MENU
    Autorização e controle de acesso usando SAML
    • 08 Jan 2025
    • 5 Minutos para Ler
    • Contribuintes

    Autorização e controle de acesso usando SAML


    Resumo do artigo

    Instruções e metodologia para definir sua política de acesso e gerenciar SAML para sua organização.

    O SAML permite que as organizações gerenciem a autenticação e os direitos de acesso dos usuários da Tulip usando seu provedor de identidade (IdP) existente. Este guia detalha as opções disponíveis para a implementação da integração de IdP em nível empresarial por meio do protocolo SAML.

    Note

    This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

    Pré-trabalho

    • Entenda as funções dos usuários da Tulip
    • Agrupar os funcionários em grupos baseados em funções
    • Identifique quem em sua organização configurará sua conta IdP e Tulip

    Opções de configuração do SAML + Tulip

    Modos de controle

    O Modo de Controle da Tulip indica que a função e o espaço de trabalho da Tulip de um usuário são retirados do mapeamento de atributos SAML **apenas na primeira vez em que ele faz login na Tulip. **

    Os usuários desativados no Tulip são impedidos de fazer login.

    O Modo de Controle IdP significa que a função e o espaço de trabalho do usuário na Tulip serão atualizados a partir do IdP toda vez que ele fizer login.

    Mapeamento de função padrão (somente no modo de controle da Tulip)

    No primeiro login, todos os usuários recebem um nível de acesso padrão (Viewer com acesso Player). O proprietário da conta precisará então ajustar manualmente a função para o nível apropriado dentro do Tulip.

    Controle de acesso

    Você pode optar por adicionar um atributo de controle de acesso, no qual o usuário precisa ter um valor específico para acessar a Tulip. Isso é especialmente relevante para cenários de mapeamento padrão, em que você ainda deseja ditar quem deve ser capaz de acessar a Tulip, independentemente da função ou espaço de trabalho.

    Por exemplo:

    • Um usuário deve ter um atributo TulipAccessControl definido como True
    • Um usuário deve pertencer a um grupo TulipUsers, que é exposto por meio de um atributo TulipAccessControl (veja o exemplo abaixo)

    Se optar por usar o controle de acesso, será necessário solicitar que sua equipe de IdP adicione o atributo e o valor definidos a todos os usuários que devem ter acesso à Tulip.

    Espaços de trabalho

    Você pode ler sobre espaços de trabalho em detalhes aqui

    Assim como o atributo de função, agora você terá a opção de mapear usuários para um espaço de trabalho específico automaticamente quando o usuário for criado inicialmente. Após a criação do usuário, os proprietários da conta podem mover os usuários de forma flexível entre os espaços de trabalho.

    Mapeamento de espaço de trabalho personalizado SAML

    :::(Info) (Multiple Workspaces) Observe que só é possível mapear usuários em vários workspaces no modo de controle da Tulip.

    No modo de controle do IdP, cada usuário só pode ser membro de um único espaço de trabalho.
    :::

    No primeiro login, um usuário recebe acesso ao espaço de trabalho com base no grupo apresentado em seu atributo de espaço de trabalho. Após esse momento, o Tulip não lerá mais o atributo de workspace desse usuário e qualquer alteração no workspace deverá ser feita na plataforma por um proprietário da conta.

    Mapeamento padrão do espaço de trabalho

    No primeiro login, todos os usuários recebem acesso a um espaço de trabalho padrão de sua escolha. O proprietário da conta pode então ajustar o acesso ao espaço de trabalho.

    Exemplo - Criação de grupos de acesso em seu IdP

    Criação de grupos de acesso padronizados do Tulip

    Cada usuário precisará de um atributo de função especificado no seu IdP para que a Tulip possa determinar seus privilégios após a autenticação com o nome de usuário e a senha do IdP.

    Você também pode usar esse campo de função para determinar a quais sites eles têm acesso usando uma convenção de nomenclatura padrão. Embora um campo de função possa ser apenas uma variável definida, é recomendável que você atribua o usuário a grupos específicos da Tulip e os mapeie para um atributo.

    Função

    Revise as funções do usuário da Tulip aqui. Cada usuário precisará de pelo menos uma função. Se um usuário tiver várias funções, a Tulip selecionará a que tiver o maior acesso.

    Um exemplo de função é Account Owner (proprietário da conta).

    NOTE:

    There needs to be at least one Account Owner per site.

    Site

    Digamos que sua organização tenha dois sites, com uma instância da Tulip para cada um.

    Podemos denotar cada site por sua localização (Texas e Londres, respectivamente).

    Combinação de site e função

    Podemos combinar essas duas propriedades para criar uma matriz de grupo para a atribuição de usuários. Recomendamos que as organizações acrescentem ou prefixem o valor com Tulip, para que seja mais fácil filtrar por ele.

    Convenção: tulip-siteRole

    acme-texas.tulip.coacme-londres.tulip.co
    Proprietário da contatulip-texasAccountOwnertulip-londonAccountOwner
    Supervisor de aplicativostulip-texasApplicationSupervisortulip-londresApplicationSupervisor
    Visualizadortulip-texasViewertulip-londresViewer
    Operadortulip-texasOperatortulip-londonOperator
    ...

    Se Jane Smith for a líder do site no Texas, você a atribuirá ao grupo tulip-texasAccountOwner. Se Jane Smith também precisar de acesso de visualização no site de Londres, ela poderá ser adicionada ao grupo tulip-londonViewer.

    Expondo esses grupos como um atributo para a Tulip

    Em seu IdP, Jane deve ter um atributo, tulip-role, no qual todos os grupos dos quais ela é membro e que contêm o prefixo "tulip-" serão mapeados.

    Quando ela faz login no Tulip, o atributo tulip-role tem dois valores: tulip-texasAccountOwner, tulip-londonViewer. Você pode configurar o mapeamento de função para cada instância da Tulip individualmente para que ela receba as permissões corretas em cada instância.

    Funções globais

    Talvez você também queira criar funções de acesso global, como uma função "Viewer", por exemplo. Esses usuários poderão fazer login em todas as instâncias da Tulip com as mesmas permissões. O formato recomendado para isso é:

    tulip-globalViewer

    Você precisaria configurar esse mapeamento de função em cada instância individual na página de configuração SAML em Account Settings para permitir que esse usuário acesse cada instância.


    Encontrou o que estava procurando?

    Você também pode acessar community.tulip.co para postar sua pergunta ou ver se outras pessoas tiveram uma pergunta semelhante!


    Este artigo foi útil?