Erstellen der Konfiguration für einen interaktiven SAML-IdP

In diesem Thema wird das Konfigurieren der Identitätsanbietereinstellungen in Qlik Cloud beschrieben.

Konfiguration auf Seite des Identitätsanbieters

Zusätzlich zur Konfiguration in Qlik Cloud müssen Sie auch Konfigurationen auf der Seite des Identitätsanbieters vornehmen. Eine Anleitung für diese Konfigurationen finden Sie in den folgenden Themen:

Konfiguration in Qlik Cloud

Mandantenadministratoren können neue IdP-Konfigurationen erstellen.

Gehen Sie folgendermaßen vor:

1. Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter und klicken Sie auf Neu erstellen.

2. Wählen Sie als Typ die Option SAML aus.

3. Wählen Sie für Anbieter einen Identitätsanbieter aus der Liste aus, oder wählen Sie Generisch, wenn Ihr spezifischer Anbieter nicht aufgelistet ist.

4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

5. Unter Konfiguration haben Sie die Möglichkeit, entweder die SAML XML-Metadaten von Ihrem Identitätsanbieter hochzuladen oder manuell einzelne Werte einzugeben.

   Gehen Sie folgendermaßen vor:

   1. Wählen Sie IdP-Metadaten verwenden aus.

   2. Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die Datei mit den Metadaten Ihres Identitätsanbieters aus. Wenn die Metadaten Ihres Identitätsanbieters nicht als Datei verfügbar sind, können Sie alternativ die Metadaten direkt kopieren und in das Feld IdP-Metadaten einfügen.

   oder

   1. Klicken Sie unter Signaturzertifikate auf Datei hochladen, um die Zertifikatdatei hochzuladen.
      Dies ist das Zertifikat, das vom Identitätsanbieter zum Signieren der an Qlik Cloud gesendeten SAML-Assertions verwendet wird.

   2. Geben Sie die Entitäts-ID Ihres Identitätsanbieters ein.

   3. Geben Sie die Single Sign-On-URL ein.

      Dies ist der Endpunkt, an den die SAML-Authentifizierungsanforderungen gesendet werden. An diese URL wird der Benutzer zur Authentifizierung umgeleitet.

   4. Wählen Sie ein Namens-ID-Format aus.

   

6. Wählen Sie optional IdP-initiierte Anmeldung aktivieren aus.

   Beim Standard-Anmeldeablauf geht der Benutzer zuerst zu Qlik Cloud und wird dann zur Authentifizierung an den IdP umgeleitet. Aktivieren Sie die IdP-initiierte Anmeldung, wenn Sie möchten, dass sich der Benutzer zuerst beim Identitätsanbieter anmeldet und dann an Qlik Cloud umgeleitet wird.

7. Ändern Sie die Felder unter Anspruchszuordnung oder behalten Sie die Standardwerte bei.

   Die Anspruchszuordnung definiert, wie die Benutzerattribute vom Identitätsanbieter mit den Feldern im Qlik Cloud Benutzermodell verknüpft werden. Zuordnungen sind für sub, name, email, groups und picture verfügbar. Passen Sie die Werte entsprechend den Bedürfnissen Ihrer Organisation und den Attributen Ihres Identitätsanbieters an.

   Informationshinweis

   • Sie können mehrere durch Komma getrennte Lookup-Werte in die Eingabefelder eingeben. Der erste gefundene Nullwert wird verwendet.

   • Der Anspruch groups ist zum Erhalten von Gruppen erforderlich. Verschachtelte Gruppen werden in Microsoft Entra ID nicht unterstützt.

8. Konfigurieren Sie optional unter Erweiterte Optionen die Option Umleitungs-URI nach der Abmeldung.

   Sie wird verwendet, um einen Benutzer nach der Abmeldung zu einer definierten URI umzuleiten. Ein Beispiel zur Verwendung der Umleitungs-URI nach der Abmeldung finden Sie unter Verwenden der Umleitungs-URI nach der Abmeldung.

9. Klicken Sie auf Erstellen.

   Ein Bestätigungsdialogfeld wird mit der Option angezeigt, die IdP-Konfiguration zu validieren.

   Die Metadaten und Signaturzertifikate des SAML-Dienstanbieters sind erst nach Erstellen des IdP verfügbar. Wenn Sie diese Informationen zum Einrichten des Identitätsanbieters benötigen, können Sie den IdP zunächst ohne Validierung erstellen und ihn dann validieren, nachdem die Identitätsanbieterkonfiguration abgeschlossen ist.

   • Wählen Sie zum sofortigen Validieren die Option IdP validieren aus und klicken Sie auf Erstellen. Dadurch wird der Validierungsprozess eingeleitet. Folgen Sie den Schritten im Validierungsassistenten, um eine Anmeldung vorzunehmen und zu bestätigen, dass die Benutzerprofildaten korrekt sind.

   • Wenn Sie die Konfiguration jetzt erstellen, aber später validieren möchten, deaktivieren Sie das Kontrollkästchen IdP validieren und klicken Sie auf Erstellen. Sie können später validieren, indem Sie in Ihrer IdP-Konfiguration auf klicken und Validieren auswählen.

   

Hochladen der Dienstanbietermetadaten an Ihren Identitätsanbieter

Gehen Sie folgendermaßen vor:

1. Klicken Sie im Aktivitätscenter Verwaltung für die neu erstellte IdP-Konfiguration auf und wählen Sie Anbieterkonfiguration anzeigen aus.

   Ein Dialogfeld zeigt die Metadaten des Dienstanbieters und die URL zum Metadaten-Endpunkt.

   

2. Abhängig von der Einrichtung bei Ihrem Identitätsanbieter laden Sie entweder die Metadatendatei herunter oder kopieren die URL und speichern sie zur späteren Verwendung. Laden Sie bei Bedarf die Signaturzertifikatdatei herunter. Klicken Sie auf Erledigt.

3. Geben Sie bei Ihrem Identitätsanbieter die Metadaten des Dienstanbieters ein. Sie müssen die folgenden erforderlichen Einstellungen konfigurieren:

   • ACS-URL (Assertion Consumer Service). Hierhin sendet der Identitätsanbieter die SAML-Assertions nach der Authentifizierung.

   • Entitäts-ID des Dienstanbieters.

   • Das Zertifikat für die Validierung von Authentifizierungsanfragen. Es wird vom Identitätsanbieter verwendet, um die Echtheit des Dienstanbieters zu überprüfen.

4. Nach Abschluss der Konfiguration des Identitätsanbieters können Sie Ihre IdP-Konfiguration im Aktivitätscenter Verwaltung validieren. Klicken Sie in Ihrer Konfiguration auf und wählen Sie Validieren aus. Folgen Sie den Schritten im Validierungsassistenten, um sich anzumelden und zu prüfen, ob die Benutzerprofildaten korrekt sind.