Verwalten von Identitätsanbietern
In Qlik Sense Enterprise SaaS können Sie beim Einrichten Ihrer Bereitstellung einen bereits vorhandenen Identitätsanbieter (IdP) verwenden. Sie können auch das Qlik Account verwenden. In Qlik Sense Business können Sie nur das Qlik Account verwenden.
Dieses Thema beschreibt das Konfigurieren der Identitätsanbietereinstellungen in Qlik Sense Enterprise SaaS. Sie müssen auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Ressourcen:
Verwenden von Salesforce.com als IDP für Qlik Sense Enterprise SaaS (OIDC-Authentifizierung)
Verwenden der Active Directory Federation Services als IDP für Qlik Sense Enterprise SaaS
Anleitung: Konfigurieren von Qlik Sense Enterprise SaaS für die Verwendung von Azure AD als IdP
Erstellen einer neuen Identitätsanbieterkonfiguration
Gehen Sie folgendermaßen vor:
-
Öffnen Sie in der Management Console den Abschnitt Identitätsanbieter.
-
Klicken Sie auf Neu erstellen.
Die Seite für die Erstellung einer IdP-Konfiguration wird geöffnet.
-
Wählen Sie den IdP-Typ aus:
- Interaktiv für die Anmeldung von Benutzern
- Rechner zu Rechner (M2M) für
- Multi-Cloud für die Eingabe Ihres lokalen Bearer-Tokens für die Erstellung der Identitätsanbieterkonfiguration, siehe MSC - Bereitstellungen (nur auf Englisch)
-
Wählen Sie Ihren IdP-Anbieter aus. Wählen Sie Generisch, wenn Ihr spezifischer IdP nicht als Option verfügbar ist.
-
Geben Sie optional eine Beschreibung ein.
-
Füllen Sie die Felder im Abschnitt Anwendungsanmeldedaten aus:
-
Das erste Feld ist die URL zum Endpunkt, der Konfigurationsinformationen für die
- Auth0: OpenID-Konfiguration
- Okta/Generisch: Metadaten-URI für OpenID Connect
-
-
Manuelle Konfiguration
Manchmal ist eine Erkennungs-URL nicht verfügbar oder liefert keine geeigneten Metadaten. Statt eine Endpunkt-URL zum Abrufen von Metadaten einzugeben, geben Sie die entsprechenden Daten im Formular ein. Die manuelle Konfiguration verwenden Sie nur, wenn Sie keine Erkennungs-URL eingegeben haben.
Gehen Sie folgendermaßen vor:
-
Wählen Sie im Fenster Identitätsanbieterkonfiguration erstellen einen Anbieter aus.
-
Aktivieren Sie Manuelle Konfiguration.
Dadurch werden das OpenID-Konfigurationsfeld deaktiviert und die Felder für manuelle Konfiguration aktiviert.
-
Fügen Sie Aussteller, die URL zum Identitätsanbieter hinzu.
-
Fügen Sie Autorisierungsendpunkt, die URL für die Interaktion mit dem Ressourcenbesitzer hinzu, wo Sie die Autorisierung für den Zugriff auf die Ressource erhalten.
-
Fügen Sie Token-Endpunkt, die URL, um einen Zugriffstoken zu erhalten, hinzu.
-
Fügen Sie Benutzerinformationsendpunkt, die URL, um Benutzerinformationen abzurufen, hinzu.
-
Fügen Sie
-
Fügen Sie optional Endsitzungsendpunkt, die URL, die verwendet wird, um eine einzelne Abmeldung auszulösen, hinzu.
-
Fügen Sie optional Introspektionsendpunkt, die URL zum Validieren von Referenztoken oder JWTs hinzu.
-
Füllen Sie die Felder im Abschnitt Anspruchszuordnung aus.
Ansprüche sind Anweisungen (Name/Wert-Paare) zum Element (in vielen Fällen der Benutzer) und Metadaten zum
- sub, name, groups, email, client_id, picture für interaktiv und sub und client_id für Rechner zu Rechner.
Ein Gruppenanspruch ist zum Erhalten von Gruppen erforderlich.
- sub, name, groups, email, client_id, picture für interaktiv und sub und client_id für Rechner zu Rechner.
-
Setzen Sie bei Ihrem Identitätsanbieter die Mandanten-URL auf die Zulassungsliste. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel Zulässige Callback-URLs, Umleitungs-URI oder Anmelde-Umleitungs-URI.
Fügen Sie Ihrer Mandantenadresse login/callback hinzu, wenn Sie sie auf die Zulassungsliste setzen. Beispiel: https://<Name des Mandanten>/login/callback.
-
Client-ID (nur für interaktiv): ID des konfigurierten Clients beim IdP für eine interaktive Benutzerauthentifizierung.
-
Clientschlüssel (nur für interaktiv): Schlüssel für den Client, der beim IdP konfiguriert ist.
