使用 SAML 进行授权和访问控制
  • 04 Nov 2023
  • 1 分钟阅读
  • 贡献者

使用 SAML 进行授权和访问控制


Article Summary

为贵组织定义访问策略和管理 SAML 的说明和方法。

SAML 允许企业使用现有身份提供商 (IdP) 管理 Tulip 用户的身份验证和访问权限。本指南将详细介绍企业级 SAML 安装的发现和实施过程。对于单个站点,请在此处查阅我们的支持文章。

高级流程

前期工作

  • 了解 Tulip 用户角色
  • 将员工按角色分组
  • 确定组织内谁将配置 IDP 和 Tulip 账户
  • 确定是否需要迁移现有用户

新网站

  • Tulip 在您的网站上启用 SAML
  • 贵组织配置 SAML(在 IdP 和 Tulip 中)并授予用户访问权限

新网站创建流程

向 Tulip 客户成功经理发送请求,表示希望使用 SAML 创建新网站。您应提供以下信息:

  • 网站名称和 URL
  • 您组织中负责登录和配置 SAML 的人员的姓名和电子邮件地址

Tulip 将创建网站并启用 SAML。

负责配置的人员将收到一封登录网站的电子邮件,他们将按此处所述配置 SAML。他们将根据你的访问策略配置网站,这两种策略定义如下。

确保对用户进行访问测试。

:::(Info) (注:)配置完成后,账户所有者需要删除配置 SAML 人员的用户账户,因为他们的账户使用的是 Tulip 用户名和密码。如果此人将来要维护 SAML,则应授予其账户所有者权限,并在将来的配置中使用 SAML 登录。

Tulip 创建的 SAML 证书每年过期一次。Tulip 将提前两周通知您的团队轮换证书:

活动网站 SAML 转换流程

同上,但在启用 SAML 之前,我们需要将所有现有用户从 Tulip 账户转换为 SAML 账户。为此,我们需要每个用户的电子邮件列表及其 IdP 提供的NameId。我们将与负责配置的人员合作,以最少的停机时间完成转换。如果不需要现有用户,我们可以直接删除所有用户。请注意,链接到这些用户的现有数据(如完成情况)将不会迁移到他们的新用户。请参阅此处的文档

参考文献

有关为 Azure Active Directory 配置 Tulip 的分步说明,请点击此处

配置访问

LTS 6

随着工作空间在 LTS 6 中的发布,SAML 授权策略也发生了变化,使企业能够更好地管理用户,而不会给 IT 带来不必要的负担。

SAML 更改

控制模式

Tulip 控制模式是当前的一种行为,即用户的 Tulip 角色和工作空间只有在首次登录 Tulip 时才会从 SAML 属性映射中提取。在 Tulip 中停用的用户将无法登录。 IdP 控制模式意味着,只要用户成功通过身份验证,他们就会被重新激活。他们的 Tulip 角色和工作区将从 IdP 更新。

SAML Access Control Modes

默认角色映射

首次登录时,所有用户都会获得一个默认访问级别(具有播放器访问权限的查看器),账户所有者随后需要将角色调整到相应级别。

访问控制

您可以选择添加访问控制属性,用户需要拥有特定值才能访问 Tulip。这与默认映射方案尤其相关,在这种方案中,无论角色或工作区如何,你仍然希望规定谁能访问 Tulip。

例如

  • 用户必须将 TulipAccessControl 属性设置为 True
  • 用户必须属于 TulipUsers 组,该组通过属性 TulipAccessControl 公开(见下面的示例)

如果你选择使用访问控制,你需要要求你的 IdP 团队为所有需要访问 Tulip 的用户添加定义的属性和值。

工作空间

你可以在这里详细了解工作空间

与角色属性一样,你现在可以选择将用户映射到工作空间。

SAML 自定义工作区映射

首次登录时,用户会根据其工作空间属性中显示的组被分配工作空间访问权限。此后,Tulip 将不再读取该用户的工作区属性,任何工作区变更都必须由账户所有者在平台上完成。

:::(Info) (注)如果选择这种方法,则需要要求 IdP 团队为所有需要 Tulip 访问的用户添加相应的工作区:

默认工作区映射

首次登录时,所有用户都将获得访问您选择的默认工作区的权限。然后,账户所有者可以调整工作区访问权限。

创建访问组

自定义角色映射选项(LTS 6 之前的默认值)

创建标准化的郁金香访问组:

每个用户都需要在 IdP 中指定一个角色属性,一旦他们使用 IdP 用户名和密码进行身份验证,Tulip 就会使用该属性来确定他们的权限。我们还可以使用这个角色字段,通过标准命名约定来确定他们可以访问哪些网站。虽然角色字段可以只是一个设置变量,但我们建议你将用户分配到 Tulip 的特定,并将这些映射到属性中。

角色

在此查看 Tulip 访问角色。每个用户至少需要一个角色。如果用户有多个角色,Tulip 将选择访问权限最高的一个。

账户所有者就是一个例子。

:::(Info) (注意:)每个网站至少需要一个账户所有者:

网站

假设贵组织有两个站点,每个站点都有一个 Tulip 实例。

我们可以用地点(分别是德克萨斯州和伦敦)来表示每个站点。

合并两个站点

我们可以将这两个站点结合起来,创建一个组矩阵,以便分配用户。我们建议企业在值后面附加或预缀 Tulip,这样更容易筛选。

惯例:tulip-siteRole

| | | | --- | --- | | --- | | | | | acme-texas.tulip.co | acme-london.tulip.| 帐户所有者 | tulip-texasAccountOwner | tulip-londonAccountOwner | | 应用程序主管 | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | 查看器 | tulip-texasViewer | tulip-londonViewer | 操作员 | tulip-texasOperator | tulip-londonOperator | | ...| | |

如果 Jane Smith 是德克萨斯站点的负责人,我们就会把她分配到tulip-texasAccountOwner 。如果简-史密斯也需要伦敦站点的视图访问权限,则可以将她加入tulip-londonViewer 组。

将这些组作为郁金香的属性公开

在你的 IdP 中,Jane 应该有一个属性 tulip-role,她所属的任何包含前缀 "tulip-"的组都将被映射到这个属性中。当她登录 Tulip 时,属性tulip-role有两个值:tulip-texasAccountOwner 和 tulip-londonViewer。

全局角色

您可能还想创建全局访问角色,例如查看器。格式如下

tulip-globalViewer

:::(Info) (注意:)如果全局查看器组的用户登录到一个网站,而该网站也有一个具有更高访问权限的角色,Tulip 将给予他们最高访问权限。 :::


找到您想要的东西了吗?

您还可以前往community.tulip.co发布您的问题,或查看其他人是否遇到过类似问题!


本文对您有帮助吗?