Autorisierung und Zugriffskontrolle mit SAML
  • 28 Aug 2024
  • 4 Minuten zu lesen
  • Mitwirkende

Autorisierung und Zugriffskontrolle mit SAML


Artikel-Zusammenfassung

Anleitung und Methodik für die Definition Ihrer Zugangspolitik und die Verwaltung von SAML für Ihre Organisation.

SAML ermöglicht es Organisationen, die Authentifizierung und die Zugriffsrechte von Tulip-Benutzern über ihren bestehenden Identitätsanbieter (IdP) zu verwalten. In diesem Leitfaden werden die verfügbaren Optionen für die Implementierung der IdP-Integration auf Unternehmensebene über das SAML-Protokoll beschrieben.

:::(Warning) (Hinweis) Dieser Artikel konzentriert sich auf alle Optionen für die Konfiguration Ihrer SAML + Tulip-Integration. Die Anleitung für die Einrichtung innerhalb von Tulip finden Sie in diesem Leitfaden:::

Vorarbeit

  • Verstehen der Tulip-Benutzerrollen
  • Mitarbeiter in rollenbasierte Gruppen einteilen
  • Bestimmen Sie, wer in Ihrer Organisation Ihr IdP- und Tulip-Konto konfigurieren wird

SAML + Tulip Konfigurationsmöglichkeiten

Kontroll-Modi

Der Tulip-Kontrollmodus gibt an, dass die Tulip-Rolle und der Arbeitsbereich eines Benutzers aus der SAML-Attribut-Zuordnung übernommen werden **nur bei der ersten Anmeldung bei Tulip. **

Benutzer, die in Tulip deaktiviert sind, können sich nicht mehr anmelden.

IdP-Kontrollmodus bedeutet, dass die Tulip-Rolle und der Arbeitsbereich eines Benutzers jedes Mal, wenn er sich anmeldet, vom IdP aktualisiert werden .

Standard-Rollenzuweisung (nur Tulip-Kontrollmodus)

Bei der ersten Anmeldung erhalten alle Benutzer eine Standard-Zugangsstufe (Viewer mit Player-Zugang). Der Kontoinhaber muss die Rolle dann manuell in Tulip auf die entsprechende Stufe anpassen.

Zugangskontrolle

Sie können ein Attribut zur Zugangskontrolle hinzufügen, bei dem der Benutzer einen bestimmten Wert haben muss, um Zugang zu Tulip zu erhalten. Dies ist vor allem für Standard-Zuordnungsszenarien relevant, bei denen Sie festlegen möchten, wer unabhängig von der Rolle oder dem Arbeitsbereich Zugang zu Tulip haben soll.

Zum Beispiel:

  • Ein Benutzer muss ein Attribut TulipAccessControl auf True gesetzt haben
  • Ein Benutzer muss zu einer Gruppe TulipUsers gehören, die durch ein Attribut TulipAccessControl sichtbar gemacht wird (siehe Beispiel unten)

Wenn Sie sich für Access Control entscheiden, müssen Sie Ihr IdP-Team bitten, das definierte Attribut und den Wert für alle Benutzer, die Zugang zu Tulip haben sollen, hinzuzufügen.

Arbeitsbereiche

Über Arbeitsbereiche können Sie hier im Detail lesen

Wie beim Rollenattribut erhalten Sie jetzt die Möglichkeit, Benutzer automatisch einem bestimmten Arbeitsbereich zuzuordnen, wenn der Benutzer zum ersten Mal angelegt wird. Nach der Erstellung des Benutzers können die Kontoinhaber die Benutzer flexibel zwischen den Arbeitsbereichen verschieben.

SAML Custom Workspace Mapping

:::(Info) (Multiple Workspaces) Bitte beachten Sie, dass Sie Benutzer nur im Tulip-Kontrollmodus in mehrere Workspaces zuordnen können.

Im IdP-Kontrollmodus kann jeder Benutzer nur Mitglied in einem einzigen Arbeitsbereich sein.
:::

Bei der ersten Anmeldung wird einem Benutzer der Zugang zu einem Arbeitsbereich anhand der Gruppe zugewiesen, die in seinem Arbeitsbereich-Attribut angegeben ist. Danach wird Tulip das Arbeitsbereich-Attribut dieses Benutzers nicht mehr lesen, und alle Änderungen am Arbeitsbereich müssen in der Plattform von einem Kontobesitzer vorgenommen werden.

