如何在郁金香账户上设置 SAML SSO

如何在 Tulip 账户上设置 SAML SSO

以下是 IT 管理员如何配置其 IdP 与 Tulip 之间的集成。

:::(Warning) (注）该功能仅适用于 "专业 "或 "企业 "计划中拥有账户所有者角色的用户：

本指南将向您介绍如何设置此映射。

在设置此映射之前，有两点需要注意：

1. 查看本指南以了解 Tulip 中不同类型的角色。
2. 要了解 Tulip 支持的授权和验证方法，请阅读本指南。
3. 如果希望操作员继续使用徽章 ID 登录，请与 Tulip 代表联系。

在新实例上使用 SAML

向你的 Tulip 客户成功经理发送请求，表示你想使用 SAML 创建一个新实例。您应提供以下信息：

• 实例名称和 URL
• 您组织中负责登录和配置 SAML 的人员的姓名和电子邮件地址

Tulip 将创建实例并启用 SAML。

负责配置的人员将收到一封登录实例的电子邮件，他们将按此处所述配置 SAML。他们将根据你的访问策略配置实例，这两种策略定义如下。

确保对用户的访问进行测试。

:::(Info) (注：）完成配置后，账户所有者需要删除配置 SAML 人员的用户账户，因为他们的账户使用的是 Tulip 用户名和密码。如果此人将来要维护 SAML，则应授予其账户所有者权限，并在将来的配置中使用 SAML 登录。

Tulip 创建的 SAML 证书每年过期一次。Tulip 将提前两周联系通知您的团队轮换证书：

SAML SSO 迁移（仅限现有 Tulip 实例）

如果您已经在使用电子邮件/密码验证用户身份，下面是切换方法。

为了切换并保留现有用户数据，你的账户需要将用户迁移到 SAML。Tulip 团队成员可以帮助你进行迁移。为了进行这一转换，你需要共享一个要迁移的用户 CSV 文件。

需要两列

• 用户的 SAML nameID。虽然格式可以灵活，但这必须是一个唯一的ID，能将用户的 Tulip 账户与他们的 SAML 账户联系起来。Tulip 中的每个用户在 SAML 中都必须有一个唯一的 nameID。该字段区分大小写。
• 当前用户用于登录 Tulip 的电子邮件地址。

确保已确认并验证 SAML 在 Tulip 中正常工作，请参阅测试 SAML 配置。如果仍需要用户登录，请确保在测试后关闭 SAML。

获得迁移 CSV 并确认 SAML 正常运行后，请与 Tulip 代表联系，安排 SAML 迁移时间。迁移完成后，所有用户都可以立即开始使用 SAML 登录。

将 SAML 配置输入 Tulip（所有实例）

首先，提醒你的 Tulip 代表你想使用 SAML SSO。然后，您的账户将启用该功能。

您需要拥有 "账户所有者 "角色才能进行设置。点击屏幕右上方的用户配置文件，选择 "设置

然后从左侧的选项列表中选择 "SAML"。

在这里，您可以下载我们的元数据 XML 文件，并在身份供应商中创建 Tulip 应用程序。

接下来，Tulip 可以接受来自提供商的元数据 XML，也可以手动提供以下内容：

• SSO 登录 URL
• SSO 注销 URL
• 证书（PEM 格式）

设置用户映射

更多详情，请参阅本指南。

测试配置

输入所有集成详细信息后，点击底部的 "保存 "按钮。

然后，你可以使用屏幕右上方的 "测试 SAML 身份验证 "工具来确保你的设置工作正常。

按下 "验证 "按钮后，就可以尝试使用任何 SAML 用户凭据登录。

如果登录失败，将显示任何错误。

如果登录成功，屏幕右侧将显示该 SAML 用户的所有详细信息。

更多阅读

• SAML 如何影响郁金香的不同功能