Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

Erstellen einer neuen Identitätsanbieterkonfiguration

Qlik Cloud stellt Identitätsanbieterkonfiguration (IdP-Konfiguration) für die Benutzeranmeldung, den API-Zugriff und die Multi-Cloud-Einrichtung bereit. Jeder Qlik Cloud Mandant unterstützt einen interaktiven IdP wie Qlik Account, Microsoft Entra ID (früher Azure AD), OKTA, Auth0 oder einen anderen mit OpenID Connect (OIDC) oder SAML (Security Assertion Markup Language) kompatiblen IdP.

Mandantenadministratoren können mehrere IdP-Konfigurationen über das Aktivitätscenter Verwaltung erstellen:

  • Konfigurieren Sie einen interaktiven IdP für die Benutzeranmeldung. Wählen Sie entweder OIDC oder SAML, abhängig vom unterstützten Standard Ihres Identitätsanbieters.

    Informationshinweis

    • Nur ein interaktiver IdP kann jeweils aktiv sein. Wenn Sie Ihren benutzerdefinierten interaktiven IdP bereitstellen, ersetzt dieser den Qlik Account-Anmeldeablauf durch den von Ihrem gewählten IdP definierten Authentifizierungsprozess.

    • Der Umgang mit SSO-Fehlern für Ihren Unternehmens-IdP muss über Ihren Identitätsanbieter konfiguriert werden. Qlik Cloud unterstützt das Konfigurieren einer weiteren Umleitungs-URL als Ausweichmöglichkeit nicht.

  • Konfigurieren Sie für eine nahtlose Multi-Cloud-Identitätsverwaltung einen Multi-Cloud-IdP mit Ihrem lokalen Bearer-Token.

Erstellen der Konfiguration für einen neuen interaktiven OIDC-IdP

Mandantenadministratoren können neue IdP-Konfigurationen erstellen. Sie können jeweils nur einen interaktiven IdP haben. Wenn Sie bereits einen aktiven IdP haben, müssen Sie diesen zuerst deaktivieren, um den neuen aktivieren zu können. Weitere Informationen finden Sie unter Ändern von Unternehmens-IdP-Konfigurationen.

Dieses Thema beschreibt das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud. Sie müssen auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Ressourcen:

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter und klicken Sie auf Neu erstellen.

  2. Wählen Sie als Typ die Option OIDC aus.

  3. Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.

  4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

  5. Unter Anwendungsanmeldedaten können Sie die Erkennungs-URL eingeben. Wenn keine Erkennungs-URL verfügbar ist oder keine passenden Metadaten bereitgestellt werden, haben Sie auch die Option, manuell einzelne Werte einzugeben. Die manuelle Konfiguration sollte nur verwendet werden, wenn keine Erkennungs-URL eingegeben wurde.

    Gehen Sie folgendermaßen vor:

    1. Geben Sie die Erkennungs-URL ein. Dies ist die URL zum Endpunkt, die Konfigurationsdaten für die OAuth-Clients zur Kommunikation mit dem IdP über das OpenID Connect-Protokoll bereitstellt. Die Benennungskonventionen für die Erkennungs-URL sind je nach gewähltem Anbieter unterschiedlich:

      • ADFS: ADFS-Erkennungs-URL

      • Auth0: OpenID-Konfiguration

      • Keycloak: Keycloak OpenID-Endpunktkonfiguration

      • Okta oder generischer IdP: Metadaten-URI für OpenID Connect

      • Salesforce: Salesforce-Erkennungs-URL

    oder

    1. Wählen Sie Manuelle Konfiguration aus.

    2. Geben Sie Werte für die folgenden Felder ein:

      • Autorisierungsendpunkt: Die URL für die Interaktion mit dem Ressourcenbesitzer, unter der Sie die Autorisierung für den Zugriff auf die Ressource erhalten.

      • Sitzung-beenden-Endpunkt (optional): Die URL zum Auslösen eines Single Sign-Out.

      • Introspektionsendpunkt (optional): Die URL zum Validieren von Referenztoken oder JWTs.

