Saltar al contenido principal
Crear una nueva configuración de proveedor de identidad

EN ESTA PÁGINA

Crear una nueva configuración de proveedor de identidad

El administrador del espacio empresarial inquilino puede crear nuevas configuraciones de IdP desde la Consola de gestión. Qlik Sense SaaS proporciona la configuración de IdP para el inicio de sesión del usuario, el acceso a la API y la configuración de múltiples nubes.

Haga lo siguiente:

  1. En Consola de gestión, abra la sección Proveedor de identidad.

  2. Haga clic en Crear nuevo.

    Se abre la página para crear una configuración de IdP.

  3. Seleccione el tipo de IdP:

    • Interactivo para inicio de sesión de usuarios
    • Máquina a máquina (M2M) para acceso de API 
    • Multicloud para introducir su token de portador local a fin de crear la configuración del proveedor de identidad, vea Despliegues MSC (solo en inglés)
  4. Seleccione su proveedor IdP. Seleccione Genérico si su IdP en concreto no está disponible como opción.

  5. Si lo desea, inserte una descripción.

  6. Complete los campos en la sección Credenciales de la aplicación:

    1. El primer campo es la URL al punto de conexión que proporciona información de configuración para que los clientes de OAuth puedan interactuar con el IdP mediante el protocolo OpenID Connect. Va por diferentes nombres:

      • ADFS: ADFS URL de detección de
      • Auth0: Configuración de OpenID
      • Keycloak: Configuración del punto de conexión OpenID de Keycloak
      • Okta/Generic: URI de metadatos de OpenID Connect
      • Salesforce: URL de detección de Salesforce

      Configuración manual

      A veces, una URL de descubrimiento no está disponible o no proporciona los metadatos adecuados. En lugar de introducir una URL de punto de conexión para la recuperación de metadatos, introduzca los datos correspondientes en el formulario. Utilice la configuración manual solo si no ha introducido ninguna URL de descubrimiento.

      1. En el panel de configuración Crear proveedor de identidad, seleccione un proveedor.

      2. Active la Configuración manual.

        Esto deshabilita el campo de configuración de OpenID y habilita los campos para la configuración manual.

      3. Añada el Emisor, una URL al proveedor de identidad.

      4. Añada Punto de conexión de autorización, una URL para interactuar con el propietario del recurso, donde obtendrá la autorización para acceder al recurso.

      5. Añada Punto de conexión de token, una URL para obtener un token de acceso.

      6. Añada Punto de conexión de info de usuario, una URL para obtener información de usuario.

      7. Añada JWKS URI, una URI al JSON Web Key Set que contiene claves públicas utilizadas para la verificación de un JSON Web Token (JWT).

      8. Opcionalmente, agregue Punto de conexión de fin de sesión, la URL utilizada para activar un cierre de sesión único.

      9. Opcionalmente, agregue Punto de conexión de introspección, la URL para validar los tokens de referencia o JWTs.

      10. Complete los campos en la sección Asignación de notificaciones.

        Las notificaciones son declaraciones (pares de nombres/valores) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio OpenID Connect. Para cada notificación puede usar múltiples valores, separados por comas.

        • sub, name, groups, email, client_id, picture, email_verified (opcional) si son interactivos y sub y client_id si son de máquina a máquina.
          Se requiere una notificación de grupos para recibir grupos.
      11. En su proveedor de identidad, incluya la URL del espacio empresarial en la lista de permitidos. La configuración tiene diferentes nombres, por ejemplo: URL de devolución de llamadas permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.

        Cuando la vaya a incluir en la lista de permitidos, debe agregar login/callback a la dirección del espacio empresarial. Ejemplo: https://<nombre de espacio empresarial>/login/callback.

        Nota informativaDebe usar el nombre de host original y no el nombre de host alias al configurar el URI de redireccionamiento. Encontrará el nombre de host en Configuración > Espacio empresarial > Nombre de host.
    2. ID de cliente (solo para interactivos): ID del cliente configurado en el IdP para la autenticación interactiva de los usuarios.

