Авторизация и управление доступом с использованием SAML

Инструкция и методика определения политики доступа и управления SAML для вашей организации.

SAML позволяет организациям управлять аутентификацией и правами доступа пользователей Tulip с помощью существующего провайдера идентификации (IdP). В данном руководстве подробно описывается процесс обнаружения и реализации установки SAML на уровне предприятия. Для отдельного сайта обратитесь к нашей статье поддержки здесь.

Процесс высокого уровня

Предварительная работа

• Понимание ролей пользователей Tulip
• Распределение сотрудников по группам на основе ролей
• Определите, кто в вашей организации будет настраивать IdP и учетную запись Tulip
• Определите, нужно ли переносить существующих пользователей.

Новые сайты

• Tulip включает SAML на вашем сайте
• Ваша организация настраивает SAML (как в вашем IdP, так и в Tulip) и предоставляет пользователям доступ.

Процесс создания нового сайта

Отправьте запрос менеджеру по работе с клиентами Tulip о том, что вы хотите создать новый сайт с SAML. Вы должны предоставить следующее:

• Название и URL сайта
• Имя и e-mail сотрудника вашей организации, который будет входить в систему и настраивать SAML.

Tulip создаст сайт и включит SAML.

Сотрудник, ответственный за настройку, получит электронное письмо для входа на сайт и настроит SAML, как описано здесь. Они настроят сайт в соответствии с вашей стратегией доступа, две из которых определены ниже.

Убедитесь, что вы протестировали доступ с помощью пользователей.

:::(Info) (ПРИМЕЧАНИЕ:) После завершения работы владельцу учетной записи необходимо удалить учетную запись пользователя, который настраивал SAML, поскольку в его учетной записи используются имя пользователя и пароль Tulip. Если этот человек будет поддерживать SAML в будущем, ему следует предоставить доступ владельца учетной записи и войти в систему с помощью SAML для будущих конфигураций.

Срок действия сертификатов SAML, созданных компанией Tulip, истекает ежегодно. Tulip свяжется с вашей командой и уведомит ее за 2 недели до истечения срока действия сертификата:

Процесс преобразования Active Site SAML

Аналогично описанному выше, но перед включением SAML нам необходимо преобразовать всех существующих пользователей из учетных записей Tulip в учетные записи SAML. Для этого нам понадобится список адресов электронной почты каждого пользователя и его NameId, предоставленный IdP. Мы будем работать с человеком, ответственным за конфигурацию, чтобы выполнить это преобразование с минимальным временем простоя. Если существующие пользователи не нужны, мы можем просто удалить всех пользователей. Следует помнить, что существующие данные, такие как Completions, связанные с этими пользователями, не будут перенесены на нового пользователя. См. документацию здесь

Ссылки

Пошаговая инструкция по настройке Tulip для Azure Active Directory находится здесь.

Настройка доступа

LTS 6

С выходом Workspaces в LTS 6 стратегия авторизации SAML изменилась, чтобы позволить организациям лучше управлять своими пользователями, не создавая лишней нагрузки на ИТ-отдел.

Изменения в SAML

Режимы управления

Режим управления Tulip - это текущее поведение, при котором роль пользователя в Tulip и его рабочее пространство берутся из сопоставления атрибутов SAML только при первом входе в Tulip. Пользователи, деактивированные в Tulip, не могут войти в систему. Режим контроля IdP означает, что каждый раз, когда пользователь успешно проходит аутентификацию, он снова активируется. Их роль и рабочее пространство в Tulip будут обновлены с помощью IdP.

Сопоставление ролей по умолчанию

При первом входе в систему всем пользователям предоставляется уровень доступа по умолчанию (Viewer с доступом Player), после чего владельцу учетной записи необходимо настроить роль на соответствующий уровень.

Контроль доступа

Вы можете добавить атрибут контроля доступа, при котором пользователь должен обладать определенным значением, чтобы получить доступ к Tulip. Это особенно актуально для сценариев сопоставления по умолчанию, когда необходимо определить, кто должен иметь доступ к Tulip, независимо от роли или рабочего пространства.

Например:

• Пользователь должен иметь атрибут TulipAccessControl, установленный в True
• Пользователь должен принадлежать к группе TulipUsers, которая раскрывается через атрибут TulipAccessControl (см. пример ниже).

