Engedélyezés és hozzáférés-szabályozás SAML használatával

Utasítás és módszertan a hozzáférési szabályzat meghatározásához és a SAML kezeléséhez a szervezet számára.

A SAML lehetővé teszi a szervezetek számára, hogy a Tulip-felhasználók hitelesítését és hozzáférési jogait a meglévő személyazonossági szolgáltatójuk (IdP) segítségével kezeljék. Ez az útmutató részletesen ismerteti a SAML protokollon keresztül történő vállalati szintű IdP-integráció megvalósításának rendelkezésre álló lehetőségeit.

:::(Warning) (Megjegyzés) Ez a cikk a SAML + Tulip integráció konfigurálásának összes lehetőségére összpontosít. A Tulipban történő beállításról szóló útmutatót lásd ebben az útmutatóban. :::

Prework

• A Tulip felhasználói szerepek megértése
• Az alkalmazottak szerepkör alapú csoportokba sorolása
• Határozza meg, hogy a szervezeten belül ki fogja konfigurálni az IdP és a Tulip fiókot.

SAML + Tulip konfigurációs lehetőségek

Vezérlési módok

A Tulip Control Mode azt jelzi, hogy a felhasználó Tulip-szerepét és munkaterületét a SAML attribútum-leképezésből veszi **csak akkor, amikor először jelentkezik be a Tulipba. **

A Tulipban deaktivált felhasználók nem tudnak bejelentkezni.

Az IdP Control Mode azt jelenti, hogy a felhasználó Tulip-szerepe és munkaterülete minden bejelentkezéskor frissül az IdP-től .

Alapértelmezett szerepkör-leképezés (csak Tulip Control Mode)

Az első bejelentkezéskor minden felhasználó alapértelmezett hozzáférési szintet kap (Viewer, Player hozzáféréssel). A fiók tulajdonosának ezután a Tulipban manuálisan kell a megfelelő szintre állítania a szerepkört.

Hozzáférés-szabályozás

Lehetőség van hozzáférés-szabályozó attribútum hozzáadására, ahol a felhasználónak egy adott értékkel kell rendelkeznie ahhoz, hogy hozzáférhessen a Tuliphoz. Ez különösen fontos az alapértelmezett hozzárendelési forgatókönyvek esetében, ahol továbbra is meg akarja határozni, hogy ki férjen hozzá a Tuliphoz, függetlenül a szerepkörtől vagy a munkaterülettől.

Például:

• Egy felhasználónak a TulipAccessControl attribútumnak True értékkel kell rendelkeznie.
• A felhasználónak a TulipUsers csoporthoz kell tartoznia, amely a TulipAccessControl attribútumon keresztül látható (lásd az alábbi példát).

Ha a hozzáférés-szabályozás használata mellett dönt, akkor kérnie kell, hogy az IdP-csapata adja hozzá a meghatározott attribútumot és értéket minden olyan felhasználóhoz, akinek bármilyen hozzáférése van a Tuliphez.

Munkaterületek

A munkaterületekről itt olvashat részletesen

A szerep attribútumhoz hasonlóan mostantól lehetősége lesz arra, hogy a felhasználókat automatikusan hozzárendelje egy adott munkaterülethez, amikor a felhasználót először létrehozzák. A felhasználó létrehozása után a fiók tulajdonosai rugalmasan mozgathatják a felhasználókat a munkaterületek között.

SAML egyéni munkaterület-leképezés

:::(Info) (Több munkaterület) Felhívjuk figyelmét, hogy a felhasználók több munkaterülethez történő hozzárendelése csak a Tulip Control módban lehetséges.

IdP Control Mode (IdP-ellenőrzési mód) esetén minden felhasználó csak egyetlen munkaterület tagja lehet.
:::

Az első bejelentkezéskor a felhasználó a munkaterület-attribútumában megadott csoport alapján kapja meg a munkaterület-hozzáférést. Ezt követően a Tulip már nem olvassa az adott felhasználó munkaterület-attribútumát, és minden munkaterület-módosítást a platformon kell elvégeznie a fiók tulajdonosának.

