Zu Hauptinhalt springen

Erstellen einer neuen Identitätsanbieterkonfiguration

AUF DIESER SEITE

Erstellen einer neuen Identitätsanbieterkonfiguration

Der Mandantenadministrator kann neue IdP-Konfigurationen über die Management Console erstellen. Qlik Sense SaaS stellt IdP-Konfiguration für die Benutzeranmeldung, den API-Zugriff und die Multi-Cloud-Einrichtung bereit.

Gehen Sie folgendermaßen vor:

  1. Öffnen Sie in der Management Console den Abschnitt Identitätsanbieter.

  2. Klicken Sie auf Neu erstellen.

    Die Seite für die Erstellung einer IdP-Konfiguration wird geöffnet.

  3. Wählen Sie den IdP-Typ aus:

    • Interaktiv für die Anmeldung von Benutzern
    • Rechner zu Rechner (M2M) für API-Zugriff
    • Multi-Cloud für die Eingabe Ihres lokalen Bearer-Tokens für die Erstellung der Identitätsanbieterkonfiguration, siehe MSC - Bereitstellungen (nur auf Englisch)
  4. Wählen Sie Ihren IdP-Anbieter aus. Wählen Sie Generisch, wenn Ihr spezifischer IdP nicht als Option verfügbar ist.

  5. Geben Sie optional eine Beschreibung ein.

  6. Füllen Sie die Felder im Abschnitt Anwendungsanmeldedaten aus:

    1. Das erste Feld ist die URL zum Endpunkt, der Konfigurationsinformationen für die OAuth-Clients bereitstellt, um mit dem IdP über das OpenID Connect-Protokoll zu kommunizieren. Es hat verschiedene Namen:

      • ADFS: ADFS -Erkennungs-URL
      • Auth0: OpenID-Konfiguration
      • Keycloak: Keycloak OpenID-Endpunktkonfiguration
      • Okta/Generisch: Metadaten-URI für OpenID Connect
      • Salesforce: Salesforce -Erkennungs-URL

      Manuelle Konfiguration

      Manchmal ist eine Erkennungs-URL nicht verfügbar oder liefert keine geeigneten Metadaten. Statt eine Endpunkt-URL zum Abrufen von Metadaten einzugeben, geben Sie die entsprechenden Daten im Formular ein. Die manuelle Konfiguration verwenden Sie nur, wenn Sie keine Erkennungs-URL eingegeben haben.

      1. Wählen Sie im Fenster Identitätsanbieterkonfiguration erstellen einen Anbieter aus.

      2. Aktivieren Sie Manuelle Konfiguration.

        Dadurch werden das OpenID-Konfigurationsfeld deaktiviert und die Felder für manuelle Konfiguration aktiviert.

      3. Fügen Sie Aussteller, die URL zum Identitätsanbieter hinzu.

      4. Fügen Sie Autorisierungsendpunkt, die URL für die Interaktion mit dem Ressourcenbesitzer hinzu, wo Sie die Autorisierung für den Zugriff auf die Ressource erhalten.

      5. Fügen Sie Token-Endpunkt, die URL, um einen Zugriffstoken zu erhalten, hinzu.

      6. Fügen Sie Benutzerinformationsendpunkt, die URL, um Benutzerinformationen abzurufen, hinzu.

      7. Fügen Sie JWKS URI, die URI zum JSON Web Key Set mit den öffentlichen Schlüsseln hinzu, die für die Überprüfung eines JSON Web Token (JWT) verwendet werden.

      8. Fügen Sie optional Endsitzungsendpunkt, die URL, die verwendet wird, um eine einzelne Abmeldung auszulösen, hinzu.

      9. Fügen Sie optional Introspektionsendpunkt, die URL zum Validieren von Referenztoken oder JWTs hinzu.

      10. Füllen Sie die Felder im Abschnitt Anspruchszuordnung aus.

        Ansprüche sind Anweisungen (Name/Wert-Paare) zum Element (in vielen Fällen der Benutzer) und Metadaten zum OpenID Connect-Dienst. Für jeden Anspruch können Sie mehrere durch Kommas getrennte Werte verwenden.

        • sub, name, groups, email, client_id, picture, email_verified (optional) für interaktiv und sub und client_id für Rechner zu Rechner.
          Ein Gruppenanspruch ist zum Erhalten von Gruppen erforderlich.
      11. Setzen Sie bei Ihrem Identitätsanbieter die Mandanten-URL auf die Zulassungsliste. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel Zulässige Callback-URLs, Umleitungs-URI oder Anmelde-Umleitungs-URI.

        Fügen Sie Ihrer Mandantenadresse login/callback hinzu, wenn Sie sie auf die Zulassungsliste setzen. Beispiel: https://<Name des Mandanten>/login/callback.

