Saltar al contenido principal Saltar al contenido complementario

Crear una nueva configuración de proveedor de identidad

Qlik Cloud proporciona configuración de proveedor de identidad (IdP) para el inicio de sesión de usuario, acceso a API y configuración de múltiples nubes. Cada espacio inquilino de Qlik Cloud admite un IdP interactivo, como Qlik Account, Microsoft Entra ID (anteriormente Azure AD), OKTA, Auth0 u otro IdP compatible con OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

Los administradores de un espacio empresarial inquilino pueden crear varias configuraciones de IdP desde la Consola de gestión:

  • Para iniciar sesión como usuario, configure un IdP interactivo. Elija entre OIDC o SAML, según el estándar admitido por su proveedor de identidad.

    Nota informativaSolo puede haber un IdP interactivo activo a la vez. Si implementa su IdP interactivo personalizado, reemplazará el flujo de inicio de sesión en Qlik Account por el proceso de autenticación definido por el IdP de su elección.
  • Para acceder a la API, seleccione autenticación Máquina a máquina (M2M).

  • Para una administración fluida de las identidades en múltiples nubes, configure un IdP multinube con su token de portador local.

Crear una nueva configuración de IdP OIDC interactiva

Los administradores de un espacio empresarial inquilino pueden crear nuevas configuraciones de IdP. Solo puede tener un único IdP interactivo a la vez. Si ya tiene uno activo, primero debe desactivarlo antes de poder activar el nuevo. Para más información, vea Cambiar las configuraciones de IdP corporativas.

Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Cloud. También debe realizar configuraciones en el lado del proveedor de identidad. Para un recorrido por dichas configuraciones, consulte los siguientes recursos:

Haga lo siguiente:

  1. En la Consola de gestión, vaya a Proveedor de identidad y haga clic en Crear nuevo.

  2. En Tipo, seleccione OIDC.

  3. En Proveedor, seleccione un proveedor de identidad de la lista o elija Genérico si su proveedor específico no aparece en la lista.

  4. Opcionalmente, escriba una descripción para la configuración del IdP.

  5. En Credenciales de la aplicación, puede insertar la URL de detección. Si una URL de detección no está disponible o no proporciona metadatos adecuados, también tiene la opción de escribir los valores individuales manualmente. La configuración manual solo debe usarse cuando no se haya insertado una URL de detección.

    Tome una de las opciones siguientes:

    1. Indique la URL de detección. Esta es la URL del punto de conexión que proporciona datos de configuración para que los clientes OAuth interactúen con el IdP mediante el protocolo OpenID Connect. Las convenciones de nomenclatura para la URL de detección varían según el proveedor elegido:

      • ADFS: URL de detección de ADFS

      • Auth0: Configuración de OpenID

      • Keycloak: Configuración del punto de conexión OpenID de Keycloak

      • Okta or Generic IdP: URI de metadatos de OpenID Connect

      • Salesforce: URL de detección de Salesforce

    o bien

    1. Seleccione Configuración manual.

    2. Indique los siguientes valores:

      • Punto de conexión de autorización: La URL para la interacción con el propietario del recurso, donde obtiene la autorización para acceder al recurso.

      • Punto de conexión de fin de sesión (opcional): La URL utilizada para activar un cierre de sesión único.

      • Punto de conexión de introspección (opcional): La URL para validar tokens de referencia o JWT.

      • Emisor: La URL del proveedor de identidad.

      • URI de JWKS: El URI del conjunto de claves web JSON que contiene las claves públicas utilizadas para la verificación de un token web JSON (JWT).

      • Punto de conexión de token: La URL para obtener un token de acceso.

      • Punto de conexión de info de usuario (opcional): La URL para obtener información del usuario.

    Configuración mediante la URL de detección y configuración manual.

    Se muestran paneles de configuración con y sin utilizar la URL de detección.
  6. Indique el ID de cliente: El ID del cliente configurado en el IdP para la autenticación de usuario interactiva.

  7. Indique el Secreto del cliente: El secreto de cliente configurado en el IdP.

  8. Si lo desea, indique un Dominio. Este es el nombre que se asociará con el IdP. Es el mismo que el nombre de dominio de Qlik Sense Enterprise on Windows y se utiliza para la coherencia de nombres en múltiples nubes.

  9. Complete los campos en Asignación de notificaciones.

    Las notificaciones son declaraciones (pares de nombre/valor) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio de OpenID Connect. Hay asignaciones disponibles para sub, name, groups, email, client_id, picture y email_verified (opcional).

    Nota informativa
    • Puede escribir múltiples valores de búsqueda, separados por una coma, en los campos de entrada. Se utilizará el primer valor no nulo que se encuentre.

    • Se requiere una notificación de grupo para poder recibir grupos. Tenga en cuenta que no se admiten grupos anidados en Microsoft Entra ID.

  10. Opcionalmente, configure las opciones avanzadas. Para más detalles, vea Opciones avanzadas.

  11. Haga clic en Crear.

    Aparece un cuadro de diálogo de confirmación con la opción de validar la configuración del IdP.

