- Wydrukować
Autoryzacja i kontrola dostępu przy użyciu SAML
Instrukcje i metodologia definiowania polityki dostępu i zarządzania SAML dla organizacji.
SAML umożliwia organizacjom zarządzanie uwierzytelnianiem i prawami dostępu użytkowników Tulip przy użyciu istniejącego dostawcy tożsamości (IdP). Niniejszy przewodnik szczegółowo opisuje dostępne opcje implementacji integracji IdP na poziomie przedsiębiorstwa za pośrednictwem protokołu SAML.
:::(Warning) (Uwaga) Ten artykuł koncentruje się na wszystkich opcjach konfiguracji integracji SAML + Tulip. Przewodnik po tym, jak skonfigurować to w Tulip, znajduje się w tym przewodniku:::
Przygotowanie
- Zrozumienie ról użytkowników Tulip
- Podziel pracowników na grupy oparte na rolach
- Określ, kto w Twojej organizacji skonfiguruje Twoje konto IdP i Tulip.
Opcje konfiguracji SAML + Tulip
Tryby kontroli
Tryb kontroli Tulip wskazuje, że rola i obszar roboczy użytkownika Tulip są pobierane z mapowania atrybutów SAML **tylko przy pierwszym logowaniu do Tulip. **
Użytkownicy dezaktywowani w Tulip nie mogą się zalogować.
Tryb kontroli IdP oznacza, że rola i obszar roboczy użytkownika Tulip będą aktualizowane z IdP przy każdym logowaniu.
Domyślne mapowanie ról (tylko w trybie kontroli Tulip)
Przy pierwszym logowaniu wszyscy użytkownicy otrzymują domyślny poziom dostępu (Viewer z dostępem Player). Właściciel konta będzie następnie musiał ręcznie dostosować rolę do odpowiedniego poziomu w Tulip.
Kontrola dostępu
Możesz dodać atrybut kontroli dostępu, w którym użytkownik musi mieć określoną wartość, aby uzyskać dostęp do Tulip. Jest to szczególnie istotne w przypadku domyślnych scenariuszy mapowania, w których nadal chcesz dyktować, kto powinien mieć dostęp do Tulip, niezależnie od roli lub obszaru roboczego.
Na przykład:
- Użytkownik musi mieć atrybut TulipAccessControl ustawiony na True.
- Użytkownik musi należeć do grupy TulipUsers, która jest widoczna poprzez atrybut TulipAccessControl (patrz przykład poniżej).
Jeśli zdecydujesz się na użycie kontroli dostępu, będziesz musiał poprosić swój zespół IdP o dodanie zdefiniowanego atrybutu i wartości do wszystkich użytkowników, którzy powinni mieć dostęp do Tulip.
Przestrzenie robocze
Szczegółowe informacje na temat obszarów roboczych można znaleźć tutaj
Podobnie jak w przypadku atrybutu roli, będziesz mieć teraz możliwość automatycznego mapowania użytkowników do określonego obszaru roboczego podczas początkowego tworzenia użytkownika. Po utworzeniu użytkownika właściciele kont mogą elastycznie przenosić użytkowników między obszarami roboczymi.
Niestandardowe mapowanie przestrzeni roboczej SAML
:::(Info) (Wiele przestrzeni roboczych) Należy pamiętać, że można mapować użytkowników do wielu przestrzeni roboczych tylko w trybie Tulip Control Mode.
W trybie kontroli IdP każdy użytkownik może być członkiem tylko jednej przestrzeni roboczej.
:::
Przy pierwszym logowaniu użytkownik otrzymuje dostęp do obszaru roboczego na podstawie grupy przedstawionej w jego atrybucie obszaru roboczego. Po tym momencie Tulip nie będzie już odczytywał atrybutu przestrzeni roboczej tego użytkownika, a wszelkie zmiany przestrzeni roboczej muszą być dokonywane na platformie przez właściciela konta.
Domyślne mapowanie przestrzeni roboczej
Przy pierwszym logowaniu wszyscy użytkownicy otrzymują dostęp do domyślnej przestrzeni roboczej wybranej przez użytkownika. Właściciel konta może następnie dostosować dostęp do obszaru roboczego.
Przykład - tworzenie grup dostępu w ramach IdP
Tworzenie standardowych grup dostępu Tulip
Każdy użytkownik będzie potrzebował atrybutu roli określonego w IdP, aby Tulip mógł określić swoje uprawnienia po uwierzytelnieniu za pomocą nazwy użytkownika i hasła IdP.
Możesz również użyć tego pola roli, aby określić, do jakich witryn mają dostęp, używając standardowej konwencji nazewnictwa. Chociaż pole roli może być po prostu ustawioną zmienną, zaleca się przypisanie użytkownika do określonych grup Tulip i zmapowanie ich do atrybutu.
Rola
Przejrzyj tutaj role użytkowników Tulip. Każdy użytkownik będzie potrzebował co najmniej jednej roli. Jeśli użytkownik ma wiele ról, Tulip wybierze tę z najwyższym dostępem.
Przykładową rolą jest Właściciel konta.
:::(Info) (UWAGA:) W każdej witrynie musi być co najmniej jeden właściciel konta :::
Witryna
Załóżmy, że Twoja organizacja ma dwie lokalizacje, z instancją Tulip dla każdej z nich.
Możemy oznaczyć każdą witrynę przez jej lokalizację (odpowiednio Teksas i Londyn).
Łączenie lokalizacji i ról
Możemy połączyć te dwie właściwości, aby utworzyć macierz grup dla użytkowników, którzy mają zostać przypisani. Zalecamy, aby organizacje dołączały lub poprzedzały wartość za pomocą Tulip, aby łatwiej było filtrować.
Konwencja: tulip-siteRole
| | | | | | --- | --- | | | | acme-texas.tulip.co | | acme-london.tulip.co | | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |
Jeśli Jane Smith jest liderem lokalizacji w Teksasie, należy przypisać ją do grupy tulip-texasAccountOwner. Jeśli Jane Smith potrzebuje również dostępu do widoku w witrynie w Londynie, można ją dodać do grupy tulip-londonViewer.
Udostępnianie tych grup jako atrybutów dla Tulip
W twoim IdP, Jane powinna mieć atrybut, tulip-role, gdzie wszystkie grupy, których jest członkiem, zawierające przedrostek "tulip-" zostaną zmapowane.
Kiedy loguje się do Tulip, atrybut tulip-role ma dwie wartości: tulip-texasAccountOwner, tulip-londonViewer. Możesz skonfigurować mapowanie ról dla każdej instancji Tulip indywidualnie, aby otrzymała prawidłowe uprawnienia w każdej instancji.
Role globalne
Możesz także utworzyć globalne role dostępu, na przykład rolę "Viewer". Ci użytkownicy będą mogli logować się do każdej instancji Tulip z tymi samymi uprawnieniami. Zalecany format to:
tulip-globalViewer
Będziesz musiał skonfigurować to mapowanie ról na każdej indywidualnej instancji na stronie konfiguracji SAML w Ustawieniach konta, aby umożliwić temu użytkownikowi dostęp do każdej instancji.
Czy znalazłeś to, czego szukałeś?
Możesz również udać się na stronę community.tulip.co, aby opublikować swoje pytanie lub sprawdzić, czy inni mieli do czynienia z podobnym pytaniem!