- 打印
如何在 Tulip 账户上设置 SAML SSO
以下是 IT 管理员如何配置其 IdP 与 Tulip 之间的集成。
:::(Warning) (注)该功能仅适用于 "专业 "或 "企业 "计划中拥有账户所有者角色的用户:
本指南将向您介绍如何设置此映射。
在设置此映射之前,有两点需要注意:
在新实例上使用 SAML
向你的 Tulip 客户成功经理发送请求,表示你想使用 SAML 创建一个新实例。您应提供以下信息:
- 实例名称和 URL
- 您组织中负责登录和配置 SAML 的人员的姓名和电子邮件地址
Tulip 将创建实例并启用 SAML。
负责配置的人员将收到一封登录实例的电子邮件,他们将按此处所述配置 SAML。他们将根据你的访问策略配置实例,这两种策略定义如下。
确保对用户的访问进行测试。
:::(Info) (注:)完成配置后,账户所有者需要删除配置 SAML 人员的用户账户,因为他们的账户使用的是 Tulip 用户名和密码。如果此人将来要维护 SAML,则应授予其账户所有者权限,并在将来的配置中使用 SAML 登录。
Tulip 创建的 SAML 证书每年过期一次。Tulip 将提前两周联系通知您的团队轮换证书:
SAML SSO 迁移(仅限现有 Tulip 实例)
如果您已经在使用电子邮件/密码验证用户身份,下面是切换方法。
为了切换并保留现有用户数据,你的账户需要将用户迁移到 SAML。Tulip 团队成员可以帮助你进行迁移。为了进行这一转换,你需要共享一个要迁移的用户 CSV 文件。
需要两列
- 用户的 SAML nameID。虽然格式可以灵活,但这必须是一个唯一的ID,能将用户的 Tulip 账户与他们的 SAML 账户联系起来。Tulip 中的每个用户在 SAML 中都必须有一个唯一的 nameID。该字段区分大小写。
- 当前用户用于登录 Tulip 的电子邮件地址。
确保已确认并验证 SAML 在 Tulip 中正常工作,请参阅测试 SAML 配置。如果仍需要用户登录,请确保在测试后关闭 SAML。
获得迁移 CSV 并确认 SAML 正常运行后,请与 Tulip 代表联系,安排 SAML 迁移时间。迁移完成后,所有用户都可以立即开始使用 SAML 登录。
将 SAML 配置输入 Tulip(所有实例)
首先,提醒你的 Tulip 代表你想使用 SAML SSO。然后,您的账户将启用该功能。
您需要拥有 "账户所有者 "角色才能进行设置。点击屏幕右上方的用户配置文件,选择 "设置
然后从左侧的选项列表中选择 "SAML"。
在这里,您可以下载我们的元数据 XML 文件,并在身份供应商中创建 Tulip 应用程序。
接下来,Tulip 可以接受来自提供商的元数据 XML,也可以手动提供以下内容:
- SSO 登录 URL
- SSO 注销 URL
- 证书(PEM 格式)
设置用户映射
更多详情,请参阅本指南。
测试配置
输入所有集成详细信息后,点击底部的 "保存 "按钮。
然后,你可以使用屏幕右上方的 "测试 SAML 身份验证 "工具来确保你的设置工作正常。
按下 "验证 "按钮后,就可以尝试使用任何 SAML 用户凭据登录。
如果登录失败,将显示任何错误。
如果登录成功,屏幕右侧将显示该 SAML 用户的所有详细信息。