SAML を使用した認証とアクセス制御

アクセス・ポリシーを定義し、組織の SAML を管理するための手順と方法。

SAMLを使用すると、組織は既存のIDプロバイダ（IdP）を使用して、Tulipユーザーの認証とアクセス権を管理できます。このガイドでは、SAMLプロトコルを介したエンタープライズレベルのIdP統合を実装するために利用可能なオプションについて詳しく説明します。

:::(Warning) (注）この記事では、SAML + Tulip統合を設定するためのすべてのオプションに焦点を当てます。Tulip 内での設定方法については、このガイドを参照してください：

事前準備

• Tulip のユーザ・ロールを理解する
• 従業員をロール・ベースのグループにバケットする
• 組織内で誰がIdPとTulipアカウントを設定するかを特定する

SAML + Tulipの構成オプション

制御モード

Tulipコントロール・モードは、ユーザーのTulipロールとワークスペースがSAML属性マッピングから取得されることを示します。**

Tulip で非アクティブ化されたユーザはログインできない。

IdPコントロールモードとは、ユーザーがログインするたびに、TulipのロールとワークスペースがIdPから更新されることを意味します。

デフォルトのロールマッピング（Tulipコントロールモードのみ）

最初のログインでは、すべてのユーザーにデフォルトのアクセス・レベル（プレーヤー・アクセスを持つビューアー）が与えられます。アカウント所有者は、Tulip内でロールを適切なレベルに手動で調整する必要があります。

アクセスコントロール

ユーザーがTulipにアクセスするために特定の値を持つ必要があるアクセス制御属性を追加することができます。これは、役割やワークスペースに関係なく、誰がTulipにアクセスできるかを決めたい、デフォルトマッピングのシナリオに特に関連します。

例えば

• ユーザーはTulipAccessControl属性がTrueに設定されていなければなりません。
• ユーザーは、属性TulipAccessControlを通して公開されるグループTulipUsersに属していなければなりません（以下の例を参照してください）。

Access Controlを使用する場合は、Tulipにアクセスできるすべてのユーザーに定義された属性と値を追加するよう、IdPチームに依頼する必要があります。

ワークスペース

ワークスペースについての詳細はこちらをご覧ください。

ロール属性と同様に、ユーザーの初期作成時に、ユーザーを特定のワークスペースに自動的にマッピングするオプションが提供されます。ユーザ作成後、アカウント所有者は、ユーザをワークスペース間で柔軟に移動できる。

SAML カスタム・ワークスペース・マッピング

:::(Info) (複数のワークスペース) ユーザを複数のワークスペースにマッピングできるのは、Tulip Control Mode でのみであることに注意してください。

IdP Control Mode では、各ユーザは 1 つのワークスペースのメンバにしかなれません。
:::

初回ログイン時、ユーザーはワークスペース属性に提示されたグループに基づいてワークスペースへのアクセスが割り当てられます。それ以降、Tulipはそのユーザーのワークスペース属性を読み込まなくなり、ワークスペースの変更はアカウント所有者がプラットフォームで行う必要があります。

ワークスペースのデフォルトマッピング

初回ログイン時に、すべてのユーザーにデフォルトのワークスペースへのアクセス権が与えられます。その後、アカウント所有者がワークスペースのアクセス権を調整できます。

例-IdP内でのアクセスグループの作成

標準化されたTulipアクセスグループの作成

すべてのユーザーは、IdPのユーザー名とパスワードで認証された後、Tulipが権限を決定できるように、IdPでロール属性を指定する必要があります。

また、このRoleフィールドを使用して、標準的な命名規則を使用して、どのサイトにアクセスできるかを決定することもできます。roleフィールドは単なるセット変数にすることもできますが、ユーザーをTulipの特定のグループに割り当て、それらを属性にマッピングすることをお勧めします。

役割

Tulipユーザーのロールをここで確認してください。すべてのユーザーは少なくとも1つのロールが必要です。ユーザーが複数のロールを持つ場合、Tulipは最も高いアクセス権を持つロールを選択します。

ロールの例は、アカウント所有者です。

:::(Info) (注:) アカウント所有者は、サイトごとに少なくとも1人必要です：

サイト

組織に2つのサイトがあり、それぞれにTulipインスタンスがあるとします。

それぞれのサイトを場所（それぞれテキサスとロンドン）で表すことができます。

サイトとロールの組み合わせ

この2つのプロパティを組み合わせて、ユーザーに割り当てるグループマトリックスを作成できます。Tulipでフィルタリングしやすいように、組織では値を付加するか、前に付けることをお勧めします。

規約：tulip-siteRole

| | | --- | --- | | | acme-texas.tulip.co | acme-london.tulip.coco｜｜アカウントオーナー｜tulip-texasAccountOwner｜tulip-londonAccountOwner｜｜アプリケーションスーパーバイザー｜tulip-texasApplicationSupervisor｜tulip-londonApplicationSupervisor｜｜ビューアー｜tulip-texasViewer｜tulip-londonViewer｜｜オペレーター｜tulip-texasOperator｜tulip-londonOperator｜｜・・・。| | |

Jane SmithがTexasサイトのサイトリーダーである場合、彼女をtulip-texasAccountOwnerグループに割り当てます。Jane SmithがLondonサイトのビューアクセスも必要な場合は、彼女をtulip-londonViewerグループに追加します。

これらのグループをTulipの属性として公開します。

あなたのIdPでは、Janeはtulip-roleという属性を持っているはずです。この属性には、接頭辞 "tulip-"を含む、彼女がメンバーであるすべてのグループがマッピングされます。

Tulipにサインインするとき、tulip-role属性はtulip-texasAccountOwnerとtulip-londonViewerの2つの値を**持ちます。**彼女が各インスタンスで正しい権限を受け取れるように、各チューリップインスタンスのロールマッピングを個別に設定できます。

グローバルロール

例えば "Viewer "ロールのように、グローバルアクセスロールを作成することもできます。これらのユーザーは、同じパーミッションですべてのTulipインスタンスにログインできるようになります。そのための推奨フォーマットは

tulip-globalViewer

このユーザが各インスタンスにアクセスできるようにするには、アカウント設定のSAML構成ページで、個々のインスタンスにこのロール・マッピングを設定する必要があります。

お探しのものは見つかりましたか？

community.tulip.coで質問を投稿したり、他の人が同じような質問に直面していないか確認することもできます！