    3. Secreto de cliente (solo para interactivo): Secreto para el cliente configurado en el IdP.

    4. Dominio (opcional): Nombre para asociar con el IdP. Esto es lo mismo que el nombre de dominio en Qlik Sense Enterprise on Windows y se usa para la consistencia de nombres en múltiples nubes.

  7. Complete los campos en la sección Asignación de notificaciones.

    Las notificaciones son declaraciones (pares de nombres/valores) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio OpenID Connect. Para cada notificación puede usar múltiples valores, separados por comas.

    • sub, name, groups, email, client_id, picture, email_verified (opcional) si son interactivos y sub y client_id si son de máquina a máquina.
      Se requiere una notificación de grupos para recibir grupos.
  8. En su proveedor de identidad, incluya la URL del espacio empresarial en la lista de permitidos. La configuración tiene diferentes nombres, por ejemplo: URL de devolución de llamadas permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.

    Cuando la vaya a incluir en la lista de permitidos, debe agregar login/callback a la dirección del espacio empresarial. Ejemplo: https://<nombre de espacio empresarial>/login/callback.

    Nota informativaDebe usar el nombre de host original y no el nombre de host alias al configurar el URI de redireccionamiento. Encontrará el nombre de host en Configuración > Espacio empresarial > Nombre de host.

Opciones avanzadas

Las opciones avanzadas amplían las capacidades de algunos IdP.

Anulación de correo electrónico verificado: Se utiliza en ADFS y Azure AD para garantizar que la dirección de correo electrónico de un usuario se pueda utilizar para la asignación de identidad. Esta opción es útil al cambiar de IdP, pero también en Consola de gestión para distinguir a dos usuarios que tengan el mismo nombre exacto.

Ámbito: Se utiliza en la especificación OAuth 2.0 para especificar los privilegios de acceso al emitir un token de acceso. Por ejemplo, utilice esta opción para agregar un ámbito a determinados grupos en caso de que IdP lo requiera para admitir una función de grupos de usuarios.

URI de redireccionamiento posterior al cierre de sesión (opcional): Se utiliza para redirigir a un usuario a un URI definido después de cerrar la sesión.

Para ver un ejemplo de cómo usar el URI de redireccionamiento posterior al cierre de sesión, vea: Usar URI de redireccionamiento posterior al cierre de sesión.

Bloquear el paso del alcance "offline_access" al proveedor de identidad: Cuando se utiliza Google Identity o OneLogin como proveedor de identidad, este parámetro debe estar activo para que la configuración funcione con aplicaciones de Qlik Sense Mobile for SaaS y OAuth 2.0.

Habilitar la creación automática de grupos

Habilitar la creación automática de grupos se habilita en la página Configuración de Consola de gestión.

Los grupos se utilizan para control de acceso de los usuarios y, opcionalmente, pueden crearse automáticamente desde grupos IDP.

Propiedad Habilitar la creación automática de grupos
Propiedad Descripción
Habilitar la creación automática de grupos

Cuando se habilita, los grupos se heredan del proveedor de identidad para que se pueda conceder acceso a los mismos grupos de usuarios que existen en IdP. De este modo se simplifica la administración de los accesos, en vez de tener que concederlos a cada usuario de forma individual.

Para poder configurar los grupos, debe utilizar el inicio de sesión único y debe tener acceso de administrador a su IdP.

Tenga en cuenta que los nuevos grupos IdP aparecerán en Qlik Sense Enterprise cuando los usuarios inicien sesión (o vuelvan a iniciar sesión) en el espacio empresarial de inquilinos de Qlik Sense Enterprise. IdP Los grupos no se importan todos al mismo tiempo. En lugar de esto, los grupos IdP se descubren al momento de iniciar sesión. Además, solo los grupos asociados con los usuarios de Qlik Sense Enterprise estarán disponibles, tal como se describió anteriormente.

Haga lo siguiente:

  1. En Consola de gestión, vaya a la página Configuración.
  2. En la sección Grupos, pulse el botón Habilitar la creación automática de grupos.

Elimine este texto y reemplácelo por su propio contenido.