使用 SAML 进行授权和访问控制
  • 28 Aug 2024
  • 1 分钟阅读
  • 贡献者

使用 SAML 进行授权和访问控制


文章摘要

为贵组织定义访问策略和管理 SAML 的说明和方法。

SAML 允许企业使用现有身份提供商 (IdP) 管理 Tulip 用户的身份验证和访问权限。本指南将详细介绍通过 SAML 协议实施企业级 IdP 集成的可用选项。

:::(Warning) (注)本文重点介绍配置 SAML + Tulip 集成的所有选项。有关如何在 Tulip 中进行设置的指南,请参阅本指南

前期工作

  • 了解 Tulip 用户角色
  • 将员工归入基于角色的组
  • 确定组织内由谁配置 IdP 和 Tulip 账户

SAML + Tulip 配置选项

控制模式

Tulip 控制模式表示用户的 Tulip 角色和工作区仅在首次登录 Tulip 时从 SAML 属性映射中获取。**

在 Tulip 中停用的用户将无法登录。

IdP 控制模式意味着用户的 Tulip 角色和工作区将在每次登录时从 IdP 更新**。**

默认角色映射(仅限 Tulip 控制模式)

首次登录时,所有用户都会获得默认访问级别(具有播放器访问权限的查看器)。然后,账户所有者需要在 Tulip 中手动将角色调整到相应级别。

访问控制

您可以选择添加访问控制属性,用户需要拥有特定值才能访问 Tulip。这与默认映射方案尤其相关,在这种方案中,无论角色或工作区如何,你仍然希望规定谁能访问 Tulip。

例如

  • 用户必须将 TulipAccessControl 属性设置为 True
  • 用户必须属于 TulipUsers 组,该组通过属性 TulipAccessControl 公开(见下面的示例)

如果你选择使用访问控制,你需要要求你的 IdP 团队为所有需要访问 Tulip 的用户添加定义的属性和值。

工作空间

你可以在这里详细了解工作空间

与角色属性一样,您现在可以选择在初始创建用户时自动将用户映射到特定工作区。创建用户后,账户所有者可以在工作区之间灵活移动用户。

SAML 自定义工作区映射

:::(Info) (多个工作区)请注意,只有在郁金香控制模式下才能将用户映射到多个工作区。

在 IdP 控制模式下,每个用户只能是一个工作区的成员。
:::

首次登录时,用户将根据其工作区属性中显示的组分配工作区访问权限。此后,郁金香将不再读取该用户的工作区属性,任何工作区变更都必须由账户所有者在平台上完成。

默认工作区映射

首次登录时,所有用户都将获得访问默认工作区的权限。然后,账户所有者可以调整工作区的访问权限。

示例:在 IDP 中创建访问组

创建标准化郁金香访问组

每个用户都需要在 IdP 中指定一个角色属性,以便 Tulip 在用户使用 IdP 用户名和密码进行身份验证后确定其权限。

您还可以使用该角色字段,通过标准命名约定来确定他们可以访问哪些网站。虽然角色字段可以只是一个设置变量,但建议你将用户分配到 Tulip 的特定,并将这些映射到属性中。

角色

在此查看 Tulip 用户角色。每个用户至少需要一个角色。如果用户有多个角色,Tulip 将选择访问权限最高的一个。

账户所有者就是一个例子。

:::(Info) (注意:)每个网站至少需要一个账户所有者:

网站

假设贵组织有两个站点,每个站点都有一个 Tulip 实例。

我们可以用地点(分别是德克萨斯州和伦敦)来表示每个站点。

结合站点和角色

我们可以将这两个属性结合起来,创建一个组矩阵,为用户分配角色。我们建议企业在值的后面或前面加上郁金香,这样更容易筛选。

约定:tulip-siteRole

| | | | --- | --- | | --- | | | | | acme-texas.tulip.co | acme-london.tulip.| 帐户所有者 | tulip-texasAccountOwner | tulip-londonAccountOwner | | 应用程序主管 | tulip-texasApplicationSupervisor | tulip-londonApplicationSupervisor | 查看器 | tulip-texasViewer | tulip-londonViewer | 操作员 | tulip-texasOperator | tulip-londonOperator | | ...| | |

如果 Jane Smith 是德克萨斯站点的站点负责人,你会把她分配到tulip-texasAccountOwner 组。如果简-史密斯还需要伦敦站点的视图访问权限,则可以将她添加到组tulip-londonViewer 中。

将这些组作为郁金香的属性公开

在你的 IdP 中,Jane 应该有一个属性tulip-role,她作为成员的任何包含前缀 "tulip-"的组都将被映射到这个属性中。

当她登录Tulip时,属性tulip-role有两个值:**tulip-texasAccountOwner 和 tulip-londonViewer。**你可以为每个 Tulip 实例单独配置角色映射,这样她就能在每个实例中获得正确的权限。

全局角色

您可能还想创建全局访问角色,例如 "查看器 "角色。这些用户将能以相同的权限登录每个 Tulip 实例。建议格式如下

tulip-globalViewer

您需要在 "账户设置 "的 SAML 配置页面中的每个实例上设置该角色映射,以使该用户能够访问每个实例。


找到您想要的了吗?

你还可以前往community.tulip.co发布你的问题,或者看看其他人是否也遇到过类似的问题!


本文对您有帮助吗?