Administrar proveedores de identidad
En Qlik Sense Enterprise SaaS, puede usar un proveedor de identidad ya existente (IdP) al configurar su implementación. También puede optar por usar Qlik Account. En Qlik Sense Business, solo puede usar Qlik Account.
Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Sense Enterprise SaaS. También debe realizar configuraciones en el lado del proveedor de identidad. Para un recorrido por dichas configuraciones, consulte los siguientes recursos:
Usar Salesforce.com como IDP para Qlik Sense Enterprise SaaS (autenticación OIDC)
Usar los Servicios de federación de Active Directory como IDP para Qlik Sense Enterprise SaaS
Cómo: Configurar Qlik Sense Enterprise SaaS para usar Azure AD como IdP
Crear una nueva configuración de proveedor de identidad
Haga lo siguiente:
-
En Management Console, abra la sección Proveedor de identidad.
-
Haga clic en Crear nuevo.
Se abre la página para crear una configuración de IdP.
-
Seleccione el tipo de IdP:
- Interactivo para inicio de sesión de usuarios
- Máquina a máquina (M2M) para acceso de
- Multicloud para introducir su token de portador local a fin de crear la configuración del proveedor de identidad, vea Despliegues MSC (solo en inglés)
-
Seleccione su proveedor IdP. Seleccione Genérico si su IdP en concreto no está disponible como opción.
-
Si lo desea, inserte una descripción.
-
Complete los campos en la sección Credenciales de la aplicación:
-
El primer campo es la URL al punto de conexión que proporciona información de configuración para que los clientes de
-
- Auth0: Configuración de OpenID
-
- Okta/Generic: URI de metadatos de OpenID Connect
-
Configuración manual
A veces, una URL de descubrimiento no está disponible o no proporciona los metadatos adecuados. En lugar de introducir una URL de punto de conexión para la recuperación de metadatos, introduzca los datos correspondientes en el formulario. Utilice la configuración manual solo si no ha introducido ninguna URL de descubrimiento.
Haga lo siguiente:
-
En el panel de configuración Crear proveedor de identidad, seleccione un proveedor.
-
Active la Configuración manual.
Esto deshabilita el campo de configuración de OpenID y habilita los campos para la configuración manual.
-
Añada el Emisor, una URL al proveedor de identidad.
-
Añada Punto de conexión de autorización, una URL para interactuar con el propietario del recurso, donde obtendrá la autorización para acceder al recurso.
-
Añada Punto de conexión de token, una URL para obtener un token de acceso.
-
Añada Punto de conexión de info de usuario, una URL para obtener información de usuario.
-
Añada
-
Opcionalmente, agregue Punto de conexión de fin de sesión, la URL utilizada para activar un cierre de sesión único.
-
Opcionalmente, agregue Punto de conexión de introspección, la URL para validar los tokens de referencia o JWTs.
-
Complete los campos en la sección Asignación de notificaciones.
Las notificaciones son declaraciones (pares de nombres/valores) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio
- sub, name, groups, email, client_id, picture
Se requiere una notificación de grupos para recibir grupos.
- sub, name, groups, email, client_id, picture
-
En su proveedor de identidad, incluya la URL del espacio empresarial en la lista de permitidos. La configuración tiene diferentes nombres, por ejemplo: URL de devolución de llamadas permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.
Cuando la vaya a incluir en la lista de permitidos, debe agregar login/callback a la dirección del espacio empresarial. Ejemplo: https://<nombre de espacio empresarial>/login/callback.
Nota: Debe usar el nombre de host original y no el nombre de host alias al configurar el URI de redireccionamiento. Encontrará el nombre de host en Configuración > Espacio empresarial > Nombre de host.
-
-
ID de cliente (solo para interactivos): ID del cliente configurado en el IdP para la autenticación interactiva de los usuarios.
-
Secreto de cliente (solo para interactivo): Secreto para el cliente configurado en el IdP.
-
Dominio (opcional): Nombre para asociar con el IdP. Esto es lo mismo que el nombre de dominio en Qlik Sense Enterprise on Windows y se usa para la consistencia de nombres en múltiples nubes.
