Konfigurieren von Okta als SAML-Identitätsanbieter

In diesem Thema wird beschrieben, wie Okta als Identitätsanbieter für Qlik Cloud eingerichtet wird.

Eine SAML-Anwendung in Okta konfigurieren

Der erste Schritt besteht im Einrichten einer SAML-Anwendung in Okta, um eine Vertrauensbeziehung für Ihren Qlik Cloud Mandanten als Dienstanbieter festzulegen.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Okta Admin Console zu Applications > Applications.

2. Klicken Sie auf Create App Integration.

3. Wählen Sie als Sign-in method die Option SAML 2.0 aus und klicken Sie auf Next.

4. Füllen Sie die allgemeinen Informationen für die Integration wie gewünscht aus und klicken Sie auf Next.

5. Geben Sie unter SAML Settings die folgenden Informationen ein:

   Einstellung	Wert
   Single-sign on URL	Ihr ursprünglicher Mandantenhostname, mit am Ende des Hostnamens angehängtem Pfad /login/saml
   Audience URI (SP Entity ID)	Ihr ursprünglicher Mandantenhostname (ohne angehängten Pfad und ohne Schrägstrich am Ende)
   Namens-ID-Format	Unspecified

   

6. Fügen Sie unter Attribute Statements Attributanweisungen für Namen und E-Mail hinzu.
   Geben Sie die folgenden Informationen ein:

   Name	Namensformat	Wert
   fehlt	Unspecified	${user.firstName} ${user.lastName}
   email	Unspecified	user.email

   TipphinweisOkta unterstützt Formeln in String-Formatierung, um mehrere Werte in ein einzelnes Attribut zu integrieren. Der hier vorgeschlagene Wert kombiniert den Vornamen und den Nachnamen in ein Attribut name.

   

7. Fügen Sie unter Group Attribute Statements eine Attributanweisung für Gruppen.
   Geben Sie die folgenden Informationen ein:

   Name	Namensformat	Filter	Wert
   group	Unspecified	Matches regex	.+

   TipphinweisMit dem hier vorgeschlagenen Filter und Wert werden alle Benutzergruppen abgerufen. Der Filter kann auf Wunsch angepasst werden, um nur bestimmte Teilgruppen zurückzugeben.

   

8. Aktivieren Sie zum Abschluss der Okta-Einrichtung die Optionen I'm an Okta customer adding an internal app und This is an internal app that we have created und klicken Sie dann auf Finish.

Nach dem Erstellen der Anwendung müssen Sie in Okta zwei weitere Schritte ausführen:

1. IdP-Metadaten herunterladen: Die Metadaten-URL sollte angezeigt werden. Andernfalls finden Sie sie auf der Registerkarte Sign On der Anwendung. Kopieren und öffnen Sie die URL in Ihrem Browser und speichern Sie die Seite als Datei, um sie später zu verwenden. (Wenn Sie Chrome verwenden, klicken Sie mit der rechten Maustaste auf die Seite und wählen Sie Speichern unter aus.)

2. Benutzer und Gruppen hinzufügen: Fügen Sie auf der Registerkarte Assignments die Benutzer und Gruppen hinzu, die zur Anmeldung bei Ihrem Qlik Cloud Mandanten berechtigt sind.

Eine IdP-Konfiguration in Qlik Cloud erstellen

Melden Sie sich bei Qlik Cloud als Mandantenadministrator an, um eine IdP-Konfiguration zu erstellen.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter und klicken Sie auf Neu erstellen.

2. Wählen Sie als Typ die Option SAML aus.

3. Wählen Sie als Anbieter die Option Okta aus.

4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

5. Wählen Sie IdP-Metadaten verwenden aus.

6. Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die IdP-Metadatendatei aus, die während der Okta-Einrichtung heruntergeladen wurde.

   

7. Klicken Sie auf Create.

8. Deaktivieren Sie im Dialogfeld Interaktiven Identitätsanbieter erstellen das Kontrollkästchen IdP validieren und klicken Sie dann auf Erstellen.
   Damit wird die IdP-Konfiguration ohne sofortige Validierung erstellt. Die Validierung kann zu einem späteren Zeitpunkt erfolgen.

   InformationshinweisAuf Wunsch können Sie jetzt validieren. Es wird jedoch empfohlen, zuerst den nächsten Abschnitt abzuschließen und die Zertifikatdatei in Okta hochzuladen.

Validierung der SAML-Anforderungssignatur konfigurieren

Laden Sie das Qlik Cloud SAML-Anforderungs-Signaturzertifikat herunter und laden Sie es in Okta hoch.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Qlik Cloud Verwaltungskonsole zu Identitätsanbieter.

2. Klicken Sie in der SAML-IdP-Konfiguration auf und wählen Sie Anbieterkonfiguration anzeigen aus.

3. Wählen Sie Signaturzertifikat herunterladen aus und klicken Sie auf Fertig.

Kehren Sie zu Ihrer SAML-Anwendung in Okta zurück.

Gehen Sie folgendermaßen vor:

1. Öffnen Sie in Okta die Registerkarte General der Anwendung.

2. Klicken Sie unter SAML Settings auf Edit.

3. Klicken Sie auf Next, um Configure SAML zu öffnen.

4. Klicken Sie unter SAML Settings auf Show Advanced Settings.

5. Klicken Sie neben Signature Certificate auf Browse files und laden Sie die Signaturzertifikatdatei hoch.

   Nach dem erfolgreichen Hochladen zeigt Okta Details zum Zertifikat an.

   

6. Klicken Sie neben Signed Requests auf Validate SAML requests with signature certificates.

7. Klicken Sie auf Next, um dem Einrichtungsablauf in Okta zu folgen und Ihre Änderungen zu speichern.

Okta ist jetzt eingerichtet und kann SAML-Anforderungssignaturen validieren. Gehen Sie zurück zu Qlik Cloud, um mit der Validierung zu beginnen.

Den Identitätsanbieter in Qlik Cloud validieren

Nachdem Sie Okta erfolgreich eingerichtet haben, können Sie die IdP-Konfiguration in Qlik Cloud validieren.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter.

2. Klicken Sie in Ihrer SAML-IdP-Konfiguration auf und wählen Sie Validieren aus.

3. Befolgen Sie die Schritte im Validierungs-Assistenten, um sich als der zur Okta-Anwendung hinzugefügte Benutzer anzumelden. Überprüfen Sie, dass die Benutzerprofildaten korrekt sind.

   Die Optionen zum Höherstufen des Benutzers zu einem Qlik Cloud Mandantenadministrator und zum Aktivieren des IdP werden angezeigt. Beachten Sie, dass beim Aktivieren des IdP ein zuvor konfigurierter interaktiver Identitätsanbieter im Mandanten deaktiviert wird.