Puedes mapear tu Grupos deIdP a roles de Atlas. Esto simplifica la configuración de la autorización. Puede otorgar a un grupo de IdP uno o más roles para simplificar su acceso a organizaciones, proyectos y clústeres de Atlas.
Nota
No puedes editar roles para usuarios específicos en el Access Manager página si configura asignaciones de roles para los grupos de proveedor de identidad.
Proceso de mapeo de roles
Atlas aplica las asignaciones de roles cuando inicias sesión.
Atlas compara los grupos proveedor de identidad denominados memberOf con las asignaciones de roles definidas para tus organizaciones. Estas organizaciones deben usar el mismo proveedor de identidad que utilizó el usuario para autenticarse.
Nota
Si un usuario tiene asignaciones de roles desde varios grupos de proveedor de identidad de una organización, Atlas aplica todos los roles que resultan de la pertenencia a los grupos del usuario durante el inicio de sesión. Esto significa que el usuario obtiene todos los permisos de todos sus roles asignados.
Atlas aplica los roles asignados a los usuarios federados si definió asignaciones de roles.
Atlas aplica el rol predeterminado si:
No tienes mapeos de roles definidos
Los mapeos de roles darían como resultado un usuario sin ningún rol
Las asignaciones de roles de la organización definen el acceso de los usuarios federados a Atlas. Si un usuario federado inicia sesión pero no pertenece a un grupo de proveedor de identidad mapeado a una organización deseada, Atlas remueve el rol mapeado del usuario en esa organización y sus proyectos. El usuario federado aún puede tener otros grupos de proveedor de identidad.
Ejemplo
Considera un escenario en el que una persona usuaria pertenece al grupo admin proveedor de identidad. Has configurado una asignación de roles de administrador al
Organization Owneren Organización A. Si eliminas ese usuario del grupo de proveedor de identidad de administración, Atlas borra el rol de eseOrganization Ownerusuario la próxima vez que inicie sesión.Cada organización debe tener al menos un usuario que posea el rol de
Organization Owner. Si la remoción de un rol remueve al último propietario de una organización, la remoción falla.
Acceso requerido
Para gestionar la autenticación federada, debes tener acceso Organization Owner a una o más organizaciones que delegan la configuración de federación en la instancia.
Requisitos previos
Para completar este tutorial, debes tener:
Se creó una aplicación de proveedor de identidad. Esta aplicación debe tener un atributo SAML denominado memberOf. Asocia este atributo con los atributos fuente del proveedor de identidad para grupos. Este atributo vincula los grupos de proveedor de identidad con tus roles de Atlas.
Vinculó un IdP a Atlas.
Asignó una organización Atlas a su IdP.
Creaste al menos un grupo en tu proveedor de identidad.
Agregue al menos un usuario en su aplicación IdP a un grupo que haya creado.
Agrega asignaciones de roles en tu Organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La Se muestra la página de federación.
Elije una organización en la que desees asignar roles.
Haga clic en Organizations.
Atlas muestra todas las organizaciones donde eres
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Asigna roles de organización de Atlas al grupo de proveedor de identidad deseado.
En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba el nombre del grupo tal como aparece en su proveedor de identidad en este campo. Atlas asigna este grupo a tu rol de Atlas. Tenga en cuenta que el nombre del grupo no puede exceder 200 caracteres. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Microsoft Entra ID como proveedor de identidades y seleccionó Group Id como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte Configurar Microsoft Entra ID como proveedor de identidades. |
Asignar roles de la organización | Haz clic en cada función organizacional de Atlas que deseas asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Atlas a este grupo de proveedor de identidad, haz clic en Finish. Puedes omitir el resto de este procedimiento.
Si necesitas asignar roles de proyecto Atlas a este grupo proveedor de identidad, haz clic en Next.
Asigna los roles de proyecto de Atlas al grupo del proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifica qué roles de Atlas han sido asignados al grupo de proveedor de identidad deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, Edit haga clic en. Atlas regresa a la Map Group and Assign Roles etapa.
Editar asignaciones de roles en su organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
Seleccione una organización en la que desee editar las asignaciones de roles.
Haga clic en Manage Organizations.
Atlas muestra todas las organizaciones donde eres
Organization Owneren una tabla.Haz clic en junto al proveedor de identidad Group Name deseado y selecciona View.
Asigna roles de organización de Atlas al grupo de proveedor de identidad deseado.
En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba el nombre del grupo tal como aparece en su proveedor de identidad en este campo. Atlas asigna este grupo a tu rol de Atlas. Tenga en cuenta que el nombre del grupo no puede exceder 200 caracteres. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Microsoft Entra ID como proveedor de identidades y seleccionó Group Id como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte Configurar Microsoft Entra ID como proveedor de identidades. |
Asignar roles de la organización | Haz clic en cada función organizacional de Atlas que deseas asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Atlas a este grupo de proveedor de identidad, haz clic en Finish. Puedes omitir el resto de este procedimiento.
Si necesitas asignar roles de proyecto Atlas a este grupo proveedor de identidad, haz clic en Next.
Asigna los roles de proyecto de Atlas al grupo del proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifica qué roles de Atlas han sido asignados al grupo de proveedor de identidad deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, Edit haga clic en. Atlas regresa a la Map Group and Assign Roles etapa.
Eliminar un rol asignado en su organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Atlas muestra todas las organizaciones donde eres
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Navegar a la página Organization Role Mappings.
Haga clic en Create Role Mappings.
Atlas muestra la página Organization Role Mappings.
Haz clic en Delete a la derecha del grupo proveedor de identidad que deseas eliminar.
Atlas muestra el modal Delete role mappings for this group.
Haga clic en Delete para remover todas las asignaciones de roles de este grupo proveedor de identidad.
Si no quieres remover todas las asignaciones de roles, haz clic en Cancel.