Puedes mapear tu Grupos deIdP a roles de Atlas. Esto simplifica la configuración de la autorización. Puede otorgar a un grupo de IdP uno o más roles para simplificar su acceso a organizaciones, proyectos y clústeres de Atlas.
Nota
No puedes editar roles para usuarios específicos en el Access Manager página si configura asignaciones de roles para grupos de IdP.
Proceso de mapeo de roles
Atlas aplica las asignaciones de roles cuando inicia sesión.
Atlas compara los grupos de IdP denominados memberOf con las asignaciones de roles definidas para sus organizaciones. Estas organizaciones deben usar el mismo IdP que el usuario usó para autenticarse.
Nota
Si un usuario tiene asignaciones de roles desde varios grupos de proveedor de identidad de una organización, Atlas aplica todos los roles que resultan de la pertenencia a los grupos del usuario durante el inicio de sesión. Esto significa que el usuario obtiene todos los permisos de todos sus roles asignados.
Atlas aplica los roles asignados a los usuarios federados si definió asignaciones de roles.
Atlas aplica el rol predeterminado si:
No tienes mapeos de roles definidos
Las asignaciones de roles darían como resultado un usuario sin ningún rol
Las asignaciones de roles de la organización definen el acceso a Atlas de los usuarios federados. Si un usuario federado inicia sesión, pero no pertenece a un grupo de IdP asignado a la organización deseada, Atlas elimina el rol asignado del usuario en esa organización y sus proyectos. El usuario federado aún puede tener otros grupos de IdP.
Ejemplo
Considere un escenario donde un usuario pertenece al grupo IdP de administrador. Ha configurado una asignación de roles de administrador a
Organization Owneren la Organización A. Si elimina ese usuario del grupo IdP de administración, Atlas elimina el rol deOrganization Ownerese usuario la próxima vez que el usuario inicie sesión.Cada organización debe tener al menos un usuario que posea el rol de
Organization Owner. Si la remoción de un rol remueve al último propietario de una organización, la remoción falla.
Acceso requerido
Para administrar la autenticación federada, debe tener Organization Owner acceso a una o más organizaciones que delegan configuraciones de federación a la instancia.
Requisitos previos
Para completar este tutorial, debes tener:
Se creó una aplicación de IdP. Esta aplicación debe tener un atributo SAML llamado memberOf. Asigne este atributo a los atributos de origen de IdP para los grupos. Este atributo vincula los grupos de IdP con sus roles de Atlas.
Vinculó un IdP a Atlas.
Asignó una organización Atlas a su IdP.
Creaste al menos un grupo en tu proveedor de identidad.
Agregue al menos un usuario en su aplicación IdP a un grupo que usted creó.
Agregue asignaciones de roles en su organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
El Se muestra la páginade la Federación.
Elije una organización en la que desees asignar roles.
Haga clic en Organizations.
Atlas muestra todas las organizaciones en las que usted es un en una
Organization Ownertabla.Las organizaciones conectadas a la autenticación federada se muestran en la Actions columna.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haga clic y seleccione.View
Asigne roles de organización de Atlas al grupo de IdP deseado.
En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Atlas asigna este grupo a su rol de Atlas. Tenga en cuenta que el nombre del grupo no puede exceder 200 caracteres. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Microsoft Entra ID como proveedor de identidades y seleccionó Group Id como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte Configurar Microsoft Entra ID como proveedor de identidades. |
Asignar roles de organización | Haz clic en cada función organizacional de Atlas que deseas asignar al grupo proveedor de identidad. |
Si no necesita asignar ningún rol de proyecto Atlas a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita asignar roles de proyecto Atlas a este grupo de IdP,haga clic Next en.
Asigne roles de proyecto Atlas al grupo de IdP deseado.
La Assign Project Roles etapa muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puede asignarles. Para cada proyecto, haga clic en los roles que desea asignar al grupo de IdP.
Si no necesita revisar los roles asignados a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita revisar los roles asignados a este grupo de IdP,haga clic Next en.
Verifica qué roles de Atlas han sido asignados al grupo de proveedor de identidad deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, Edit haga clic en. Atlas regresa a la Map Group and Assign Roles etapa.
Editar asignaciones de roles en su organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
Seleccione una organización en la que desee editar las asignaciones de roles.
Haga clic en Manage Organizations.
Atlas muestra todas las organizaciones en las que usted es un en una
Organization Ownertabla.Haga clic junto al IdP deseado Group Name y View seleccione.
Asigne roles de organización de Atlas al grupo de IdP deseado.
En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Atlas asigna este grupo a su rol de Atlas. Tenga en cuenta que el nombre del grupo no puede exceder 200 caracteres. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Microsoft Entra ID como proveedor de identidades y seleccionó Group Id como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte Configurar Microsoft Entra ID como proveedor de identidades. |
Asignar roles de organización | Haz clic en cada función organizacional de Atlas que deseas asignar al grupo proveedor de identidad. |
Si no necesita asignar ningún rol de proyecto Atlas a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita asignar roles de proyecto Atlas a este grupo de IdP,haga clic Next en.
Asigne roles de proyecto Atlas al grupo de IdP deseado.
La Assign Project Roles etapa muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puede asignarles. Para cada proyecto, haga clic en los roles que desea asignar al grupo de IdP.
Si no necesita revisar los roles asignados a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita revisar los roles asignados a este grupo de IdP,haga clic Next en.
Verifica qué roles de Atlas han sido asignados al grupo de proveedor de identidad deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, Edit haga clic en. Atlas regresa a la Map Group and Assign Roles etapa.
Eliminar un rol asignado en su organización y sus proyectos
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Atlas muestra todas las organizaciones en las que usted es un en una
Organization Ownertabla.Las organizaciones conectadas a la autenticación federada se muestran en la Actions columna.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haga clic y seleccione.View
Navegar a la página Organization Role Mappings.
Haga clic en Create Role Mappings.
Atlas muestra la página Organization Role Mappings.
Delete Haga clic en a la derecha del grupo de IdP que desea eliminar.
Atlas muestra el modal Delete role mappings for this group.
Haga clic en Delete para remover todas las asignaciones de roles de este grupo proveedor de identidad.
Si no desea eliminar todas las asignaciones de roles, haga clic en Cancel.