如何在郁金香账户上设置 SAML SSO

以下是 IT 管理员如何配置其 IdP 与 Tulip 之间的集成。

:::(Error) (限制）此功能仅适用于专业版及以上版本：

本指南将向您介绍如何设置此映射。

在设置此映射之前，需要考虑三个重要注意事项：

1. 查看本指南以了解 Tulip 中不同类型的角色。
2. 要了解 Tulip 支持的授权和验证方法，请阅读本指南。
3. 如果您希望操作员继续使用徽章 ID 登录，请与 Tulip 代表联系。

:::(Info) 注意

Tulip 创建的 SAML 证书每年过期一次。Tulip 将提前两周通知您的团队轮换证书：

通过 SAML 连接 IdP（所有实例）

您需要拥有 "账户所有者 "角色才能进行设置。点击屏幕右上方的用户配置文件，选择 "设置

然后从左侧的选项列表中选择 "SAML"。

在此，您可以启用 SAML 功能。然后，下载我们的元数据 XML 文件，并在身份供应商中创建 Tulip 应用程序。

接下来，Tulip 可以接受来自提供商的元数据 XML，也可以手动提供以下内容：

• SSO 登录 URL
• SSO 注销 URL
• 证书（PEM 格式）

设置用户映射

更多详情，请参阅本指南。

测试配置

然后，可以使用屏幕右上方的 "测试 SAML 身份验证 "工具来确保设置正确无误。这将确保在保存配置后，至少有一个用户可以继续登录实例。

按下 "Authenticate（验证）"按钮后，就可以尝试使用任何 SAML 用户的凭据登录。

如果登录失败，将显示任何错误。

如果登录成功，屏幕右侧将显示该 SAML 用户的所有详细信息。nameID 将成功映射到 Tulip 中，该用户今后将能使用其 IdP 凭据登录 Tulip。

输入所有集成细节后，点击底部的 "保存 "按钮。

SAML SSO 迁移（仅限现有实例）

如果您已经在使用电子邮件/密码验证用户身份，下面是切换方法。

为了切换并保留现有用户数据，您的账户需要将用户迁移到 SAML。

你可以使用页面顶部的 "迁移 "选项卡，确保所有现有用户都能继续使用 Tulip。

需要两列

• 用户的 SAML nameID。虽然格式可以灵活，但这必须是一个唯一的ID，能将用户的 Tulip 账户与其 SAML 账户联系起来。Tulip 中的每个用户在 SAML 中都必须有一个唯一的 nameID。
• 当前用户用于登录 Tulip 的电子邮件地址。

确保已确认并验证 SAML 在 Tulip 中正常工作，请参阅测试 SAML 配置。如果仍需要用户使用传统的电子邮件和密码登录，请确保在测试后关闭 SAML。

上传 CSV 后，你将获得哪些用户已成功映射到 Tulip 的反馈。成功映射的用户可以立即使用他们的 SAML 凭据登录。

随着时间的推移检查 SAML 登录情况

在 "用户 "页面，你可以看到哪些用户已使用 SAML 凭据成功登录。

使用页面右侧的 "状态 "栏 Users page{target=_blank}右侧的 "状态 "栏查看每个用户与 IdP 的连接情况。

更多阅读

• How SAML Impacts Different Tulip Features{target=_blank}