使用 SAML 进行授权和访问控制

为贵组织定义访问策略和管理 SAML 的说明和方法。

SAML 允许企业使用现有身份提供商 (IdP) 管理 Tulip 用户的身份验证和访问权限。本指南将详细介绍通过 SAML 协议实施企业级 IdP 集成的可用选项。

:::(Warning) (注）本文重点介绍配置 SAML + Tulip 集成的所有选项。有关如何在 Tulip 中进行设置的指南，请参阅本指南：

前期工作

• 了解 Tulip 用户角色
• 将员工归入基于角色的组
• 确定组织内由谁配置 IdP 和 Tulip 账户

SAML + Tulip 配置选项

控制模式

Tulip 控制模式表示用户的 Tulip 角色和工作区仅在首次登录 Tulip 时从 SAML 属性映射中获取。**

在 Tulip 中停用的用户将无法登录。

IdP 控制模式意味着用户的 Tulip 角色和工作区将在每次登录时从 IdP 更新。

默认角色映射（仅限 Tulip 控制模式）

首次登录时，所有用户都会获得默认访问级别（具有播放器访问权限的查看器）。然后，账户所有者需要在 Tulip 中手动将角色调整到相应级别。

访问控制

您可以选择添加访问控制属性，用户需要拥有特定值才能访问 Tulip。这与默认映射方案尤其相关，在这种方案中，无论角色或工作区如何，你仍然希望规定谁能访问 Tulip。

例如

• 用户必须将 TulipAccessControl 属性设置为 True
• 用户必须属于 TulipUsers 组，该组通过属性 TulipAccessControl 公开（见下面的示例）

如果你选择使用访问控制，你需要要求你的 IdP 团队为所有需要访问 Tulip 的用户添加定义的属性和值。

工作空间

你可以在这里详细了解工作空间

与角色属性一样，您现在可以选择在初始创建用户时自动将用户映射到特定工作区。创建用户后，账户所有者可以在工作区之间灵活移动用户。

SAML 自定义工作区映射

用户首次登录时，会根据其工作区属性中显示的组别分配工作区访问权限。此后，Tulip 将不再读取该用户的工作区属性，任何工作区变更都必须由账户所有者在平台上完成。

默认工作区映射

首次登录时，所有用户都将获得访问默认工作区的权限。然后，账户所有者可以调整工作区的访问权限。

示例：在 IDP 中创建访问组

创建标准化郁金香访问组

每个用户都需要在 IdP 中指定一个角色属性，以便 Tulip 在用户使用 IdP 用户名和密码进行身份验证后确定其权限。

您还可以使用该角色字段，通过标准命名约定来确定他们可以访问哪些网站。虽然角色字段可以只是一个设置变量，但建议你将用户分配到 Tulip 的特定组，并将这些组映射到属性中。

角色

在此查看 Tulip 用户角色。每个用户至少需要一个角色。如果用户有多个角色，Tulip 将选择访问权限最高的一个。

账户所有者就是一个例子。

:::(Info) (注意：）每个网站至少需要一个账户所有者：

网站

假设贵组织有两个站点，每个站点都有一个 Tulip 实例。

我们可以用地点（分别是德克萨斯州和伦敦）来表示每个站点。

结合站点和角色

我们可以将这两个属性结合起来，创建一个组矩阵，为用户分配角色。我们建议企业在值的后面或前面加上郁金香，这样更容易筛选。

约定：tulip-siteRole

| | | | --- | --- | | --- | | | | | acme-texas.tulip.co | acme-london.tulip.| 帐户所有者 | tulip-texasAccountOwner | tulip-londonAccountOwner | | 应用程序主管 | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | 查看器 | tulip-texasViewer | tulip-londonViewer | 操作员 | tulip-texasOperator | tulip-londonOperator | | ...| | |

如果 Jane Smith 是德克萨斯站点的站点负责人，你会把她分配到tulip-texasAccountOwner 组。如果简-史密斯还需要伦敦站点的视图访问权限，则可以将她添加到组tulip-londonViewer 中。

将这些组作为郁金香的属性公开

在你的 IdP 中，Jane 应该有一个属性 tulip-role，她作为成员的任何包含前缀 "tulip-"的组都将被映射到这个属性中。

当她登录 Tulip 时，属性tulip-role有两个值：t**ulip-texasAccountOwner 和 tulip-londonViewer。**你可以为每个 Tulip 实例单独配置角色映射，这样她就能在每个实例中获得正确的权限。

全局角色

您可能还想创建全局访问角色，例如 "查看器 "角色。这些用户将能以相同的权限登录每个 Tulip 实例。建议格式如下

tulip-globalViewer

您需要在 "账户设置 "的 SAML 配置页面中的每个实例上设置该角色映射，以使该用户能够访问每个实例。

找到您想要的了吗？

你还可以前往community.tulip.co发布你的问题，或者看看其他人是否也遇到过类似的问题！