SAML и SSO для Brandfolder

С помощью SAML (Security Assertion Markup Language) вы можете быстро реализовать беспрепятственный процесс аутентификации для всех пользователей Brandfolder.

Brandfolder Image

Мы можем подключиться к любому провайдеру аутентификации SAML 2.0. Некоторые из поставщиков включают:

• Лазурь
•     Okta.
•     OneLogin ;     
• IBM

Параметры доступа пользователей:

1. Настройка общего доступа - Вы можете включить общий доступ для всех пользователей. 

Это можно сделать через пользовательский интерфейс, перейдя на уровень организации > Настройки > Управление пользователями. 

• Выберите организацию, конкретную папку Brandfolder или коллекцию, к которой вы хотите предоставить доступ пользователям.
• В правом верхнем углу вы найдете выпадающий список Default Permission Level . Здесь вы можете выбрать "Нет", "Гость" или "Сотрудник".
• Если этот параметр включен, любой пользователь, вошедший в систему через SAML, будет автоматически иметь доступ к определенному Brandfolder и/или Collection с определенным уровнем прав.

Будьте очень внимательны при добавлении разрешений по умолчанию на уровне организации и папки.

2. Настройки командного доступа - Команды позволяют определенной группе пользователей, созданной в IdP, получить определенный уровень доступа в Brandfolder. Это позволяет разделить некоторых или всех пользователей на отдельные команды (или отделы) для разных уровней конфиденциальности в разных папках и коллекциях.
   • Этого можно добиться, выпустив в SAML-ответе пользовательский атрибут с именем teams и связанным с ним значением group.
   • Вы также можете выпустить конкретную претензию, используя ADFS в качестве IdP. 
   • После завершения настройки используйте Document Team Configuration sheet.xlsx в качестве руководства. Создайте свой собственный и отправьте его на адрес службы поддержки Brandfolder или назначенному вами контактному лицу Brandfolder. 
   • Этот документ должен содержать:
     • Значение команды (название группы)
     • Уровень доступа, который должно получить значение команды (Organization, Brandfolder, Collection)
     • Уровень прав, который должна получить команда (Владелец, Администратор, Сотрудник, Гость)
3. Пользовательский доступ - если два вышеуказанных варианта не подходят для вашего случая, администратор организации может добавить пользователя в определенный Brandfolder или Collection за пределами традиционного командного/общего доступа. Дополнительные сведения об управлении доменами.

Атрибуты для профилей пользователей

• Мы требуем, чтобы nameid пользователя был адресом электронной почты.
• Мы рекомендуем передавать имя пользователя: givenname, и фамилию: surname.
• Вы также можете передать информацию о компании, должности и отделе, связанном с пользователем. 

Опции в массивах ниже - это потенциальные значения, которые Brandfolder ищет для отображения. Эти опции полезны при отслеживании аналитики по вашим активам. 

def self.userattr_samlattr_mapping { "first_name": ["first_name", "имя", "givenname"], "last_name": ["last_name", "lastname", "surname"], "company": ["company", "company_name"], "title": ["title"], "department": ["department"] } end

Brandfolder и SSO

SSO (Single Sign On) - еще один вариант аутентификации пользователей через Brandfolder. SSO позволяет клиентам интегрировать любую имеющуюся у них систему учетных записей пользователей с Brandfolder, чтобы сократить количество паролей и экранов входа в систему, которыми приходится управлять пользователям.