Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

Erstellen einer neuen Identitätsanbieterkonfiguration

Qlik Cloud stellt Identitätsanbieterkonfiguration (IdP-Konfiguration) für die Benutzeranmeldung, den API-Zugriff und die Multi-Cloud-Einrichtung bereit. Jeder Qlik Cloud Mandant unterstützt einen interaktiven IdP wie Qlik Account, Microsoft Entra ID (früher Azure AD), OKTA, Auth0 oder einen anderen mit OpenID Connect (OIDC) oder SAML (Security Assertion Markup Language) kompatiblen IdP.

Mandantenadministratoren können mehrere IdP-Konfigurationen über die Verwaltungskonsole erstellen:

  • Konfigurieren Sie einen interaktiven IdP für die Benutzeranmeldung. Wählen Sie entweder OIDC oder SAML, abhängig vom unterstützten Standard Ihres Identitätsanbieters.

    InformationshinweisNur ein interaktiver IdP kann jeweils aktiv sein. Wenn Sie Ihren benutzerdefinierten interaktiven IdP bereitstellen, ersetzt dieser den Qlik Account-Anmeldeablauf durch den von Ihrem gewählten IdP definierten Authentifizierungsprozess.

  • Wählen Sie für den API-Zugriff die Authentifizierung Machine-to-Machine (M2M).

  • Konfigurieren Sie für eine nahtlose Multi-Cloud-Identitätsverwaltung einen Multi-Cloud-IdP mit Ihrem lokalen Bearer-Token.

Erstellen der Konfiguration für einen neuen interaktiven OIDC-IdP

Mandantenadministratoren können neue IdP-Konfigurationen erstellen. Sie können jeweils nur einen interaktiven IdP haben. Wenn Sie bereits einen aktiven IdP haben, müssen Sie diesen zuerst deaktivieren, um den neuen aktivieren zu können. Weitere Informationen finden Sie unter Ändern von Unternehmens-IdP-Konfigurationen.

Dieses Thema beschreibt das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud. Sie müssen auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Ressourcen:

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter und klicken Sie auf Neu erstellen.

  2. Wählen Sie als Typ die Option OIDC aus.

  3. Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.

  4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

  5. Unter Anwendungsanmeldedaten können Sie die Erkennungs-URL eingeben. Wenn keine Erkennungs-URL verfügbar ist oder keine passenden Metadaten bereitgestellt werden, haben Sie auch die Option, manuell einzelne Werte einzugeben. Die manuelle Konfiguration sollte nur verwendet werden, wenn keine Erkennungs-URL eingegeben wurde.

    Gehen Sie folgendermaßen vor:

    1. Geben Sie die Erkennungs-URL ein. Dies ist die URL zum Endpunkt, die Konfigurationsdaten für die OAuth-Clients zur Kommunikation mit dem IdP über das OpenID Connect-Protokoll bereitstellt. Die Benennungskonventionen für die Erkennungs-URL sind je nach gewähltem Anbieter unterschiedlich:

      • ADFS: ADFS-Erkennungs-URL

      • Auth0: OpenID-Konfiguration

      • Keycloak: Keycloak OpenID-Endpunktkonfiguration

      • Okta oder generischer IdP: Metadaten-URI für OpenID Connect

      • Salesforce: Salesforce-Ermittlungs-URL

    oder

    1. Wählen Sie Manuelle Konfiguration aus.

    2. Geben Sie Werte für die folgenden Felder ein:

      • Autorisierungsendpunkt: Die URL für die Interaktion mit dem Ressourcenbesitzer, unter der Sie die Autorisierung für den Zugriff auf die Ressource erhalten.

      • Sitzung-beenden-Endpunkt (optional): Die URL, die zum Auslösen eines Single Sign-Out verwendet wird.

      • Introspektionsendpunkt (optional): Die URL zum Validieren von Referenztoken oder JWTs.

      • Aussteller: Die URL zum Identitätsanbieter.

      • JWKS-URI: Die URI zum JSON Web Key Set, das öffentliche Schlüssel für die Verifizierung eines JSON Web Token (JWT) enthält.

      • Token-Endpunkt: Die URL zum Erhalten eines Zugriffstokens.

      • Benutzerinformationsendpunkt (optional): Die URL zum Erhalten von Benutzerinformationen.

    Konfiguration mit der Erkennungs-URL und manueller Konfiguration.

    Konfigurationsfenster mit und ohne Verwendung der Erkennungs-URL.

  6. Geben Sie eine Client-ID ein: Die ID des konfigurierten Client beim IdP für eine interaktive Benutzerauthentifizierung.

  7. Geben Sie den geheimen Client-Schlüssel ein: Dies ist der Schlüssel für den beim IdP konfigurierten Client.

  8. Geben Sie optional einen Bereich ein. Dies ist der Name, der mit dem IdP verknüpft werden muss. Er entspricht dem Domänennamen in Qlik Sense Enterprise on Windows und wird verwendet, um für einheitliche Benennung in Multi-Cloud zu sorgen.