    • Para validarlo ahora, seleccione Validar IdP y haga clic en Crear. Esto iniciará el proceso de validación. Siga los pasos del asistente de validación para iniciar sesión y verificar que los datos del perfil del usuario sean correctos.

    • Si prefiere crear la configuración ahora pero validarla más tarde, desmarque la casilla Validar IdP y haga clic en Crear. Puede validarlo más tarde haciendo clic en Más en la configuración de su IdP y seleccionando Validar.

    Validar y crear la configuración del IdP.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada

Agregar la URL de su espacio inquilino a la lista de permitidos del proveedor de identidad

En su proveedor de identidad, agregue la URL de su espacio empresarial inquilino a la lista de permitidos. Hay diferentes nombres para esta configuración, por ejemplo, URL de devolución de llamada permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.

Cuando agrega la URL, debe agregar inicio de sesión/devolución de llamada a la dirección de su espacio inquilino, como en https://<nombre del espacio inquilino>/login/callback.

Nota informativaUtilice el nombre de host del espacio inquilino original y no el nombre de host del alias al configurar el URI de redireccionamiento. Encontrará el nombre de host en Configuración > Espacio empresarial inquilino > Nombre de host en la Consola de gestión.

Opciones avanzadas

Las opciones avanzadas amplían las capacidades de algunos IdP.

Anulación de correo electrónico verificado: Se utiliza en ADFS y en Microsoft Entra ID para garantizar que la dirección de correo electrónico de un usuario se pueda utilizar para la asignación de identidad. Esta opción es útil al cambiar de IdP, pero también en la Consola de gestión para distinguir dos usuarios con exactamente el mismo nombre.

Ámbito: Se utiliza en la especificación de OAuth 2.0 para especificar los privilegios de acceso al emitir un token de acceso. Por ejemplo, utilice esta opción para agregar un ámbito a determinados grupos en caso de que el IdP lo requiera para admitir una función de grupos de usuarios.

URI de redireccionamiento posterior al cierre de sesión: Se utiliza para redirigir a un usuario a un URI definido después de cerrar la sesión. Para ver un ejemplo de cómo usar el URI de redireccionamiento posterior al cierre de sesión, vea: Usar URI de redireccionamiento posterior al cierre de sesión.

Bloquear el paso del alcance "offline_access" al proveedor de identidad: Cuando se utiliza Google Identity o OneLogin como proveedor de identidad, esta configuración debe estar activada para que la configuración funcione con las aplicaciones Qlik Sense Mobile SaaS y OAuth 2.0.

Crear una nueva configuración de IdP SAML interactiva

Los administradores de un espacio empresarial inquilino pueden crear nuevas configuraciones de IdP. Solo puede tener un único IdP interactivo a la vez. Si ya tiene uno activo, primero debe desactivarlo antes de poder activar el nuevo. Para más información, vea Cambiar las configuraciones de IdP corporativas.

Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Cloud. También debe realizar configuraciones en el lado del proveedor de identidad. Para un recorrido por dichas configuraciones, consulte los siguientes temas:

Haga lo siguiente:

  1. En la Consola de gestión, vaya a Proveedor de identidad y haga clic en Crear nuevo.

  2. En Tipo, seleccione SAML.

  3. En Proveedor, seleccione un proveedor de identidad de la lista o elija Genérico si su proveedor específico no aparece en la lista.

  4. Opcionalmente, escriba una descripción para la configuración del IdP.

  5. En Configuración, tiene la opción de cargar los metadatos XML SAML desde su proveedor de identidad o insertar manualmente valores individuales.

    Tome una de las opciones siguientes:

    1. Seleccione Metadatos de IdP.

    2. Haga clic en Cargar archivo en Metadatos de IdP de SAML y elija el archivo que contiene metadatos de su proveedor de identidad. Alternativamente, si los metadatos de su proveedor de identidad no están disponibles como archivo, puede copiar y pegar los metadatos directamente en el campo Metadatos del IdP.

    o bien

    1. Haga clic en Cargar archivo en Firma de certificados para cargar el archivo del certificado.
      Este es el certificado utilizado por el proveedor de identidad para firmar las aserciones SAML enviadas a Qlik Cloud.

    2. Indique el ID de entidad de su proveedor de identidad.

    3. Indique la URL de inicio de sesión único.

      Este es el punto final donde se envían las solicitudes de autenticación SAML. Es la URL a la que se redirige al usuario para su autenticación.

    4. Seleccione un Formato de ID de nombre.

    Configuración mediante metadatos y configuración manual.

    Se muestran paneles de configuración con y sin metadatos de IdP
  6. Opcionalmente, seleccione Habilitar inicio de sesión iniciado por IdP.

    El flujo de inicio de sesión predeterminado es que el usuario primero accede a Qlik Cloud y luego es redirigido al IdP para su autenticación. Habilite el inicio de sesión iniciado por el IdP si desea que el usuario inicie sesión primero en el proveedor de identidad y luego sea redirigido a Qlik Cloud.

