如何在郁金香账户上设置 SAML SSO
  • 05 Jan 2024
  • 1 分钟阅读
  • 贡献者

如何在郁金香账户上设置 SAML SSO


文章摘要

如何在 Tulip 账户上设置 SAML SSO

以下是 IT 管理员如何配置其 IdP 与 Tulip 之间的集成。

:::(Warning) (注)该功能仅适用于 "专业 "或 "企业 "计划中拥有账户所有者角色的用户:

本指南将向您介绍如何设置此映射。

在设置此映射之前,有两点需要注意:

  1. 查看本指南以了解 Tulip 中不同类型的角色。
  2. 要了解 Tulip 支持的授权和验证方法,请阅读本指南
  3. 如果希望操作员继续使用徽章 ID 登录,请与 Tulip 代表联系。

在新实例上使用 SAML

向你的 Tulip 客户成功经理发送请求,表示你想使用 SAML 创建一个新实例。您应提供以下信息:

  • 实例名称和 URL
  • 您组织中负责登录和配置 SAML 的人员的姓名和电子邮件地址

Tulip 将创建实例并启用 SAML。

负责配置的人员将收到一封登录实例的电子邮件,他们将按此处所述配置 SAML。他们将根据你的访问策略配置实例,这两种策略定义如下。

确保对用户的访问进行测试。

:::(Info) (注:)完成配置后,账户所有者需要删除配置 SAML 人员的用户账户,因为他们的账户使用的是 Tulip 用户名和密码。如果此人将来要维护 SAML,则应授予其账户所有者权限,并在将来的配置中使用 SAML 登录。

Tulip 创建的 SAML 证书每年过期一次。Tulip 将提前两周联系通知您的团队轮换证书:

SAML SSO 迁移(仅限现有 Tulip 实例)

如果您已经在使用电子邮件/密码验证用户身份,下面是切换方法。

为了切换并保留现有用户数据,你的账户需要将用户迁移到 SAML。Tulip 团队成员可以帮助你进行迁移。为了进行这一转换,你需要共享一个要迁移的用户 CSV 文件。

需要两列

  • 用户的 SAML nameID。虽然格式可以灵活,但这必须是一个唯一的ID,能将用户的 Tulip 账户与他们的 SAML 账户联系起来。Tulip 中的每个用户在 SAML 中都必须有一个唯一的 nameID。该字段区分大小写
  • 当前用户用于登录 Tulip 的电子邮件地址。

确保已确认并验证 SAML 在 Tulip 中正常工作,请参阅测试 SAML 配置。如果仍需要用户登录,请确保在测试后关闭 SAML。

获得迁移 CSV 并确认 SAML 正常运行后,请与 Tulip 代表联系,安排 SAML 迁移时间。迁移完成后,所有用户都可以立即开始使用 SAML 登录。

将 SAML 配置输入 Tulip(所有实例)

首先,提醒你的 Tulip 代表你想使用 SAML SSO。然后,您的账户将启用该功能。

您需要拥有 "账户所有者 "角色才能进行设置。点击屏幕右上方的用户配置文件,选择 "设置

然后从左侧的选项列表中选择 "SAML"。

在这里,您可以下载我们的元数据 XML 文件,并在身份供应商中创建 Tulip 应用程序。

接下来,Tulip 可以接受来自提供商的元数据 XML,也可以手动提供以下内容:

  • SSO 登录 URL
  • SSO 注销 URL
  • 证书(PEM 格式)

设置用户映射

更多详情,请参阅本指南

测试配置

输入所有集成详细信息后,点击底部的 "保存 "按钮。

然后,你可以使用屏幕右上方的 "测试 SAML 身份验证 "工具来确保你的设置工作正常。

按下 "验证 "按钮后,就可以尝试使用任何 SAML 用户凭据登录。

如果登录失败,将显示任何错误。

如果登录成功,屏幕右侧将显示该 SAML 用户的所有详细信息。

更多阅读


本文对您有帮助吗?