  9. Füllen Sie die Felder unter Anspruchszuordnung aus.

    Ansprüche sind Anweisungen (Name/Wert-Paare) zur Entität (in vielen Fällen der Benutzer) und Metadaten zum OpenID Connect-Dienst. Zuordnungen sind für sub, name, groups, email, client_id, picture und email_verified (optional) verfügbar.

    Informationshinweis

    • Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.

    • Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.

  10. Konfigurieren Sie optional die erweiterten Optionen. Weitere Details finden Sie unter Erweiterte Optionen.

  11. Klicken Sie auf Create.

    Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.

    • Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.

    • Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf Mehr klicken und Validieren auswählen.

    Die IdP-Konfiguration wird validiert und erstellt.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

Hinzufügen der Mandanten-URL zur Zulassungsliste Ihres Identitätsanbieters

Fügen Sie bei Ihrem Identitätsanbieter die Mandanten-URL der Zulassungsliste hinzu. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel „Zulässige Callback-URLs“, „Umleitungs-URI“ oder „Anmelde-Umleitungs-URI“.

Wenn Sie die URL hinzufügen, müssen Sie login/callback an die Mandantenadresse anhängen: https://<mandantenname>/login/callback.

InformationshinweisSie müssen den ursprünglichen Hostnamen und nicht den Alias-Hostnamen des Mandanten verwenden, wenn Sie die Umleitungs-URI festlegen. Den Hostnamen finden Sie unter Einstellungen > Mandant > Hostname in der Verwaltungskonsole.

Erweiterte Optionen

Die erweiterten Optionen weiten die Funktionen mancher IdPs aus.

„E-Mail überprüft“ überschreiben: Wird in ADFS und Microsoft Entra ID verwendet, um sicherzustellen, dass die E-Mail-Adresse eines Benutzers für die Identitätszuordnung verwendet werden kann. Diese Option ist beim Wechsel zwischen IdPs nützlich, aber auch in der Verwaltungskonsole, um zwischen zwei Benutzern mit identischen Namen zu unterscheiden.

Bereich: Wird in der OAuth 2.0-Spezifikation verwendet wird, um die Zugriffsberechtigungen beim Ausgeben eines Zugriffstokens anzugeben. Verwenden Sie diese Option beispielsweise, um einen Gruppenbereich hinzuzufügen, falls dies der IdP erfordert, um eine Benutzergruppenfunktion zu unterstützen.

Umleitungs-URI nach der Abmeldung: Wird verwendet, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten. Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

Übergabe von „offline_access“-Bereich an Identitätsanbieter blockieren: Wenn Sie Google Identity oder OneLogin als Identitätsanbieter verwenden, muss diese Einstellung aktiviert sein, damit die Konfiguration zusammen mit Qlik Sense Mobile SaaS und OAuth 2.0-Anwendungen funktioniert.

Erstellen der Konfiguration für einen neuen interaktiven SAML-IdP

Mandantenadministratoren können neue IdP-Konfigurationen erstellen. Sie können jeweils nur einen interaktiven IdP haben. Wenn Sie bereits einen aktiven IdP haben, müssen Sie diesen zuerst deaktivieren, um den neuen aktivieren zu können. Weitere Informationen finden Sie unter Ändern von Unternehmens-IdP-Konfigurationen.

Dieses Thema beschreibt das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud. Sie müssen auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Themen:

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter und klicken Sie auf Neu erstellen.

  2. Wählen Sie als Typ die Option SAML aus.

  3. Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.

  4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

  5. Unter Konfiguration haben Sie die Möglichkeit, entweder die SAML XML-Metadaten von Ihrem Identitätsanbieter hochzuladen oder manuell einzelne Werte einzugeben.

    Gehen Sie folgendermaßen vor:

    1. Wählen Sie IdP-Metadaten verwenden aus.

    2. Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die Datei mit den Metadaten Ihres Identitätsanbieters aus. Wenn die Metadaten Ihres Identitätsanbieters nicht als Datei verfügbar sind, können Sie alternativ die Metadaten direkt kopieren und in das Feld IdP-Metadaten einfügen.

    oder

    1. Klicken Sie unter Signaturzertifikate auf Datei hochladen, um die Zertifikatdatei hochzuladen.
      Dies ist das Zertifikat, das vom Identitätsanbieter zum Signieren der an Qlik Cloud gesendeten SAML-Assertions verwendet wird.

    2. Geben Sie die Entitäts-ID Ihres Identitätsanbieters ein.

    3. Geben Sie die Single Sign-On-URL ein.

      Dies ist der Endpunkt, an den die SAML-Authentifizierungsanforderungen gesendet werden. An diese URL wird der Benutzer zur Authentifizierung umgeleitet.

    4. Wählen Sie ein Namens-ID-Format aus.

    Konfiguration mit Metadaten und manueller Konfiguration.

    Konfigurationsfenster mit und ohne Verwendung von IdP-Metadaten

  6. Wählen Sie optional IdP-initiierte Anmeldung aktivieren aus.

    Beim Standard-Anmeldeablauf geht der Benutzer zuerst zu Qlik Cloud und wird dann zur Authentifizierung an den IdP umgeleitet. Aktivieren Sie die IdP-initiierte Anmeldung, wenn Sie möchten, dass sich der Benutzer zuerst beim Identitätsanbieter anmeldet und dann an Qlik Cloud umgeleitet wird.