      • Aussteller: Die URL zum Identitätsanbieter.

      • JWKS-URI: Die URI zum JSON Web Key Set, das öffentliche Schlüssel für die Verifizierung eines JSON Web Token (JWT) enthält.

      • Token-Endpunkt: Die URL zum Erhalten eines Zugriffstokens.

      • Benutzerinformationsendpunkt (optional): Die URL zum Abrufen der Benutzerinformationen.

    Konfiguration mit der Erkennungs-URL und manueller Konfiguration.

    Konfigurationsfenster mit und ohne Verwendung der Erkennungs-URL.

  6. Geben Sie die Client-ID ein: Die ID des konfigurierten Client beim IdP für eine interaktive Benutzerauthentifizierung.

  7. Geben Sie den geheimen Client-Schlüssel ein: Dies ist der Schlüssel für den beim IdP konfigurierten Client.

  8. Geben Sie optional einen Bereich ein. Dies ist der Name, der mit dem IdP verknüpft werden muss. Er entspricht dem Domänennamen in Qlik Sense Enterprise on Windows und wird verwendet, um für einheitliche Benennung in Multi-Cloud zu sorgen.

  9. Füllen Sie die Felder unter Anspruchszuordnung aus.

    Ansprüche sind Anweisungen (Name/Wert-Paare) zur Entität (in vielen Fällen der Benutzer) und Metadaten zum OpenID Connect-Dienst. Zuordnungen sind für sub, name, groups, email, client_id, picture und email_verified (optional) verfügbar.

    Informationshinweis

    • Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.

    • Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.

  10. Konfigurieren Sie optional die erweiterten Optionen. Weitere Details finden Sie unter Erweiterte Optionen.

  11. Klicken Sie auf Erstellen.

    Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.

    • Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.

    • Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf Mehr klicken und Validieren auswählen.

    Die IdP-Konfiguration wird validiert und erstellt.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

Hinzufügen der Mandanten-URL zur Zulassungsliste Ihres Identitätsanbieters

Fügen Sie bei Ihrem Identitätsanbieter die Mandanten-URL der Zulassungsliste hinzu. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel „Zulässige Callback-URLs“, „Umleitungs-URI“ oder „Anmelde-Umleitungs-URI“.

Wenn Sie die URL hinzufügen, müssen Sie login/callback an die Mandantenadresse anhängen: https://<mandantenname>/login/callback.

InformationshinweisSie müssen den ursprünglichen Hostnamen und nicht den Alias-Hostnamen des Mandanten verwenden, wenn Sie die Umleitungs-URI festlegen. Sie finden den Mandantenhostnamen in Ihrem Benutzerprofil im Abschnitt Info.

Erweiterte Optionen

Die erweiterten Optionen bieten zusätzliche Funktionen für bestimmte Identitätsanbieter.

„E-Mail überprüft“ überschreiben

Aktivieren Sie diese Einstellung, um den Anspruch email_verified immer auf "wahr" zu setzen. Dadurch wird sichergestellt, dass E-Mail-Adressen für die Identitätszuordnung in ADFS und Microsoft Entra ID verwendet werden können. Dies ist besonders bei einem Wechsel von IdPs nützlich und hilft dabei, zwischen Benutzern mit identischen Namen im Aktivitätscenter Verwaltung zu unterscheiden.

Anwendungsbereich

Anwendungsbereiche definieren die Zugriffsberechtigungen, die bei der Ausgabe eines Zugriffstoken gemäß der OAuth 2.0-Spezifikation angefordert werden. Geben Sie durch Leerzeichen getrennte Werte ein, um die Berechtigungen anzugeben, die Sie beim Identitätsanbieter anfordern möchten. Schließen Sie zum Beispiel einen Anwendungsbereich für Gruppen ein, wenn der IdP die Unterstützung von Funktionen für Benutzergruppen verlangt.

