将LDAP与Tulip整合在一起

目的

这里介绍Tulip账户所有者如何使用LDAP来管理他们账户中的用户。

在这篇文章中，你将学习。

• Tulip如何连接到你的活动目录实例
• 配置活动目录集成的不同方法
• 活动目录集成的技术要求

目前，Tulip通过微软的活动目录产品与LDAP进行整合。如果你的组织使用活动目录，那么你可以根据活动目录的规则来设置你的Tulip实例。

:::(Info) (注）该功能仅在企业计划中可用。 :::

郁金香用户概述

Tulip有两个不同的用户界面。

1. 郁金香，在这里可以建立和编辑应用程序，并且可以连接到外部数据库。
2. 郁金香播放器，用户和操作员在此运行在郁金香中构建的应用程序。

一个用户的权限级别由用户的角色来定义。

Tulip有多个级别的用户权限。关于这些角色的信息，请参见。管理Tulip中的用户角色

1. 帐户所有者和其他各种列出的角色有能力在Tulip中编辑应用程序。
2. 操作员只有通过郁金香播放器运行应用程序的权限。他们不能编辑应用程序或访问郁金香界面。

设置选项

为了将LDAP与Tulip集成，你可以根据活动目录组来管理你的用户角色，或者从Tulip内部管理。

• 从活动目录组管理用户角色。你需要根据用户在活动目录服务器上所需的权限级别对其进行适当的分组，并向你的Tulip系统管理员提供适当的映射（例如：A组=账户所有者）。
• 从Tulip内部管理用户角色。你需要在Tulip内部手动添加每个用户，并指定他们的用户角色，让他们用活动目录中的确切用户名创建他们的账户。

你可以用四种不同的方式来配置你的集成。

1. 要求所有Tulip用户使用他们的活动目录用户名和密码登录Tulip或Tulip播放器。Tulip中的角色是根据活动目录组来指定的。
2. 要求所有Tulip用户使用他们的活动目录用户名和密码登录Tulip或Tulip播放器。角色在Tulip内被维护。
3. 允许郁金香操作员只使用他们的徽章ID登录郁金香播放器，但要求郁金香账户所有者和其他角色使用他们的活动目录用户名和密码登录郁金香。Tulip内的角色是根据活动目录组来指定的。
4. 允许郁金香操作员只使用他们的徽章ID登录郁金香播放器，但要求郁金香账户所有者和其他角色使用他们的活动目录用户名和密码登录郁金香。角色在Tulip内维护。

你可以根据你的组织的安全协议来选择配置选项。请注意，对所有Tulip用户强制使用活动目录的用户名和密码是最安全的选择。

协调Tulip用户与LDAP用户的关系

从Tulip内部管理用户角色

如果您的组织选择从Tulip内部管理用户角色，Tulip账户所有者将首先需要创建一个新用户，然后，他们必须添加一个与他们的LDAP用户名相匹配的Tulip用户名。任何电子邮件都可以接受。

{height="" width="550"}。

当这个郁金香用户试图登录时，他们需要在 "用户名 "栏中添加他们的LDAP用户名，并在 "密码 "栏中添加他们的密码。然后，Tulip将在你的活动目录实例中对他们进行认证。登录屏幕将看起来像下面这样。

{height="" width="550"}。

在这种情况下，Tulip系统管理员将用你提供的信息添加你的第一个Tulip用户。

从活动目录组管理用户角色

如果你的组织选择基于活动目录组来定义Tulip角色，那么就不需要在Tulip中创建个人用户。相反，你可以提供你的用户组的名称和他们映射的Tulip用户角色。

当用户第一次用他们的活动目录凭证登录Tulip时，Tulip将用你的活动目录实例对他们进行认证，然后在Tulip内自动创建一个账户。如前所述，他们的能力将取决于他们的活动目录组和你所定义的组的映射角色。

{height="" width="550"}。

如果您选择了一个配置选项，允许郁金香操作员使用他们的徽章ID登录，那么郁金香播放器中的操作员登录屏幕将如下所示。

{high="" width="550"}{高="" width="550"}

技术要求

要配置LDAP连接，您需要提供您自己的LDAP服务器，该服务器可以被Tulip的服务器访问，并提供以下信息。

• 服务器地址（如ldaps://xxx.xxx.xxx:636）。
• 用于搜索的 "区分名称"（例如dc=tulip,dc=co)
• 用来签署LDAP服务器证书的证书机构

你的IT系统管理员应该很容易就能提供这些信息。

总结

要为您的Tulip账户配置LDAP集成，请先与您的客户代表联系，提供以下信息。

1. 你想使用前面提到的4种认证方法中的哪一种。
2. 如果适用的话。一个映射你的活动目录组和他们所需的Tulip用户角色的列表
3. 上一节中的技术要求。
4. 一个你想进行改变的时间窗口。请注意，在进行更改时，所有客户将被注销，每个人都需要重新认证你的Tulip网站。

你可以在云端和企业内部版本的Tulip上使用LDAP集成。