  7. Ändern Sie die Felder unter Anspruchszuordnung oder behalten Sie die Standardwerte bei.

    Die Anspruchszuordnung definiert, wie die Benutzerattribute vom Identitätsanbieter mit den Feldern im Qlik Cloud Benutzermodell verknüpft werden. Zuordnungen sind für sub, name, email, groups und picture verfügbar. Passen Sie die Werte entsprechend den Bedürfnissen Ihrer Organisation und den Attributen Ihres Identitätsanbieters an.

    Informationshinweis

    • Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.

    • Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.

  8. Konfigurieren Sie optional unter Erweiterte Optionen die Option Umleitungs-URI nach der Abmeldung.

    Sie wird verwendet, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten. Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

  9. Klicken Sie auf Create.

    Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.

    Die Metadaten und Signaturzertifikate des SAML-Dienstanbieters sind erst nach Erstellen des IdP verfügbar. Wenn Sie diese Informationen zum Einrichten des Identitätsanbieters benötigen, können Sie den IdP zunächst ohne Validierung erstellen und ihn dann validieren, nachdem die Identitätsanbieterkonfiguration abgeschlossen ist.

    • Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um eine Anmeldung vorzunehmen und zu bestätigen, dass die Benutzerprofildaten korrekt sind.

    • Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf Mehr klicken und Validieren auswählen.

    Die IdP-Konfiguration wird validiert und erstellt.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

Hochladen der Dienstanbietermetadaten an Ihren Identitätsanbieter

Gehen Sie folgendermaßen vor:

  1. Klicken Sie in der Verwaltungskonsole für die neu erstellte IdP-Konfiguration auf Mehr und wählen Sie Anbieterkonfiguration anzeigen aus.

    Ein Dialogfeld zeigt die Metadaten des Dienstanbieters und die URL zum Metadaten-Endpunkt.

    Metadaten des Dienstanbieters.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

  2. Abhängig von der Einrichtung bei Ihrem Identitätsanbieter kopieren Sie entweder die Metadaten oder die URL und speichern Sie sie zur späteren Verwendung. Laden Sie bei Bedarf die Signaturzertifikatdatei herunter. Klicken Sie auf Erledigt.

  3. Geben Sie bei Ihrem Identitätsanbieter die Metadaten des Dienstanbieters ein. Sie müssen die folgenden erforderlichen Einstellungen konfigurieren:

    • ACS-URL (Assertion Consumer Service). Hierhin sendet der Identitätsanbieter die SAML-Assertions nach der Authentifizierung.

    • Entitäts-ID des Dienstanbieters.

    • Das Zertifikat für die Validierung von Authentifizierungsanfragen. Es wird vom Identitätsanbieter verwendet, um die Echtheit des Dienstanbieters zu überprüfen.

  4. Nach Abschluss der Konfiguration des Identitätsanbieters können Sie Ihre IdP-Konfiguration in der Verwaltungskonsole validieren. Klicken Sie in Ihrer Konfiguration auf Mehr und wählen Sie Validieren aus. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.

Erstellen einer neuen Rechner-zu-Rechner-IdP-Konfiguration

Um einen Rechner-zu-Rechner-IdP zu konfigurieren, folgen Sie den Anweisungen für Erstellen der Konfiguration für einen neuen interaktiven OIDC-IdP, wählen aber Rechner zu Rechner (M2M) als IdP-Typ aus.

Einige der Einstellungen weichen von der interaktiven OIDC-Konfiguration ab: Die Felder Client-ID und Geheimer Client-Schlüssel sind in diesem Kontext nicht anwendbar und unter Anspruchszuordnung sind nur Zuordnungen für sub und client_id verfügbar.

Aktivieren der automatischen Gruppenerstellung

Gruppen werden für die Benutzerzugriffskontrolle verwendet und können automatisch über IdP-Gruppen erstellt werden. Bei Aktivierung der automatischen Gruppenerstellung werden Gruppen vom Identitätsanbieter übernommen, sodass der Zugriff denselben Gruppen von Benutzern gewährt werden kann, die im IdP vorhanden sind. Dadurch wird die Zugriffsverwaltung im Vergleich zur benutzerspezifischen Zugriffserteilung vereinfacht.

Während sich Benutzer anmelden, werden neue IdP-Gruppen dynamisch in Qlik Cloud angezeigt. Diese Gruppen werden nicht alle gleichzeitig importiert. IdP-Gruppen werden während des Anmeldeprozesses erkannt. Nur Gruppen, die Qlik Cloud-Benutzern zugeordnet sind, stehen zur Verfügung.

Zum Konfigurieren von Gruppen müssen Sie Single Sign-On verwenden und administrativen Zugriff auf Ihren IdP haben.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zur Seite Einstellungen.
  2. Wählen Sie unter Funktionssteuerung die Option Gruppenerstellung aus.
VERWANDTE LERNINHALTE:

Weitere Informationen

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab