Erstellen der Konfiguration für einen interaktiven OIDC-IdP

In diesem Thema wird das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud beschrieben.

Konfiguration auf Seite des Identitätsanbieters

Zusätzlich zur Konfiguration in Qlik Cloud müssen Sie auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Ressourcen:

Verwenden von Salesforce.com als IDP für Qlik Sense Enterprise SaaS (OIDC-Authentifizierung)
Verwenden der Active Directory Federation Services als IDP für Qlik Sense Enterprise SaaS
Konfigurieren von Qlik Sense Enterprise SaaS für die Verwendung von Azure AD als IdP

Konfiguration in Qlik Cloud

Mandantenadministratoren können neue IdP-Konfigurationen erstellen.

Sie können jeweils nur einen interaktiven IdP haben. Wenn Sie bereits einen aktiven IdP haben, müssen Sie diesen zuerst deaktivieren, um den neuen aktivieren zu können. Weitere Informationen finden Sie unter Wechsel des Unternehmens-Identitätsanbieters.

Gehen Sie folgendermaßen vor:

Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter und klicken Sie auf Neu erstellen.
Wählen Sie als Typ die Option OIDC aus.
Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.
Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.
Unter Anwendungsanmeldedaten können Sie die Erkennungs-URL eingeben. Wenn keine Erkennungs-URL verfügbar ist oder keine passenden Metadaten bereitgestellt werden, haben Sie auch die Option, manuell einzelne Werte einzugeben. Die manuelle Konfiguration sollte nur verwendet werden, wenn keine Erkennungs-URL eingegeben wurde.

Gehen Sie folgendermaßen vor:
1. Geben Sie die Erkennungs-URL ein. Dies ist die URL zum Endpunkt, die Konfigurationsdaten für die OAuth-Clients zur Kommunikation mit dem IdP über das OpenID Connect-Protokoll bereitstellt. Die Benennungskonventionen für die Erkennungs-URL sind je nach gewähltem Anbieter unterschiedlich:
  - ADFS: ADFS-Erkennungs-URL
  - Auth0: OpenID-Konfiguration
  - Keycloak: Keycloak OpenID-Endpunktkonfiguration
  - Okta oder generischer IdP: Metadaten-URI für OpenID Connect
  - Salesforce: Salesforce-Erkennungs-URL
oder
1. Wählen Sie Manuelle Konfiguration aus.
2. Geben Sie Werte für die folgenden Felder ein:
  - Autorisierungsendpunkt: Die URL für die Interaktion mit dem Ressourcenbesitzer, unter der Sie die Autorisierung für den Zugriff auf die Ressource erhalten.
  - Sitzung-beenden-Endpunkt (optional): Die URL zum Auslösen eines Single Sign-Out.
  - Introspektionsendpunkt (optional): Die URL zum Validieren von Referenztoken oder JWTs.
  - Aussteller: Die URL zum Identitätsanbieter.
  - JWKS-URI: Die URI zum JSON Web Key Set, das öffentliche Schlüssel für die Verifizierung eines JSON Web Token (JWT) enthält.
  - Token-Endpunkt: Die URL zum Erhalten eines Zugriffstokens.
  - Benutzerinformationsendpunkt (optional): Die URL zum Abrufen der Benutzerinformationen.
Konfiguration mit der Erkennungs-URL und manueller Konfiguration.
Geben Sie die Client-ID ein: Die ID des konfigurierten Client beim IdP für eine interaktive Benutzerauthentifizierung.
Geben Sie den geheimen Client-Schlüssel ein: Dies ist der Schlüssel für den beim IdP konfigurierten Client.
Geben Sie optional einen Bereich ein. Dies ist der Name, der mit dem IdP verknüpft werden muss. Er entspricht dem Domänennamen in Qlik Sense Enterprise on Windows und wird verwendet, um für einheitliche Benennung in Multi-Cloud zu sorgen.
Füllen Sie die Felder unter Anspruchszuordnung aus.

