- Распечатать
Авторизация и управление доступом с помощью SAML
Инструкция и методология определения политики доступа и управления SAML для вашей организации.
SAML позволяет организациям управлять аутентификацией и правами доступа пользователей Tulip с помощью существующего провайдера идентификации (IdP). В этом руководстве подробно описаны доступные варианты реализации интеграции IdP корпоративного уровня через протокол SAML.
:::(Warning) (Примечание) В этой статье рассматриваются все варианты настройки интеграции SAML + Tulip. Руководство по настройке этой функции в Tulip см. в этом руководстве. :::
Предварительная работа
- Понимание ролей пользователей Tulip
- Объедините сотрудников в группы на основе ролей
- Определите, кто в вашей организации будет настраивать ваш IdP и учетную запись Tulip.
Параметры конфигурации SAML + Tulip
Режимы управления
Режим управления Tulip означает, что роль и рабочее пространство пользователя Tulip берутся из сопоставления атрибутов SAML **только при первом входе в Tulip. **
Пользователи, деактивированные в Tulip, не смогут войти в систему.
Режим контроля IdP означает, что роль и рабочее пространство пользователя Tulip будут обновляться из IdP при каждом входе в систему.
Сопоставление ролей по умолчанию (только в режиме управления Tulip)
При первом входе в систему всем пользователям предоставляется уровень доступа по умолчанию (Viewer с доступом Player). Затем владельцу учетной записи необходимо вручную настроить роль на соответствующий уровень в Tulip.
Контроль доступа
Вы можете добавить атрибут контроля доступа, при котором пользователь должен иметь определенное значение, чтобы получить доступ к Tulip. Это особенно актуально для сценариев сопоставления по умолчанию, когда вы все равно хотите определить, кто должен иметь доступ к Tulip, независимо от роли или рабочего пространства.
Например:
- Пользователь должен иметь атрибут TulipAccessControl, установленный на True
- Пользователь должен принадлежать к группе TulipUsers, которая раскрывается через атрибут TulipAccessControl (см. пример ниже).
Если вы решите использовать контроль доступа, вам нужно будет попросить команду IdP добавить определенный атрибут и значение для всех пользователей, которые должны иметь доступ к Tulip.
Рабочие пространства
Подробно о рабочих пространствах вы можете прочитать здесь
Как и в случае с атрибутом роли, теперь вам будет предоставлена возможность автоматически привязывать пользователей к определенному рабочему пространству при первоначальном создании пользователя. После создания пользователя владельцы учетных записей могут гибко перемещать пользователей между рабочими пространствами.
Пользовательское отображение рабочих пространств SAML
:::(Info) (Несколько рабочих пространств) Обратите внимание, что привязка пользователей к нескольким рабочим пространствам возможна только в режиме управления Tulip.
В режиме управления IdP каждый пользователь может быть членом только одного рабочего пространства.
:::
При первом входе в систему пользователю назначается доступ к рабочему пространству на основе группы, представленной в его атрибуте рабочего пространства. После этого Tulip больше не будет читать атрибут рабочего пространства этого пользователя, и любые изменения рабочего пространства должны быть сделаны в платформе владельцем учетной записи.
Сопоставление рабочих пространств по умолчанию
При первом входе в систему всем пользователям предоставляется доступ к выбранному вами рабочему пространству по умолчанию. Затем владелец учетной записи может настроить доступ к рабочему пространству.
Пример - создание групп доступа в вашем IdP
Создание стандартизированных групп доступа Tulip
Каждому пользователю необходимо указать атрибут роли в вашем IdP, чтобы Tulip мог определить его привилегии после аутентификации с помощью имени пользователя и пароля IdP.
Вы также можете использовать поле "Роль" для определения сайтов, к которым у пользователя есть доступ, используя стандартное соглашение об именовании. Хотя поле роли может быть просто переменной, рекомендуется назначить пользователя в определенные группы Tulip и сопоставить их с атрибутом.
Роль
Здесь вы можете ознакомиться с ролями пользователей Tulip. Каждому пользователю нужна как минимум одна роль. Если у пользователя несколько ролей, Tulip выберет ту, которая имеет наибольший доступ.
Пример роли - Владелец аккаунта.
:::(Info) (ПРИМЕЧАНИЕ:) На каждом сайте должен быть как минимум один владелец аккаунта. :::
Сайт
Допустим, у вашей организации есть два сайта, для каждого из которых создан экземпляр Tulip.
Мы можем обозначить каждый сайт по его местоположению (Техас и Лондон, соответственно).
Комбинирование свойств "Сайт" и "Роль
Мы можем объединить эти два свойства, чтобы создать групповую матрицу для назначения пользователей. Мы рекомендуем организациям добавлять или добавлять к значению Tulip, чтобы по нему было легче фильтровать.
Конвенция: tulip-siteRole
| | | | | | --- | --- | --- | --- | | | | acme-texas.tulip.co | acme-london.tulip.co | | Владелец аккаунта | tulip-texasAccountOwner | tulip-londonAccountOwner | | | Application Supervisor | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | | Viewer | tulip-texasViewer | tulip-londonViewer | | Operator | tulip-texasOperator | tulip-londonOperator | | ... | | |
Если Джейн Смит является руководителем сайта в Техасе, вы назначите ее в группу tulip-texasAccountOwner. Если Джейн Смит также нужен доступ к просмотру сайта в Лондоне, ее можно добавить в группу tulip-londonViewer.
Выставление этих групп в качестве атрибута для Tulip
В вашем IdP у Джейн должен быть атрибут tulip-role, куда будут сопоставлены все группы, членом которых она является и которые содержат префикс "tulip-".
Когда она входит в Tulip, атрибут tulip-role имеет два значения: tulip-texasAccountOwner, tulip-londonViewer. Вы можете настроить сопоставление ролей для каждого экземпляра Tulip отдельно, чтобы она получала правильные разрешения в каждом экземпляре.
Глобальные роли
Вы также можете захотеть создать глобальные роли доступа, например, роль "Зритель". Эти пользователи смогут входить в каждый экземпляр Tulip с одинаковыми правами. Рекомендуемый формат для этого следующий:
tulip-globalViewer .
Вам нужно будет настроить это сопоставление ролей для каждого отдельного экземпляра на странице конфигурации SAML в Настройках учетной записи, чтобы дать этому пользователю доступ к каждому экземпляру.
Вы нашли то, что искали?
Вы также можете зайти на community.tulip.co, чтобы задать свой вопрос или узнать, сталкивались ли другие с подобным вопросом!