Если вы решили использовать контроль доступа, вам необходимо запросить у команды IdP добавление определенного атрибута и значения для всех пользователей, которые должны иметь какой-либо доступ к Tulip.

Рабочие пространства

Подробно о рабочих пространствах можно прочитать здесь

Как и в случае с атрибутом роли, теперь вам будет предоставлена возможность сопоставления пользователей с рабочими пространствами.

Сопоставление рабочих пространств по SAML

При первом входе в систему пользователю назначается доступ к рабочему пространству на основе групп, представленных в его атрибуте рабочего пространства. После этого Tulip больше не будет считывать атрибут рабочего пространства этого пользователя, и любые изменения рабочего пространства должны производиться в платформе владельцем учетной записи.

:::(Info) (ПРИМЕЧАНИЕ) Если выбран этот метод, необходимо попросить команду IdP добавить соответствующее рабочее пространство всем пользователям, которым требуется доступ к Tulip. :::

Сопоставление рабочих пространств по умолчанию

При первом входе в систему всем пользователям предоставляется доступ к выбранному вами рабочему пространству по умолчанию. Затем владелец учетной записи может настроить доступ к рабочему пространству.

Создание групп доступа

Для опции пользовательского отображения ролей (по умолчанию до LTS 6)

Создание стандартных групп доступа Tulip:

Каждому пользователю необходим атрибут роли, указанный в вашем IdP, который Tulip использует для определения его привилегий после аутентификации с помощью имени пользователя и пароля IdP. Мы также можем использовать это поле Role для определения сайтов, к которым они имеют доступ, используя стандартное соглашение об именовании. Хотя поле Role может быть просто переменной, рекомендуется назначить пользователя определенным группам Tulip и сопоставить их с атрибутом.

Роль

Здесь можно ознакомиться с ролями доступа к Tulip. Каждый пользователь должен иметь хотя бы одну роль. Если пользователь имеет несколько ролей, Tulip выберет ту, которая имеет наибольший доступ.

В качестве примера можно привести роль Account Owner.

:::(Info) (ПРИМЕЧАНИЕ:) На каждом сайте должен быть как минимум один владелец аккаунта:

Сайт

Допустим, в вашей организации есть два сайта, и для каждого из них создан экземпляр Tulip.

Мы можем обозначить каждый сайт по его местоположению (Техас и Лондон, соответственно).

Объединение двух сайтов

Мы можем объединить эти два сайта, чтобы создать групповую матрицу для назначения пользователей. Мы рекомендуем организациям добавлять или предварять значение Tulip, чтобы по нему было легче фильтровать.

Конвенция: tulip-siteRole

| | | | | | --- | --- | --- | --- | | | | acme-texas.tulip.co | acme-london.tulip.co | | Владелец счета | tulip-texasAccountOwner | tulip-londonAccountOwner | | | Супервизор приложения | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Просмотрщик | tulip-texasViewer | tulip-londonViewer | | Оператор | tulip-texasOperator | tulip-londonOperator | | ... | | |

Если Джейн Смит является руководителем сайта в Техасе, мы назначим ее в группу tulip-texasAccountOwner. Если Джейн Смит также нуждается в доступе к просмотру лондонского сайта, ее можно добавить в группу tulip-londonViewer.

Выставление этих групп в качестве атрибутов для Tulip

В вашем IdP Джейн должна иметь атрибут tulip-role, куда будут сопоставлены все группы, членом которых она является и которые содержат префикс "tulip-". Когда она регистрируется в Tulip, атрибут tulip-role имеет два значения: tulip-texasAccountOwner, tulip-londonViewer.

Глобальные роли

Вы также можете захотеть создать глобальные роли доступа, например, как зритель. Для этого используется следующий формат:

tulip-globalViewer .

:::(Info) (ПРИМЕЧАНИЕ:) Если пользователь, являющийся членом глобальной группы просмотра, войдет на сайт, где у него также есть роль с большим доступом, Tulip предоставит ему самый высокий доступ. :::

Вы нашли то, что искали?

Вы также можете зайти на community.tulip.co, чтобы задать свой вопрос или узнать, сталкивались ли другие с подобным вопросом!