-
Bereich (optional): Name, der mit dem IdP verknüpft wird. Es ist der gleiche wie der Domänenname in Qlik Sense Enterprise on Windows und wird für Namenseinheitlichkeit in Multi-Cloud verwendet.
-
-
Füllen Sie die Felder im Abschnitt Anspruchszuordnung aus.
Ansprüche sind Anweisungen (Name/Wert-Paare) zum Element (in vielen Fällen der Benutzer) und Metadaten zum
- sub, name, groups, email, client_id, picture für interaktiv und sub und client_id für Rechner zu Rechner.
Ein Gruppenanspruch ist zum Erhalten von Gruppen erforderlich.
- sub, name, groups, email, client_id, picture für interaktiv und sub und client_id für Rechner zu Rechner.
-
Setzen Sie bei Ihrem Identitätsanbieter die Mandanten-URL auf die Zulassungsliste. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel Zulässige Callback-URLs, Umleitungs-URI oder Anmelde-Umleitungs-URI.
Fügen Sie Ihrer Mandantenadresse login/callback hinzu, wenn Sie sie auf die Zulassungsliste setzen. Beispiel: https://<Name des Mandanten>/login/callback.
Erweiterte Optionen
Die erweiterten Optionen weiten die Funktionen mancher IdPs aus.
Bereich: Bereiche sind ein Konzept, das in der
Umleitungs-URI nach der Abmeldung (optional): Verwenden Sie diese Option, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten.
Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter: IdP: Verwenden der Umleitungs-URI nach der Abmeldung.
Aktivieren der automatischen Gruppenerstellung
Die Einstellung Automatische Gruppenerstellung aktivieren wird in der Management Console auf der Seite Einstellungen aktiviert.
Groups are used for access control of users, and can optionally be automatically created from idp-groups.
| Property | Description |
|---|---|
| Enable auto-creation of groups |
When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time. It is required that you use single sign-on and have administrative access to your IdP to configure groups. Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier. |
Gehen Sie folgendermaßen vor:
- Gehen Sie in der Management Console zur Seite Einstellungen.
- Aktivieren Sie im Abschnitt Gruppen die Schaltfläche Automatische Gruppenerstellung aktivieren.
Änderungen an einer vorhandenen IdP-Konfiguration
Sie können Änderungen an einer vorhandenen IdP-Konfiguration vornehmen.
Gehen Sie folgendermaßen vor:
-
Öffnen Sie in der Management Console den Abschnitt Identitätsanbieter.
-
Klicken Sie in der Tabelle ganz rechts auf ... für den IdP, den Sie bearbeiten möchten.
Es wird ein Untermenü angezeigt, das Optionen zum Aktivieren/Deaktivieren, Validieren, Bearbeiten und Löschen von IdPs enthält.
Aktivieren/Deaktivieren des IdP
Sie können mehrere interaktive IdPs parallel konfiguriert haben, aber es kann nur jeweils einer aktiv sein. Die anderen müssen deaktiviert oder gelöscht werden. Wenn Sie einen interaktiven IdP deaktivieren, stellen Sie automatisch die Qlik Account-Konfiguration wieder her. Weitere Informationen finden Sie unter Löschen des IdP.
Validieren des IdP
Die Validierung erfolgt automatisch, wenn ein interaktiver IdP gespeichert wird, aber Sie können bei Bedarf auch manuell eine Validierung auslösen, zum Beispiel nach dem Bearbeiten des IdP. Bei Klicken auf Validieren werden Sie zur Anmeldung zum Identitätsanbieter weitergeleitet, dann zu einer Reihe weiterer Validierungsschritte.
Bearbeiten des IdP
Sie können alle Typen von IdPs bearbeiten. Validieren Sie nach der Bearbeitung Ihre Änderungen, um sicherzustellen, dass der IdP ordnungsgemäß funktioniert. Die Option Validieren ist für Rechner-zu-Rechner-Konfigurationen nicht verfügbar.
Löschen des IdP
In Qlik Sense Enterprise SaaS ist der Standard-IdP Qlik Account. Sie können zu einem Unternehmens-IdP Ihrer Wahl wechseln. Wenn Sie später entscheiden, den Unternehmens-IdP zu löschen, müssen Sie sich über die Folgen im Klaren sein.
Wenn Sie einen Unternehmens-IdP löschen, wird der Mandant auf Qlik Account zurückgesetzt. Benutzer, die über den gelöschten Unternehmens-IdP auf den Mandanten zugreifen, können sich nicht mehr anmelden und nicht mehr auf von ihnen erstellte Inhalte zugreifen. Die Inhalte können aber von Qlik Account-Mandantenadministratoren angezeigt werden, die die Besitzer anpassen können.
Wenn die Benutzer zuvor Qlik Account mit der gleichen E-Mail-Adresse wie für den Unternehmens-IdP verwendet haben, werden alle während des Zeitraums mit dem Qlik Account erstellten Inhalte beibehalten.
