Autorização e controle de acesso usando SAML

Instruções e metodologia para definir sua política de acesso e gerenciar SAML para sua organização.

O SAML permite que as empresas gerenciem a autenticação e os direitos de acesso dos usuários da Tulip usando seu provedor de identidade (IdP) existente. Este guia detalhará as opções disponíveis para a implementação da integração de IdP em nível empresarial por meio do protocolo SAML.

:::(Warning) (Observação) Este artigo se concentra em todas as opções para configurar sua integração SAML + Tulip. Para obter o guia sobre como configurar isso na Tulip, consulte este guia. :::

Pré-trabalho

• Entenda as funções de usuário da Tulip
• Agrupe os funcionários em grupos baseados em funções
• Identifique quem em sua organização configurará sua conta IdP e Tulip

Opções de configuração do SAML + Tulip

Modos de controle

O Modo de Controle da Tulip indica que a função e o espaço de trabalho da Tulip de um usuário são extraídos do mapeamento de atributos SAML **apenas na primeira vez em que o usuário faz login na Tulip. **

Os usuários desativados no Tulip são impedidos de fazer login.

O Modo de Controle IdP significa que a função e o espaço de trabalho do usuário na Tulip serão atualizados a partir do IdP toda vez que ele se conectar.

Mapeamento de função padrão (somente no modo de controle da Tulip)

No primeiro login, todos os usuários recebem um nível de acesso padrão (Viewer com acesso Player). O proprietário da conta precisará então ajustar manualmente a função para o nível apropriado dentro do Tulip.

Controle de acesso

Você pode optar por adicionar um atributo de controle de acesso, no qual o usuário precisa ter um valor específico para acessar a Tulip. Isso é especialmente relevante para cenários de mapeamento padrão, em que você ainda quer ditar quem deve ser capaz de acessar a Tulip, independentemente da função ou espaço de trabalho.

Por exemplo:

• Um usuário deve ter um atributo TulipAccessControl definido como True
• Um usuário deve pertencer a um grupo TulipUsers, que é exposto por meio de um atributo TulipAccessControl (veja o exemplo abaixo)

Se você optar por usar o controle de acesso, precisará solicitar que sua equipe de IdP adicione o atributo e o valor definidos a todos os usuários que devem ter acesso à Tulip.

Espaços de trabalho

Você pode ler sobre espaços de trabalho em detalhes aqui

Assim como o atributo de função, agora você terá a opção de mapear usuários para um espaço de trabalho específico automaticamente quando o usuário for criado inicialmente. Após a criação do usuário, os proprietários da conta podem mover os usuários de forma flexível entre os espaços de trabalho.

Mapeamento de espaço de trabalho personalizado SAML

:::(Info) (Vários espaços de trabalho) Observe que só é possível mapear usuários para vários espaços de trabalho no modo de controle da Tulip.

No modo de controle IdP, cada usuário só pode ser membro de um único espaço de trabalho.
:::

No primeiro login, um usuário recebe acesso ao espaço de trabalho com base no grupo apresentado em seu atributo de espaço de trabalho. Depois disso, o Tulip não lerá mais o atributo de workspace desse usuário e qualquer alteração no workspace deverá ser feita na plataforma por um proprietário da conta.

Mapeamento padrão do espaço de trabalho

No primeiro login, todos os usuários recebem acesso a um espaço de trabalho padrão de sua escolha. O proprietário da conta pode então ajustar o acesso ao espaço de trabalho.

Exemplo - Criação de grupos de acesso em seu IdP

Criação de grupos de acesso padronizados do Tulip

Cada usuário precisará de um atributo de função especificado no seu IdP para que a Tulip possa determinar seus privilégios após a autenticação com o nome de usuário e a senha do IdP.

Você também pode usar esse campo de função para determinar a quais sites eles têm acesso usando uma convenção de nomenclatura padrão. Embora um campo de função possa ser apenas uma variável definida, é recomendável que você atribua o usuário a grupos específicos da Tulip e os mapeie para um atributo.

Função

Revise as funções do usuário da Tulip aqui. Cada usuário precisará de pelo menos uma função. Se um usuário tiver várias funções, a Tulip selecionará a que tiver o maior acesso.

Um exemplo de função é Account Owner (proprietário da conta).

:::(Info) (OBSERVAÇÃO:) É necessário que haja pelo menos um Account Owner por site:

Site

Digamos que sua organização tenha dois sites, com uma instância da Tulip para cada um.

Podemos denotar cada site por sua localização (Texas e Londres, respectivamente).

Combinação de site e função

Podemos combinar essas duas propriedades para criar uma matriz de grupo para a atribuição de usuários. Recomendamos que as organizações acrescentem ou prefixem o valor com Tulip, para que seja mais fácil filtrar por ele.

Convenção: tulip-siteRole

| | | | | --- | --- | --- | | | acme-texas.tulip.co | acme-london.tulip.co | | Account Owner | tulip-texasAccountOwner | tulip-londonAccountOwner | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |

Se Jane Smith for a líder da unidade no Texas, você a atribuirá ao grupo tulip-texasAccountOwner. Se Jane Smith também precisar de acesso de visualização no site de Londres, ela poderá ser adicionada ao grupo tulip-londonViewer.

Expondo esses grupos como um atributo para a Tulip

Em seu IdP, Jane deve ter um atributo, tulip-role, no qual todos os grupos dos quais ela é membro e que contêm o prefixo "tulip-" serão mapeados.

Quando ela faz login no Tulip, o atributo tulip-role tem dois valores: tulip-texasAccountOwner, tulip-londonViewer. Você pode configurar o mapeamento de função para cada instância da Tulip individualmente para que ela receba as permissões corretas em cada instância.

Funções globais

Talvez você também queira criar funções de acesso global, como uma função "Viewer", por exemplo. Esses usuários poderão fazer login em todas as instâncias da Tulip com as mesmas permissões. O formato recomendado para isso é:

tulip-globalViewer

Você precisaria configurar esse mapeamento de função em cada instância individual na página de configuração SAML em Account Settings para permitir que esse usuário acesse cada instância.

Encontrou o que estava procurando?

Você também pode acessar community.tulip.co para postar sua pergunta ou ver se outras pessoas tiveram uma pergunta semelhante!