- Распечатать
Как настроить SAML SSO для учетной записи Tulip
Как настроить SAML SSO в вашей учетной записи Tulip
Вот как ИТ-администраторы могут настроить интеграцию между их IdP и Tulip.
:::(Warning) (Примечание) Эта функция доступна только пользователям с ролью Account Owner в тарифных планах "Professional" или "Enterprise". :::
В этом руководстве вы узнаете, как настроить это сопоставление.
Перед настройкой этого сопоставления следует обратить внимание на два важных момента:
- Изучите это руководство, чтобы понять различные типы ролей в Tulip.
- Чтобы понять методы авторизации и аутентификации, поддерживаемые Tulip, прочитайте это руководство.
- Если вы хотите, чтобы операторы продолжали входить в систему с помощью идентификатора бейджа, обратитесь к представителю Tulip.
Использование SAML в новом экземпляре
Отправьте запрос менеджеру по работе с клиентами Tulip о том, что вы хотите создать новый экземпляр с SAML. Вы должны предоставить следующее:
- Имя и URL-адрес экземпляра
- Имя и электронную почту сотрудника вашей организации, который войдет в систему и настроит SAML.
Tulip создаст экземпляр и включит SAML.
Сотрудник, ответственный за настройку, получит электронное письмо для входа в экземпляр и настроит SAML, как описано здесь. Они настроят экземпляр на основе вашей стратегии доступа, две из которых определены ниже.
Убедитесь, что вы протестировали доступ с помощью пользователей.
:::(Info) (ПРИМЕЧАНИЕ:) После завершения работы владельцу учетной записи необходимо удалить учетную запись пользователя, который настраивал SAML, поскольку в его учетной записи используются имя пользователя и пароль Tulip. Если этот человек будет поддерживать SAML в будущем, ему следует предоставить доступ владельца учетной записи и войти в систему с помощью SAML для будущих конфигураций.
Срок действия сертификатов SAML, созданных Tulip, истекает ежегодно. Tulip свяжется с вашей командой за 2 недели до истечения срока действия сертификата. :::
Миграция SAML SSO (только для существующих экземпляров Tulip)
Если вы уже используете электронную почту/пароль для аутентификации пользователей, вот как перейти на новый вариант.
Чтобы перейти и сохранить существующие данные пользователей, вашей учетной записи потребуется миграция пользователей на SAML. Сотрудник команды Tulip может помочь вам с этим переходом. Чтобы осуществить переход, вам нужно предоставить CSV-файл пользователей, которых нужно перенести.
В нем необходимо указать два столбца:
- Идентификатор имени SAML пользователя. Хотя формат может быть гибким, это должен быть уникальный идентификатор, который свяжет учетную запись пользователя в Tulip с его учетной записью SAML. Каждый пользователь в Tulip должен иметь отдельный nameID в SAML. Это поле чувствительно к регистру.
- Адрес электронной почты текущего пользователя, который он использует для входа в Tulip.
Убедитесь, что вы уже подтвердили и проверили работу SAML в Tulip, см. раздел Тестирование конфигурации SAML. Обязательно отключите SAML после тестирования, если вам все еще нужно, чтобы пользователи входили в систему.
Как только вы получите CSV миграции и убедитесь, что SAML работает, обратитесь к представителю Tulip, чтобы запланировать миграцию SAML. После миграции все пользователи могут сразу же начать входить в систему с помощью SAML.
Ввод конфигурации SAML в Tulip (все экземпляры)
Сначала сообщите представителю Tulip, что вы хотите использовать SAML SSO. Затем эта функция будет включена в вашей учетной записи.
Для настройки этой функции вам потребуется роль "Владелец учетной записи". Нажмите на свой профиль пользователя в верхней правой части экрана и выберите "Настройки".
Затем выберите "SAML" из списка опций слева.
Отсюда вы сможете загрузить наш XML-файл метаданных и создать приложение Tulip в вашем провайдере идентификации.
Далее Tulip может принять Metadata XML от вашего провайдера, или вы можете вручную предоставить следующие данные:
- URL-адрес входа в систему SSO
- URL-адрес SSO Logout
- Сертификаты (в формате PEM)
Настройка сопоставления пользователей
Более подробную информацию вы найдете в этом руководстве.
Проверка конфигурации
После ввода всех данных интеграции нажмите кнопку "Сохранить" внизу.
Затем вы можете воспользоваться инструментом "Test SAML Authentication" в правой верхней части экрана, чтобы убедиться, что ваша настройка работает правильно.
Когда вы нажмете кнопку "Аутентификация", вы сможете попытаться войти в систему с помощью учетных данных любого пользователя SAML.
При неудачной попытке входа будут показаны ошибки.
При успешном входе в систему все данные этого пользователя SAML будут отображены в правой части экрана.