Umleitungs-URI nach der Abmeldung

Verwenden Sie dieses Feld, um eine URI anzugeben, an den Benutzer nach dem Abmelden weitergeleitet werden. Detaillierte Anweisungen hierzu finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

offline_access blockieren

Wenn Sie Google Identität oder OneLogin als Identitätsanbieter verwenden, aktivieren Sie diese Einstellung, um die Übergabe des Anwendungsbereichs offline_access an den Identitätsanbieter zu blockieren. Dadurch wird sichergestellt, dass die Konfiguration mit Qlik Sense Mobile SaaS- und OAuth 2.0-Anwendungen korrekt funktioniert.

Signaturalgorithmus für ID-Token

Der RSA-Signaturalgorithmus gewährleistet die Authentifizierung und Integrität von ID-Token. Qlik Cloud unterstützt zwei Optionen:

  • RS256 (Standard)

  • RS512

Wählen Sie einen Algorithmus aus, der Ihren Sicherheitsanforderungen entspricht.

Verifizierung und Entschlüsselung der Token-Signatur

Erstellen Sie Schlüsselpaare zum Überprüfen von Signaturen und zum Entschlüsseln von verschlüsselten JSON Web Token (JWT). Detaillierte Anweisungen hierzu finden Sie unter Verwalten von Schlüsselpaaren für signierte und verschlüsselte ID-Token.

Erstellen der Konfiguration für einen neuen interaktiven SAML-IdP

Mandantenadministratoren können neue IdP-Konfigurationen erstellen. Sie können jeweils nur einen interaktiven IdP haben. Wenn Sie bereits einen aktiven IdP haben, müssen Sie diesen zuerst deaktivieren, um den neuen aktivieren zu können. Weitere Informationen finden Sie unter Ändern von Unternehmens-IdP-Konfigurationen.

Dieses Thema beschreibt das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud. Sie müssen auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Themen:

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter und klicken Sie auf Neu erstellen.

  2. Wählen Sie als Typ die Option SAML aus.

  3. Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.

  4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

  5. Unter Konfiguration haben Sie die Möglichkeit, entweder die SAML XML-Metadaten von Ihrem Identitätsanbieter hochzuladen oder manuell einzelne Werte einzugeben.

    Gehen Sie folgendermaßen vor:

    1. Wählen Sie IdP-Metadaten verwenden aus.

    2. Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die Datei mit den Metadaten Ihres Identitätsanbieters aus. Wenn die Metadaten Ihres Identitätsanbieters nicht als Datei verfügbar sind, können Sie alternativ die Metadaten direkt kopieren und in das Feld IdP-Metadaten einfügen.

    oder

    1. Klicken Sie unter Signaturzertifikate auf Datei hochladen, um die Zertifikatdatei hochzuladen.
      Dies ist das Zertifikat, das vom Identitätsanbieter zum Signieren der an Qlik Cloud gesendeten SAML-Assertions verwendet wird.

    2. Geben Sie die Entitäts-ID Ihres Identitätsanbieters ein.

    3. Geben Sie die Single Sign-On-URL ein.

      Dies ist der Endpunkt, an den die SAML-Authentifizierungsanforderungen gesendet werden. An diese URL wird der Benutzer zur Authentifizierung umgeleitet.

    4. Wählen Sie ein Namens-ID-Format aus.

    Konfiguration mit Metadaten und manueller Konfiguration.

    Konfigurationsfenster mit und ohne Verwendung von IdP-Metadaten

  6. Wählen Sie optional IdP-initiierte Anmeldung aktivieren aus.

    Beim Standard-Anmeldeablauf geht der Benutzer zuerst zu Qlik Cloud und wird dann zur Authentifizierung an den IdP umgeleitet. Aktivieren Sie die IdP-initiierte Anmeldung, wenn Sie möchten, dass sich der Benutzer zuerst beim Identitätsanbieter anmeldet und dann an Qlik Cloud umgeleitet wird.

  7. Ändern Sie die Felder unter Anspruchszuordnung oder behalten Sie die Standardwerte bei.

    Die Anspruchszuordnung definiert, wie die Benutzerattribute vom Identitätsanbieter mit den Feldern im Qlik Cloud Benutzermodell verknüpft werden. Zuordnungen sind für sub, name, email, groups und picture verfügbar. Passen Sie die Werte entsprechend den Bedürfnissen Ihrer Organisation und den Attributen Ihres Identitätsanbieters an.