        Hinweis: Sie müssen den ursprünglichen Hostnamen und nicht den Alias-Hostnamen verwenden, wenn Sie die Umleitungs-URI festlegen. Den Hostnamen finden Sie unter Einstellungen > Mandant > Hostname.
    2. Client-ID (nur für interaktiv): ID des konfigurierten Clients beim IdP für eine interaktive Benutzerauthentifizierung.

    3. Clientschlüssel (nur für interaktiv): Schlüssel für den Client, der beim IdP konfiguriert ist.

    4. Bereich (optional): Name, der mit dem IdP verknüpft wird. Es ist der gleiche wie der Domänenname in Qlik Sense Enterprise on Windows und wird für Namenseinheitlichkeit in Multi-Cloud verwendet.

  7. Füllen Sie die Felder im Abschnitt Anspruchszuordnung aus.

    Ansprüche sind Anweisungen (Name/Wert-Paare) zum Element (in vielen Fällen der Benutzer) und Metadaten zum OpenID Connect-Dienst. Für jeden Anspruch können Sie mehrere durch Kommas getrennte Werte verwenden.

    • sub, name, groups, email, client_id, picture, email_verified (optional) für interaktiv und sub und client_id für Rechner zu Rechner.
      Ein Gruppenanspruch ist zum Erhalten von Gruppen erforderlich.
  8. Setzen Sie bei Ihrem Identitätsanbieter die Mandanten-URL auf die Zulassungsliste. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel Zulässige Callback-URLs, Umleitungs-URI oder Anmelde-Umleitungs-URI.

    Fügen Sie Ihrer Mandantenadresse login/callback hinzu, wenn Sie sie auf die Zulassungsliste setzen. Beispiel: https://<Name des Mandanten>/login/callback.

    Hinweis: Sie müssen den ursprünglichen Hostnamen und nicht den Alias-Hostnamen verwenden, wenn Sie die Umleitungs-URI festlegen. Den Hostnamen finden Sie unter Einstellungen > Mandant > Hostname.

Erweiterte Optionen

Die erweiterten Optionen weiten die Funktionen mancher IdPs aus.

„E-Mail überprüft“ überschreiben: Wird in ADFS und Azure AD verwendet, um sicherzustellen, dass die E-Mail-Adresse eines Benutzers für die Identitätszuordnung verwendet werden kann. Diese Option ist beim Wechsel zwischen IdPs nützlich, aber auch in der Management Console, um zwischen zwei Benutzern mit identischen Namen zu unterscheiden.

Bereich: Wird in der OAuth 2.0-Spezifikation verwendet wird, um die Zugriffsberechtigungen beim Ausgeben eines Zugriffstokens anzugeben. Verwenden Sie diese Option beispielsweise, um einen Gruppenbereich hinzuzufügen, falls dies der IdP erfordert, um eine Benutzergruppenfunktion zu unterstützen.

Umleitungs-URI nach der Abmeldung (optional): Wird verwendet, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten.

Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter: Verwenden der Umleitungs-URI nach der Abmeldung.

Übergabe von „offline_access“-Bereich an Identitätsanbieter blockieren: Wenn Sie Google Identity oder OneLogin als Identitätsanbieter verwenden, muss diese Einstellung aktiviert sein, damit die Konfiguration zusammen mit Qlik Sense Mobile for SaaS- und OAuth 2.0-Anwendungen funktioniert.

Aktivieren der automatischen Gruppenerstellung

Die Einstellung Automatische Gruppenerstellung aktivieren wird in der Management Console auf der Seite Einstellungen aktiviert.

Gruppen werden für die Benutzerzugriffskontrolle verwendet und können optional über idp-groups automatisch erstellt werden.

Eigenschaft Automatische Gruppenerstellung aktivieren
Eigenschaft Beschreibung
Automatische Gruppenerstellung aktivieren

Bei Aktivierung werden Gruppen vom Identitätsanbieter übernommen, sodass der Zugriff denselben Gruppen von Benutzern gewährt werden kann, die im IdP vorhanden sind. Dadurch wird die Zugriffsverwaltung im Vergleich zur benutzerspezifischen Zugriffserteilung vereinfacht.

Es ist erforderlich, dass Sie Single Sign-On verwenden und administrativen Zugriff auf Ihren IdP haben, um Gruppen zu konfigurieren.

Beachten Sie, dass neue IdP-Gruppen in Qlik Sense Enterprise als Benutzeranmeldung (oder erneute Anmeldung) beim Qlik Sense Enterprise Mandanten angezeigt werden. IdP -Gruppen werden nicht alle gleichzeitig importiert. IdP-Gruppen werden vielmehr beim Anmeldevorgang ermittelt. Zudem stehen nur Gruppen, die Benutzern in Qlik Sense Enterprise zugeordnet sind, wie oben beschrieben zur Verfügung.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Management Console zur Seite Einstellungen.
  2. Aktivieren Sie im Abschnitt Gruppen die Schaltfläche Automatische Gruppenerstellung aktivieren.

Löschen Sie diesen Text und ersetzen Sie ihn durch Ihren eigenen Inhalt.