MENU
    Авторизация и управление доступом с помощью SAML
    • 08 Jan 2025
    • 4 Минуты для чтения
    • Авторы

    Авторизация и управление доступом с помощью SAML


    Вводный текст

    Инструкция и методология определения политики доступа и управления SAML для вашей организации.

    SAML позволяет организациям управлять аутентификацией и правами доступа пользователей Tulip с помощью существующего провайдера идентификации (IdP). В этом руководстве подробно описаны доступные варианты реализации интеграции IdP корпоративного уровня по протоколу SAML.

    Note

    This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

    Предварительная работа

    • Понимание ролей пользователей Tulip
    • Объедините сотрудников в группы на основе ролей
    • Определите, кто в вашей организации будет настраивать ваш IdP и учетную запись Tulip.

    Параметры конфигурации SAML + Tulip

    Режимы управления

    Режим управления Tulip означает, что роль и рабочее пространство пользователя Tulip берутся из сопоставления атрибутов SAML **только при первом входе в Tulip. **

    Пользователи, деактивированные в Tulip, не смогут войти в систему.

    Режим контроля IdP означает, что роль и рабочее пространство пользователя Tulip будут обновляться из IdP при каждом входе в систему.

    Сопоставление ролей по умолчанию (только в режиме управления Tulip)

    При первом входе в систему всем пользователям предоставляется уровень доступа по умолчанию (Viewer с доступом Player). Затем владельцу учетной записи необходимо вручную настроить роль на соответствующий уровень в Tulip.

    Контроль доступа

    Вы можете добавить атрибут контроля доступа, при котором пользователь должен иметь определенное значение, чтобы получить доступ к Tulip. Это особенно актуально для сценариев сопоставления по умолчанию, когда вы все равно хотите определить, кто должен иметь доступ к Tulip, независимо от роли или рабочего пространства.

    Например:

    • Пользователь должен иметь атрибут TulipAccessControl, установленный на True
    • Пользователь должен принадлежать к группе TulipUsers, которая раскрывается через атрибут TulipAccessControl (см. пример ниже).

    Если вы решите использовать контроль доступа, вам нужно будет попросить команду IdP добавить определенный атрибут и значение для всех пользователей, которые должны иметь доступ к Tulip.

    Рабочие пространства

    Подробно о рабочих пространствах вы можете прочитать здесь

    Как и в случае с атрибутом роли, теперь вам будет предоставлена возможность автоматически привязывать пользователей к определенному рабочему пространству при первоначальном создании пользователя. После создания пользователя владельцы учетных записей могут гибко перемещать пользователей между рабочими пространствами.

    Сопоставление рабочих пространств по SAML

    :::(Информация) (Несколько рабочих пространств) Обратите внимание, что привязка пользователей к нескольким рабочим пространствам возможна только в режиме управления Tulip.

    В режиме контроля IdP каждый пользователь может быть членом только одного рабочего пространства.
    :::

    При первом входе в систему пользователю назначается доступ к рабочему пространству на основе группы, представленной в его атрибуте рабочего пространства. После этого Tulip больше не будет читать атрибут рабочего пространства этого пользователя, и любые изменения рабочего пространства должны быть сделаны в платформе владельцем учетной записи.

    Сопоставление рабочих пространств по умолчанию

    При первом входе в систему всем пользователям предоставляется доступ к выбранному вами рабочему пространству по умолчанию. Затем владелец учетной записи может настроить доступ к рабочему пространству.

    Пример - создание групп доступа в вашем IdP

    Создание стандартизированных групп доступа Tulip

    Каждому пользователю необходимо указать атрибут роли в вашем IdP, чтобы Tulip мог определить его привилегии после аутентификации с помощью имени пользователя и пароля IdP.

    Вы также можете использовать поле "Роль" для определения сайтов, к которым у пользователя есть доступ, используя стандартное соглашение об именовании. Хотя поле роли может быть просто переменной, рекомендуется назначить пользователя в определенные группы Tulip и сопоставить их с атрибутом.

    Роль

    Здесь вы можете ознакомиться с ролями пользователей Tulip. Каждому пользователю нужна как минимум одна роль. Если у пользователя несколько ролей, Tulip выберет ту, которая имеет наибольший доступ.

    Пример роли - Владелец аккаунта.

    NOTE:

    There needs to be at least one Account Owner per site.

    Сайт

    Допустим, у вашей организации есть два сайта, для каждого из которых создан экземпляр Tulip.

    Мы можем обозначить каждый сайт его местоположением (Техас и Лондон, соответственно).

    Комбинирование свойств Site и Role

    Мы можем объединить эти два свойства, чтобы создать групповую матрицу для назначения пользователей. Мы рекомендуем организациям добавлять или добавлять к значению Tulip, чтобы по нему было легче фильтровать.

    Конвенция: tulip-siteRole

    acme-texas.tulip.coacme-london.tulip.co
    Владелец аккаунтаtulip-texasAccountOwnertulip-londonAccountOwner
    Супервайзер приложенийtulip-texasApplicationSupervisortulip-londonApplicationSupervisor
    Просмотрщикtulip-texasViewertulip-londonViewer
    Операторtulip-texasOperatortulip-londonOperator
    ...

    Если Джейн Смит является руководителем сайта в Техасе, вы назначите ее в группу tulip-texasAccountOwner. Если Джейн Смит также нужен доступ к просмотру лондонского сайта, ее можно добавить в группу tulip-londonViewer.

    Выставление этих групп в качестве атрибута для Tulip

    В вашем IdP у Джейн должен быть атрибут tulip-role, куда будут сопоставлены все группы, членом которых она является и которые содержат префикс "tulip-".

    Когда она входит в Tulip, атрибут tulip-role имеет два значения: tulip-texasAccountOwner, tulip-londonViewer. Вы можете настроить сопоставление ролей для каждого экземпляра Tulip отдельно, чтобы она получала правильные разрешения в каждом экземпляре.

    Глобальные роли

    Вы также можете захотеть создать глобальные роли доступа, например, роль "Зритель". Эти пользователи смогут входить в каждый экземпляр Tulip с одинаковыми правами. Рекомендуемый формат для этого следующий:

    tulip-globalViewer .

    Вам нужно будет настроить это сопоставление ролей для каждого отдельного экземпляра на странице конфигурации SAML в Настройках учетной записи, чтобы дать этому пользователю доступ к каждому экземпляру.


    Вы нашли то, что искали?

    Вы также можете зайти на community.tulip.co, чтобы задать свой вопрос или узнать, сталкивались ли другие с подобным вопросом!


    Была ли эта статья полезной?