Standard-Arbeitsbereich-Zuordnung

Bei der ersten Anmeldung erhalten alle Benutzer Zugang zu einem von Ihnen gewählten Standard-Arbeitsbereich. Ein Kontobesitzer kann dann den Zugriff auf den Arbeitsbereich anpassen.

Beispiel - Erstellen von Zugangsgruppen innerhalb Ihres IdP

Erstellen von standardisierten Tulip-Zugangsgruppen

Für jeden Benutzer muss in Ihrem IdP ein Rollenattribut angegeben werden, damit Tulip seine Privilegien bestimmen kann, sobald er sich mit seinem IdP-Benutzernamen und Passwort authentifiziert hat.

Sie können dieses Rollenfeld auch verwenden, um zu bestimmen, zu welchen Websites sie Zugang haben, indem Sie eine Standardbenennungskonvention verwenden. Ein Rollenfeld kann zwar nur eine gesetzte Variable sein, es wird jedoch empfohlen, den Benutzer bestimmten Gruppen in Tulip zuzuordnen und diese einem Attribut zuzuordnen.

Rolle

Sehen Sie sich hier die Tulip-Benutzerrollen an. Jeder Benutzer wird mindestens eine Rolle benötigen. Wenn ein Benutzer mehrere Rollen hat, wählt Tulip diejenige mit dem höchsten Zugriff.

Eine Beispielrolle ist Kontoinhaber.

:::(Info) (HINWEIS:) Es muss mindestens einen Kontoinhaber pro Website geben. :::

Website

Nehmen wir an, Ihre Organisation hat zwei Standorte, mit einer Tulip-Instanz für jeden.

Wir können jeden Standort mit seinem Standort bezeichnen (Texas bzw. London).

Kombination von Standort und Rolle

Wir können diese beiden Eigenschaften kombinieren, um eine Gruppenmatrix für zuzuweisende Benutzer zu erstellen. Wir empfehlen, dass Organisationen den Wert mit Tulip anhängen oder voranstellen, damit es einfacher ist, danach zu filtern.

Konvention: tulip-siteRole

| | | | | --- | --- | | | | | acme-texas.tulip.co | acme-london.tulip.co | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | ... | | |

Wenn Jane Smith die Standortleiterin des Standorts Texas ist, würden Sie sie der Gruppe tulip-texasAccountOwner zuordnen. Wenn Jane Smith auch Ansichtszugriff auf den Standort London benötigt, könnte sie der Gruppe tulip-londonViewer hinzugefügt werden.

Diese Gruppen als ein Attribut für Tulip freigeben

In Ihrem IdP sollte Jane ein Attribut, tulip-role, haben, in dem alle Gruppen, in denen sie Mitglied ist und die das Präfix "tulip-" enthalten, abgebildet werden.

Wenn sie sich bei Tulip anmeldet, hat das Attribut tulip-role zwei Werte: tulip-texasAccountOwner, tulip-londonViewer. Sie können die Rollenzuordnung für jede Tulip-Instanz individuell konfigurieren, so dass sie in jeder Instanz die richtigen Berechtigungen erhält.

Globale Rollen

Sie können auch globale Zugriffsrollen erstellen, z.B. eine "Viewer"-Rolle. Diese Benutzer können sich in jeder Tulip-Instanz mit denselben Rechten anmelden. Das empfohlene Format dafür ist:

tulip-globalViewer

Sie müssen diese Rollenzuordnung auf jeder einzelnen Instanz auf der SAML-Konfigurationsseite in den Kontoeinstellungen einrichten, damit dieser Benutzer auf jede Instanz zugreifen kann.


Haben Sie gefunden, wonach Sie gesucht haben?

Sie können auch auf community.tulip.co Ihre Frage stellen oder sehen, ob andere mit einer ähnlichen Frage konfrontiert wurden!


War dieser Artikel hilfreich?