使用 SAML 进行授权和访问控制

  • 更新于 May 7, 2025
  • 发布于 Sep 17, 2022
  • 1 分钟阅读
  • Pete Hartnett
 Prev Next

为贵组织定义访问策略和管理 SAML 的说明和方法。

SAML 允许企业使用现有身份提供商 (IdP) 管理 Tulip 用户的身份验证和访问权限。本指南将详细介绍通过 SAML 协议实施企业级 IdP 集成的可用选项。

Note

This article focuses on all the options for configuring your SAML + Tulip integration. For the guide on how to set this up within Tulip, see this guide.

前期工作

  • 了解 Tulip 用户角色
  • 按角色收集预计的 Tulip 用户,以便随时用他们的 Tulip 角色更新 SAML 属性
  • 确定组织内谁将配置您的 IdP 和 Tulip 账户

SAML + Tulip 配置选项

控制模式

Tulip 控制模式表示用户的 Tulip 角色和工作区仅在首次登录 Tulip时从 SAML 属性映射中获取**。**

在 Tulip 中停用的用户将无法登录。

IdP 控制模式意味着用户的 Tulip 角色和工作区将在每次登录时从 IdP 更新**。**

默认角色映射(仅限 Tulip 控制模式)

首次登录时,所有用户都会获得默认访问级别(具有播放器访问权限的查看器)。然后,账户所有者需要在 Tulip 中手动将角色调整到相应级别。

访问控制(仅限 Tulip 控制模式)

您可以选择添加访问控制属性,用户需要拥有特定值才能访问 Tulip。这与默认映射方案尤其相关,在这种方案中,无论角色或工作区如何,你仍然希望规定谁能访问 Tulip。

例如

  • 用户必须将 TulipAccessControl 属性设置为 True
  • 用户必须属于 TulipUsers 组,该组通过属性 TulipAccessControl 公开(见下面的示例)

如果你选择使用访问控制,你需要要求你的 IdP 团队为所有需要访问 Tulip 的用户添加定义的属性和值。

工作空间

你可以在这里详细了解工作空间

与角色属性一样,您现在可以选择在初始创建用户时自动将用户映射到特定工作区。创建用户后,账户所有者可以在工作区之间灵活移动用户。

SAML 自定义工作区映射

:::(信息) (多个工作区)请注意,只有在郁金香控制模式下才能将用户映射到多个工作区。

在 IdP 控制模式下,每个用户只能是一个工作区的成员。
:::

首次登录时,用户将根据其工作区属性中显示的组分配工作区访问权限。此后,郁金香将不再读取该用户的工作区属性,任何工作区变更都必须由账户所有者在平台上完成。

默认工作区映射

首次登录时,所有用户都将获得访问默认工作区的权限。账户所有者可以调整工作区访问权限。

用户组

在所有 SAML 配置中,你都可以将用户映射到 Tulip 的用户组{ target=_blank}功能中。

用户组存在于账户级别。一旦用户被映射到一个用户组,他们在所有工作空间中都将是该用户组的成员。

一旦切换 "打开 "用户组选项,就能根据 SAML 中的属性值将用户从 IdP 映射到 Tulip 中的用户组。

image.png

之后,你可以命名多达 100 个 SAML 属性,并将每个属性的值映射到一个用户组。这样,一个用户就可以映射到多个用户组。

image.png

示例--在 IdP 中创建访问组

下面的示例将帮助你了解如何一起使用 SAML 设置中的所有不同选项。

创建标准化的郁金香角色

每个用户都需要在 IdP 中指定一个角色属性,以便 Tulip 在用户使用 IdP 用户名和密码进行身份验证后确定其权限。

您还可以使用该角色字段,通过标准命名约定来确定他们可以访问哪些网站。虽然角色字段可以只是一个设定变量,但建议你将用户分配到IdP 中的Tulip 特定,并将这些映射到属性中。

角色

在此查看 Tulip 用户角色。每个用户至少需要一个角色。如果用户有多个角色,Tulip 将选择访问权限最高的一个。

账户所有者就是一个例子。

NOTE:

There needs to be at least one Account Owner per site.

网站

假设贵组织有两个站点,每个站点都有一个 Tulip 实例。

我们可以用地点(分别是德克萨斯州和伦敦)来表示每个站点。

结合站点和角色

我们可以将这两个属性结合起来,创建一个组矩阵,为用户分配角色。我们建议企业在值的后面或前面加上郁金香,这样更容易筛选。

惯例:tulip-siteRole
acme-texas.tulip.co acme-london.tulip.co
账户所有者 tulip-texasAccountOwner tulip-londonAccountOwner
应用程序主管 tulip-texasApplicationSupervisor 应用程序主管 tulip-londonApplicationSupervisor
查看器 tulip-texasViewer tulip-londonViewer
操作员 tulip-texasOperator 郁金香伦敦操作器
...

如果简-史密斯是德克萨斯站点的负责人,你可以将她分配到tulip-texasAccountOwner 组。如果简-史密斯也需要伦敦站点的视图访问权限,则可将她加入tulip-londonViewer 组。

将这些组作为郁金香的属性公开

在你的 IdP 中,Jane 应该有一个属性 tulip-role,她所属的任何包含前缀 "tulip-"的组都将被映射到这个属性中。

当她登录 Tulip 时,属性tulip-role有两个值:**tulip-texasAccountOwner 和 tulip-londonViewer。**你可以为每个 Tulip 实例单独配置角色映射,这样她就能在每个实例中获得正确的权限。

全局角色

您可能还想创建全局访问角色,例如 "查看器 "角色。这些用户将能以相同的权限登录每个 Tulip 实例。建议格式如下

tulip-globalViewer

您需要在 "账户设置 "的 SAML 配置页面中的每个实例上设置该角色映射,以使该用户能够访问每个实例。

找到您想要的了吗?

你还可以前往community.tulip.co发布你的问题,或者看看其他人是否也遇到过类似的问题!