workspace apropriado a todos os usuários que requerem acesso à Tulip:

Mapeamento de espaço de trabalho padrão

No primeiro login, todos os usuários recebem acesso a um espaço de trabalho padrão de sua escolha. O proprietário da conta pode então ajustar o acesso ao espaço de trabalho.

Criação de grupos de acesso

Para a opção de mapeamento de função personalizada (Padrão Pré LTS 6)

Criação de grupos de acesso padronizados do Tulip:

Cada usuário precisará de um atributo de função especificado em seu IdP, que a Tulip usa para determinar seus privilégios após a autenticação com seu nome de usuário e senha do IdP. Também podemos usar esse campo de função para determinar a quais sites eles têm acesso usando uma convenção de nomenclatura padrão. Embora um campo de função possa ser apenas uma variável definida, é recomendável que você atribua o usuário a grupos específicos da Tulip e os mapeie para um atributo.

Função

Revise as funções de acesso da Tulip aqui. Cada usuário precisará de pelo menos uma função. Se um usuário tiver várias funções, a Tulip selecionará a que tiver o maior acesso.

Um exemplo de função é Account Owner (proprietário da conta).

:::(Info) (OBSERVAÇÃO:) É necessário que haja pelo menos um Account Owner por site:

Site

Digamos que sua organização tenha dois sites, com uma instância da Tulip para cada um.

Podemos denotar cada site por sua localização (Texas e Londres, respectivamente).

Combinando os dois

Podemos combinar esses dois sites para criar uma matriz de grupo para a atribuição de usuários. Recomendamos que as organizações acrescentem ou prefixem o valor com Tulip, para que seja mais fácil filtrar por ele.

Convenção: tulip-siteRole

| | | | | --- | --- | --- | | | acme-texas.tulip.co | acme-london.tulip.co | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

Se Jane Smith for a líder da unidade no Texas, nós a atribuiremos ao grupo tulip-texasAccountOwner. Se Jane Smith também precisar de acesso de visualização no site de Londres, ela poderá ser adicionada ao grupo tulip-londonViewer.

Expondo esses grupos como um atributo para a Tulip

Em seu IdP, Jane deve ter um atributo, tulip-role, no qual todos os grupos dos quais ela é membro e que contêm o prefixo "tulip-" serão mapeados. Quando ela faz login no Tulip, o atributo tulip-role tem dois valores: tulip-texasAccountOwner, tulip-londonViewer.

Funções globais

Talvez você também queira criar funções de acesso global, como um visualizador, por exemplo. O formato para isso é:

tulip-globalViewer

:::(Info) (OBSERVAÇÃO:) Se um usuário que é membro do grupo de visualizador global fizer login em um site onde também tenha uma função com mais acesso, o Tulip lhe dará o acesso mais alto disponível:

Encontrou o que estava procurando?

Você também pode acessar community.tulip.co para postar sua pergunta ou ver se outras pessoas tiveram uma pergunta semelhante!