Ansprüche sind Anweisungen (Name/Wert-Paare) zur Entität (in vielen Fällen der Benutzer) und Metadaten zum OpenID Connect-Dienst. Zuordnungen sind für sub, name, groups, email, client_id, picture und email_verified (optional) verfügbar.
Informationshinweis
- Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.
- Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.
Konfigurieren Sie optional die erweiterten Optionen. Weitere Details finden Sie unter Erweiterte Optionen.
Klicken Sie auf Erstellen.

Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.
- Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.
- Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf klicken und Validieren auswählen.
Die IdP-Konfiguration wird validiert und erstellt.

Hinzufügen der Mandanten-URL zur Zulassungsliste Ihres Identitätsanbieters

Fügen Sie bei Ihrem Identitätsanbieter die Mandanten-URL der Zulassungsliste hinzu. Die Einstellung kann unterschiedliche Namen haben, zum Beispiel „Zulässige Callback-URLs“, „Umleitungs-URI“ oder „Anmelde-Umleitungs-URI“.

Wenn Sie die URL hinzufügen, müssen Sie login/callback an die Mandantenadresse anhängen: https://<mandantenname>/login/callback.

Sie müssen den ursprünglichen Hostnamen und nicht den Alias-Hostnamen des Mandanten verwenden, wenn Sie die Umleitungs-URI festlegen. Sie finden den Mandantenhostnamen in Ihrem Benutzerprofil im Abschnitt Info.

Erweiterte Optionen

Die erweiterten Optionen bieten zusätzliche Funktionen für bestimmte Identitätsanbieter.

„E-Mail überprüft“ überschreiben

Aktivieren Sie diese Einstellung, um den Anspruch email_verified immer auf "wahr" zu setzen. Dadurch wird sichergestellt, dass E-Mail-Adressen für die Identitätszuordnung in ADFS und Microsoft Entra ID verwendet werden können. Dies ist besonders bei einem Wechsel von IdPs nützlich und hilft dabei, zwischen Benutzern mit identischen Namen im Aktivitätscenter Verwaltung zu unterscheiden.

Anwendungsbereich

Anwendungsbereiche definieren die Zugriffsberechtigungen, die bei der Ausgabe eines Zugriffstoken gemäß der OAuth 2.0-Spezifikation angefordert werden. Geben Sie durch Leerzeichen getrennte Werte ein, um die Berechtigungen anzugeben, die Sie beim Identitätsanbieter anfordern möchten. Schließen Sie zum Beispiel einen Anwendungsbereich für Gruppen ein, wenn der IdP die Unterstützung von Funktionen für Benutzergruppen verlangt.

Umleitungs-URI nach der Abmeldung

Verwenden Sie dieses Feld, um eine URI anzugeben, an den Benutzer nach dem Abmelden weitergeleitet werden. Detaillierte Anweisungen hierzu finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

offline_access blockieren

Wenn Sie Google Identität oder OneLogin als Identitätsanbieter verwenden, aktivieren Sie diese Einstellung, um die Übergabe des Anwendungsbereichs offline_access an den Identitätsanbieter zu blockieren. Dadurch wird sichergestellt, dass die Konfiguration mit Qlik Sense Mobile SaaS- und OAuth 2.0-Anwendungen korrekt funktioniert.

Signaturalgorithmus für ID-Token

Der RSA-Signaturalgorithmus gewährleistet die Authentifizierung und Integrität von ID-Token. Qlik Cloud unterstützt zwei Optionen:

RS256 (Standard)
RS512

Wählen Sie einen Algorithmus aus, der Ihren Sicherheitsanforderungen entspricht.

Verifizierung und Entschlüsselung der Token-Signatur

Erstellen Sie Schlüsselpaare zum Überprüfen von Signaturen und zum Entschlüsseln von verschlüsselten JSON Web Token (JWT). Detaillierte Anweisungen hierzu finden Sie unter Verwalten von Schlüsselpaaren für signierte und verschlüsselte ID-Token.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab