Авторизация и управление доступом с помощью SAML

Инструкция и методология определения политики доступа и управления SAML для вашей организации.

SAML позволяет организациям управлять аутентификацией и правами доступа пользователей Tulip с помощью существующего провайдера идентификации (IdP). В этом руководстве подробно описаны доступные варианты реализации интеграции IdP корпоративного уровня через протокол SAML.

:::(Warning) (Примечание) В этой статье рассматриваются все варианты настройки интеграции SAML + Tulip. Руководство по настройке этой функции в Tulip см. в этом руководстве. :::

Предварительная работа

• Понимание ролей пользователей Tulip
• Объедините сотрудников в группы на основе ролей
• Определите, кто в вашей организации будет настраивать ваш IdP и учетную запись Tulip.

Параметры конфигурации SAML + Tulip

Режимы управления

Режим управления Tulip означает, что роль и рабочее пространство пользователя Tulip берутся из сопоставления атрибутов SAML **только при первом входе в Tulip. **

Пользователи, деактивированные в Tulip, не смогут войти в систему.

Режим контроля IdP означает, что роль и рабочее пространство пользователя Tulip будут обновляться из IdP при каждом входе в систему.

Сопоставление ролей по умолчанию (только в режиме управления Tulip)

При первом входе в систему всем пользователям предоставляется уровень доступа по умолчанию (Viewer с доступом Player). Затем владельцу учетной записи необходимо вручную настроить роль на соответствующий уровень в Tulip.

Контроль доступа

Вы можете добавить атрибут контроля доступа, при котором пользователь должен иметь определенное значение, чтобы получить доступ к Tulip. Это особенно актуально для сценариев сопоставления по умолчанию, когда вы все равно хотите определить, кто должен иметь доступ к Tulip, независимо от роли или рабочего пространства.

Например:

• Пользователь должен иметь атрибут TulipAccessControl, установленный на True
• Пользователь должен принадлежать к группе TulipUsers, которая раскрывается через атрибут TulipAccessControl (см. пример ниже).

Если вы решите использовать контроль доступа, вам нужно будет попросить команду IdP добавить определенный атрибут и значение для всех пользователей, которые должны иметь доступ к Tulip.

Рабочие пространства

Подробно о рабочих пространствах вы можете прочитать здесь

Как и в случае с атрибутом роли, теперь вам будет предоставлена возможность автоматически привязывать пользователей к определенному рабочему пространству при первоначальном создании пользователя. После создания пользователя владельцы учетных записей могут гибко перемещать пользователей между рабочими пространствами.

Сопоставление рабочих пространств по SAML

При первом входе в систему пользователю назначается доступ к рабочему пространству на основе группы, представленной в его атрибуте рабочего пространства. После этого Tulip больше не будет считывать атрибут рабочего пространства этого пользователя, и любые изменения рабочего пространства должны быть сделаны в платформе владельцем аккаунта.

Сопоставление рабочих пространств по умолчанию

При первом входе в систему всем пользователям предоставляется доступ к выбранному вами рабочему пространству по умолчанию. Затем владелец учетной записи может настроить доступ к рабочему пространству.

Пример - создание групп доступа в вашем IdP

Создание стандартизированных групп доступа Tulip

Каждому пользователю необходимо указать атрибут роли в вашем IdP, чтобы Tulip мог определить его привилегии после аутентификации с помощью имени пользователя и пароля IdP.

Вы также можете использовать поле "Роль" для определения сайтов, к которым у пользователя есть доступ, используя стандартное соглашение об именовании. Хотя поле роли может быть просто переменной, рекомендуется назначить пользователя в определенные группы Tulip и сопоставить их с атрибутом.

Роль

Здесь вы можете ознакомиться с ролями пользователей Tulip. Каждому пользователю нужна как минимум одна роль. Если у пользователя несколько ролей, Tulip выберет ту, которая имеет наибольший доступ.

Пример роли - Владелец аккаунта.

:::(Info) (ПРИМЕЧАНИЕ:) На каждом сайте должен быть как минимум один владелец аккаунта. :::

Сайт

Допустим, у вашей организации есть два сайта, для каждого из которых создан экземпляр Tulip.

Мы можем обозначить каждый сайт по его местоположению (Техас и Лондон, соответственно).

Комбинирование свойств "Сайт" и "Роль

Мы можем объединить эти два свойства, чтобы создать групповую матрицу для назначения пользователей. Мы рекомендуем организациям добавлять или добавлять к значению Tulip, чтобы по нему было легче фильтровать.

Конвенция: tulip-siteRole

| | | | | | --- | --- | --- | --- | | | | acme-texas.tulip.co | acme-london.tulip.co | | Владелец аккаунта | tulip-texasAccountOwner | tulip-londonAccountOwner | | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

Если Джейн Смит является руководителем сайта в Техасе, вы назначите ее в группу tulip-texasAccountOwner. Если Джейн Смит также нужен доступ к просмотру сайта в Лондоне, ее можно добавить в группу tulip-londonViewer.

Выставление этих групп в качестве атрибута для Tulip

В вашем IdP у Джейн должен быть атрибут tulip-role, куда будут сопоставлены все группы, членом которых она является и которые содержат префикс "tulip-".

Когда она входит в Tulip, атрибут tulip-role имеет два значения: tulip-texasAccountOwner, tulip-londonViewer. Вы можете настроить сопоставление ролей для каждого экземпляра Tulip отдельно, чтобы она получала правильные разрешения в каждом экземпляре.

Глобальные роли

Вы также можете захотеть создать глобальные роли доступа, например, роль "Зритель". Эти пользователи смогут входить в каждый экземпляр Tulip с одинаковыми правами. Рекомендуемый формат для этого следующий:

tulip-globalViewer .

Вам нужно будет настроить это сопоставление ролей для каждого отдельного экземпляра на странице конфигурации SAML в Настройках учетной записи, чтобы дать этому пользователю доступ к каждому экземпляру.

Вы нашли то, что искали?

Вы также можете зайти на community.tulip.co, чтобы задать свой вопрос или узнать, сталкивались ли другие с подобным вопросом!