-
-
Complete los campos en la sección Asignación de notificaciones.
Las notificaciones son declaraciones (pares de nombres/valores) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio
- sub, name, groups, email, client_id, picture
Se requiere una notificación de grupos para recibir grupos.
- sub, name, groups, email, client_id, picture
-
En su proveedor de identidad, incluya la URL del espacio empresarial en la lista de permitidos. La configuración tiene diferentes nombres, por ejemplo: URL de devolución de llamadas permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.
Cuando la vaya a incluir en la lista de permitidos, debe agregar login/callback a la dirección del espacio empresarial. Ejemplo: https://<nombre de espacio empresarial>/login/callback.
Nota: Debe usar el nombre de host original y no el nombre de host alias al configurar el URI de redireccionamiento. Encontrará el nombre de host en Configuración > Espacio empresarial > Nombre de host.
Opciones avanzadas
Las opciones avanzadas amplían las capacidades de algunos IdP.
Anulación de correo electrónico verificado: Se utiliza en
Ámbito: Se utiliza en la especificación
URI de redireccionamiento posterior al cierre de sesión (opcional): Se utiliza para redirigir a un usuario a un URI definido después de cerrar la sesión.
Para ver un ejemplo de cómo usar el URI de redireccionamiento posterior al cierre de sesión, vea: IdP: Usar URI de redireccionamiento posterior al cierre de sesión.
Habilitar la creación automática de grupos
Habilitar la creación automática de grupos se habilita en la página Configuración de Management Console.
Groups are used for access control of users, and can optionally be automatically created from idp-groups.
| Property | Description |
|---|---|
| Enable auto-creation of groups |
When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time. It is required that you use single sign-on and have administrative access to your IdP to configure groups. Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier. |
Haga lo siguiente:
- En Management Console, vaya a la página Configuración.
- En la sección Grupos, pulse el botón Habilitar la creación automática de grupos.
Hacer cambios en una configuración existente de IdP
Puede hacer cambios en una configuración de IdP.
Haga lo siguiente:
-
En Management Console, abra la sección Proveedor de identidad.
-
En la tabla, en el extremo situado más a la derecha, haga clic en ... del IdP que desee editar.
Se muestra un submenú con opciones para activar/desactivar, validar, editar y eliminar IdP.
Activar/Desactivar el IdP
Puede tener varios IdP interactivos diferentes configurados en paralelo, pero solo uno activo a la vez. Los otros deben desactivarse o eliminarse. Cuando desactiva un IdP interactivo, automáticamente vuelve a la configuración de Qlik Account. Para más información, vea Eliminar el IdP.
Validar el IdP
La validación se produce automáticamente cuando se guarda un IdP interactivo, pero también puede activar manualmente una validación si es necesario, por ejemplo, después de editar el IdP. Cuando selecciona Validar, le lleva al proveedor de identidad para iniciar sesión, y luego una serie de otros pasos de validación.
Editar el IdP
Puede editar IdP de todo tipo. Después de editarlos, valide sus cambios para asegurarse de que el IdP funciona correctamente. La opción Validar no está disponible para configuraciones de máquina a máquina.
Eliminar el IdP
En Qlik Sense Enterprise SaaS, el valor predeterminado de IdP es Qlik Account. Puede pasar a un IdP corporativo de su elección. Si posteriormente decide eliminar el IdP corporativo, debe tener en cuenta las consecuencias.
Cuando elimina un IdP corporativo, el espacio empresarial de inquilinos vuelve a ser una Qlik Account. Los usuarios que acceden al espacio empresarial de inquilinos a través del IdP corporativo ya no pueden iniciar sesión, ni pueden acceder al contenido que crearon. Sin embargo, su contenido estará visible para los administradores de espacios empresariales de Qlik Account que cambiaron los ajustes de propiedad.
Además, si esos usuarios utilizaron Qlik Account previamente con la misma dirección de correo electrónico que la del IdP corporativo, cualquier contenido creado durante el período de Qlik Account se mantiene.