    Informationshinweis

    • Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.

    • Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.

  8. Konfigurieren Sie optional unter Erweiterte Optionen die Option Umleitungs-URI nach der Abmeldung.

    Sie wird verwendet, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten. Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

  9. Klicken Sie auf Erstellen.

    Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.

    Die Metadaten und Signaturzertifikate des SAML-Dienstanbieters sind erst nach Erstellen des IdP verfügbar. Wenn Sie diese Informationen zum Einrichten des Identitätsanbieters benötigen, können Sie den IdP zunächst ohne Validierung erstellen und ihn dann validieren, nachdem die Identitätsanbieterkonfiguration abgeschlossen ist.

    • Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um eine Anmeldung vorzunehmen und zu bestätigen, dass die Benutzerprofildaten korrekt sind.

    • Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf Mehr klicken und Validieren auswählen.

    Die IdP-Konfiguration wird validiert und erstellt.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

Hochladen der Dienstanbietermetadaten an Ihren Identitätsanbieter

Gehen Sie folgendermaßen vor:

  1. Klicken Sie im Aktivitätscenter Verwaltung für die neu erstellte IdP-Konfiguration auf Mehr und wählen Sie Anbieterkonfiguration anzeigen aus.

    Ein Dialogfeld zeigt die Metadaten des Dienstanbieters und die URL zum Metadaten-Endpunkt.

    Metadaten des Dienstanbieters.

    Bestätigungsdialogfeld mit ausgewählter Option „IdP validieren“.

  2. Abhängig von der Einrichtung bei Ihrem Identitätsanbieter laden Sie entweder die Metadatendatei herunter oder kopieren die URL und speichern sie zur späteren Verwendung. Laden Sie bei Bedarf die Signaturzertifikatdatei herunter. Klicken Sie auf Erledigt.

  3. Geben Sie bei Ihrem Identitätsanbieter die Metadaten des Dienstanbieters ein. Sie müssen die folgenden erforderlichen Einstellungen konfigurieren:

    • ACS-URL (Assertion Consumer Service). Hierhin sendet der Identitätsanbieter die SAML-Assertions nach der Authentifizierung.

    • Entitäts-ID des Dienstanbieters.

    • Das Zertifikat für die Validierung von Authentifizierungsanfragen. Es wird vom Identitätsanbieter verwendet, um die Echtheit des Dienstanbieters zu überprüfen.

  4. Nach Abschluss der Konfiguration des Identitätsanbieters können Sie Ihre IdP-Konfiguration im Aktivitätscenter Verwaltung validieren. Klicken Sie in Ihrer Konfiguration auf Mehr und wählen Sie Validieren aus. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.

Aktivieren der automatischen Gruppenerstellung

Gruppen werden für die Benutzerzugriffskontrolle verwendet und können automatisch über IdP-Gruppen erstellt werden. Bei Aktivierung der automatischen Gruppenerstellung werden Gruppen vom Identitätsanbieter übernommen, sodass der Zugriff denselben Gruppen von Benutzern gewährt werden kann, die im IdP vorhanden sind. Dadurch wird die Zugriffsverwaltung im Vergleich zur benutzerspezifischen Zugriffserteilung vereinfacht.

Während sich Benutzer anmelden, werden neue IdP-Gruppen dynamisch in Qlik Cloud angezeigt. Diese Gruppen werden nicht alle gleichzeitig importiert. IdP-Gruppen werden während des Anmeldeprozesses erkannt. Nur Gruppen, die Qlik Cloud-Benutzern zugeordnet sind, stehen zur Verfügung.

Zum Konfigurieren von Gruppen müssen Sie Single Sign-On verwenden und administrativen Zugriff auf Ihren IdP haben.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zur Seite Einstellungen.
  2. Wählen Sie unter Funktionssteuerung die Option Gruppenerstellung aus.
VERWANDTE LERNINHALTE:

Weitere Informationen

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab