Как настроить SAML SSO для учетной записи Tulip

Как настроить SAML SSO в вашей учетной записи Tulip

Вот как ИТ-администраторы могут настроить интеграцию между их IdP и Tulip.

:::(Warning) (Примечание) Эта функция доступна только пользователям с ролью Account Owner в тарифных планах "Professional" или "Enterprise". :::

В этом руководстве вы узнаете, как настроить это сопоставление.

Перед настройкой этого сопоставления следует обратить внимание на два важных момента:

1. Изучите это руководство, чтобы понять различные типы ролей в Tulip.
2. Чтобы понять методы авторизации и аутентификации, поддерживаемые Tulip, прочитайте это руководство.
3. Если вы хотите, чтобы операторы продолжали входить в систему с помощью идентификатора бейджа, обратитесь к представителю Tulip.

Использование SAML в новом экземпляре

Отправьте запрос менеджеру по работе с клиентами Tulip о том, что вы хотите создать новый экземпляр с SAML. Вы должны предоставить следующее:

• Имя и URL-адрес экземпляра
• Имя и электронную почту сотрудника вашей организации, который войдет в систему и настроит SAML.

Tulip создаст экземпляр и включит SAML.

Сотрудник, ответственный за настройку, получит электронное письмо для входа в экземпляр и настроит SAML, как описано здесь. Они настроят экземпляр на основе вашей стратегии доступа, две из которых определены ниже.

Убедитесь, что вы протестировали доступ с помощью пользователей.

:::(Info) (ПРИМЕЧАНИЕ:) После завершения работы владельцу учетной записи необходимо удалить учетную запись пользователя, который настраивал SAML, поскольку в его учетной записи используются имя пользователя и пароль Tulip. Если этот человек будет поддерживать SAML в будущем, ему следует предоставить доступ владельца учетной записи и войти в систему с помощью SAML для будущих конфигураций.

Срок действия сертификатов SAML, созданных Tulip, истекает ежегодно. Tulip свяжется с вашей командой за 2 недели до истечения срока действия сертификата. :::

Миграция SAML SSO (только для существующих экземпляров Tulip)

Если вы уже используете электронную почту/пароль для аутентификации пользователей, вот как перейти на новый вариант.

Чтобы перейти и сохранить существующие данные пользователей, вашей учетной записи потребуется миграция пользователей на SAML. Сотрудник команды Tulip может помочь вам с этим переходом. Чтобы осуществить переход, вам нужно предоставить CSV-файл пользователей, которых нужно перенести.

В нем необходимо указать два столбца:

• Идентификатор имени SAML пользователя. Хотя формат может быть гибким, это должен быть уникальный идентификатор, который свяжет учетную запись пользователя в Tulip с его учетной записью SAML. Каждый пользователь в Tulip должен иметь отдельный nameID в SAML. Это поле чувствительно к регистру.
• Адрес электронной почты текущего пользователя, который он использует для входа в Tulip.

Убедитесь, что вы уже подтвердили и проверили работу SAML в Tulip, см. раздел Тестирование конфигурации SAML. Обязательно отключите SAML после тестирования, если вам все еще нужно, чтобы пользователи входили в систему.

Как только вы получите CSV миграции и убедитесь, что SAML работает, обратитесь к представителю Tulip, чтобы запланировать миграцию SAML. После миграции все пользователи могут сразу же начать входить в систему с помощью SAML.

Ввод конфигурации SAML в Tulip (все экземпляры)

Сначала сообщите представителю Tulip, что вы хотите использовать SAML SSO. Затем эта функция будет включена в вашей учетной записи.

Для настройки этой функции вам потребуется роль "Владелец учетной записи". Нажмите на свой профиль пользователя в верхней правой части экрана и выберите "Настройки".

Затем выберите "SAML" из списка опций слева.

Отсюда вы сможете загрузить наш XML-файл метаданных и создать приложение Tulip в вашем провайдере идентификации.

Далее Tulip может принять Metadata XML от вашего провайдера, или вы можете вручную предоставить следующие данные:

• URL-адрес входа в систему SSO
• URL-адрес SSO Logout
• Сертификаты (в формате PEM)

Настройка сопоставления пользователей

Более подробную информацию вы найдете в этом руководстве.

Проверка конфигурации

После ввода всех данных интеграции нажмите кнопку "Сохранить" внизу.

Затем вы можете воспользоваться инструментом "Test SAML Authentication" в правой верхней части экрана, чтобы убедиться, что ваша настройка работает правильно.

Когда вы нажмете кнопку "Аутентификация", вы сможете попытаться войти в систему с помощью учетных данных любого пользователя SAML.

При неудачной попытке входа будут показаны ошибки.

При успешном входе в систему все данные этого пользователя SAML будут отображены в правой части экрана.

Дальнейшее чтение

• Как SAML влияет на различные функции Tulip