Alapértelmezett munkaterület-leképezés

Az első bejelentkezéskor minden felhasználó hozzáférést kap az Ön által kiválasztott alapértelmezett munkaterülethez. A fiók tulajdonosa ezután módosíthatja a munkaterület-hozzáférést.

Példa - Hozzáférési csoportok létrehozása az IdP-n belül

Szabványosított Tulip hozzáférési csoportok létrehozása

Minden felhasználónak meg kell adni egy szerepkör-attribútumot az IdP-ben, hogy a Tulip meg tudja határozni a jogosultságait, miután az IdP felhasználónevével és jelszavával hitelesítették.

Ezt a Role mezőt arra is használhatja, hogy egy szabványos elnevezési konvenció segítségével meghatározza, hogy milyen webhelyekhez férhetnek hozzá. Bár a szerepkör mező lehet egyszerűen egy beállított változó, ajánlott a felhasználót a Tulip meghatározott csoportjaihoz rendelni, és ezeket egy attribútumhoz rendelni.

Szerepkör

Tekintse át a Tulip felhasználói szerepköröket itt. Minden felhasználónak szüksége lesz legalább egy szerepkörre. Ha egy felhasználónak több szerepe van, a Tulip a legmagasabb hozzáféréssel rendelkező szerepkört fogja kiválasztani.

Egy példa erre a szerepkörre a Számlatulajdonos.

:::(Info) (MEGJEGYZÉS:) Oldalanként legalább egy Account Owner kell, hogy legyen. :::

Site

Tegyük fel, hogy a szervezetének két telephelye van, és mindegyikhez tartozik egy-egy Tulip példány.

Az egyes telephelyeket a helyükkel jelölhetjük (Texas, illetve London).

Telephely és szerepkör kombinálása

Ezt a két tulajdonságot kombinálhatjuk, hogy létrehozzunk egy csoportmátrixot a hozzárendelhető felhasználók számára. Javasoljuk, hogy a szervezetek csatolják vagy előzze meg a Tulip értéket, így könnyebb lesz szűrni.

Egyezmény: tulip-siteRole

| | | | | | | | --- | --- | | | | | acme-texas.tulip.co | acme-london.tulip.co | | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

Ha Jane Smith a texasi telephely vezetője, akkor őt a tulip-texasAccountOwner csoporthoz kell rendelni. Ha Jane Smith-nek a londoni telephelyen is szüksége van nézeti hozzáférésre, akkor a tulip-londonViewer csoporthoz adhatja hozzá.

Ezeknek a csoportoknak az attribútumként való közzététele a Tulip számára

Az Ön IdP-jében Jane-nek rendelkeznie kell egy tulip-role nevű attribútummal, amelyhez minden olyan csoportot leképez, amelynek tagja, és amely tartalmazza a "tulip-" előtagot.

Amikor Jane bejelentkezik a Tulipba, a tulip-role attribútumnak két értéke van: tulip-texasAccountOwner, tulip-londonViewer. A szerepek hozzárendelését minden egyes Tulip-példányhoz külön-külön is beállíthatja, hogy minden egyes példányban a megfelelő jogosultságokat kapja.

Globális szerepkörök

Globális hozzáférési szerepköröket is létrehozhat, mint például a "Viewer" szerepkör. Ezek a felhasználók minden Tulip-példányba ugyanazokkal a jogosultságokkal tudnak majd bejelentkezni. Az ajánlott formátum ehhez a következő:

Tulip-globalViewer

Ezt a szerepköri hozzárendelést minden egyes példányon be kell állítania a Fiókbeállítások SAML konfigurációs lapon belül, hogy ez a felhasználó minden egyes példányhoz hozzáférhessen.

Megtalálta, amit keresett?

A community.tulip.co oldalon is megteheti, hogy felteszi kérdését, vagy megnézheti, hogy mások is szembesültek-e hasonló kérdéssel!