  7. Modifique los campos en Asignación de notificaciones o mantenga los valores predeterminados.

    Las asignaciones de notificaciones definen cómo se asocian los atributos de usuario de su proveedor de identidad con los campos del modelo de usuario de Qlik Cloud . Hay disponibles notificaciones para sub, name, email, groups y picture. Ajuste los valores según las necesidades de su organización y los atributos de su proveedor de identidad.

    Nota informativa
    • Puede escribir múltiples valores de búsqueda, separados por comas, en los campos de entrada. Se utilizará el primer valor no nulo que se encuentre.

    • Se requiere una notificación de grupo para poder recibir grupos. Los grupos anidados no se admiten en Microsoft Entra ID.

  8. Opcionalmente, configure el URI de redireccionamiento posterior al cierre de sesión en Opciones avanzadas.

    Este se utiliza para redirigir a un usuario a un URI definido después de cerrar sesión. Para ver un ejemplo de cómo usar el URI de redireccionamiento posterior al cierre de sesión, vea: Usar URI de redireccionamiento posterior al cierre de sesión.

  9. Haga clic en Crear.

    Aparece un cuadro de diálogo de confirmación con la opción de validar la configuración del IdP.

    Los metadatos del proveedor de servicios SAML y el certificado de firma están disponibles solo después de crear la configuración del IdP. Si necesita esta información para configurar el proveedor de identidad, puede crear el IdP sin validación inicialmente y validarlo una vez que se complete la configuración en su proveedor de identidad.

    • Para validarlo ahora, seleccione Validar IdP y haga clic en Crear. Esto iniciará el proceso de validación. Siga los pasos del asistente de validación para iniciar sesión y confirmar que los datos del perfil del usuario son válidos.

    • Si prefiere crear la configuración ahora pero validarla más tarde, desmarque la casilla Validar IdP y haga clic en Crear. Puede validarlo más tarde haciendo clic en Más en la configuración de su IdP y seleccionando Validar.

    Validar y crear la configuración del IdP.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada

Cargar los metadatos del proveedor de servicios a su proveedor de identidad

Haga lo siguiente:

  1. En la Consola de gestión, en su configuración de IdP recién creada, haga clic en Más y seleccione Ver configuración del proveedor.

    Un cuadro de diálogo muestra los metadatos del proveedor de servicios y la URL del punto final de metadatos.

    Metadatos del proveedor de servicios.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada
  2. Dependiendo de la configuración de su proveedor de identidad, copie los metadatos o la URL y guárdelos para su uso posterior. Descargue el archivo del certificado de firma, si es necesario. Haga clic en Hecho.

  3. En su proveedor de identidad, indique los metadatos del proveedor de servicios. Asegúrese de configurar los siguientes ajustes necesarios:

    • URL del servicio al consumidor de aserciones (ACS). Aquí es donde el proveedor de identidad envía las aserciones SAML después de la autenticación.

    • ID de entidad del proveedor de servicios.

    • El certificado para validar las solicitudes de autenticación. El proveedor de identidad lo utiliza para verificar la autenticidad del proveedor de servicios.

  4. Una vez que se completa la configuración en su proveedor de identidad, puede validar la configuración de su IdP en la Consola de gestión. Haga clic en Más en su configuración y seleccione Validar. Siga los pasos del asistente de validación para iniciar sesión y verificar que los datos del perfil del usuario sean correctos.

Crear una nueva configuración de IdP de máquina a máquina

Para configurar un IdP de máquina a máquina, siga las instrucciones para Crear una nueva configuración de IdP OIDC interactiva pero seleccione Machine-to-Machine (M2M) como el tipo de IdP.

Algunas de las configuraciones difieren en comparación con la configuración OIDC interactiva: Los campos ID de cliente y Secreto de cliente no se aplican en este contexto y en Asignación de notificaciones solo tendrá asignaciones para sub y client_id.

Habilitar la creación automática de grupos

Los grupos se utilizan para control de acceso de los usuarios y se pueden crear automáticamente a partir de grupos IdP. Cuando se habilita la creación automática de grupos, los grupos se heredan del proveedor de identidad para que se pueda otorgar acceso a los mismos grupos de usuarios que existen en el IdP. De este modo se simplifica la administración de los accesos, en vez de tener que concederlos a cada usuario de forma individual.

A medida que los usuarios inician sesión, nuevos grupos de IdP aparecen dinámicamente en Qlik Cloud. Estos grupos no se importan todos al mismo tiempo; más bien, los grupos de IdP se descubren durante el proceso de inicio de sesión. Solo están disponibles los grupos asociados con usuarios de Qlik Cloud.

Para configurar grupos, debe utilizar el inicio de sesión único y tener acceso administrativo a su IdP.

Haga lo siguiente:

  1. En Consola de gestión, vaya a la página Configuración.
  2. En Control de funciones, habilite la Creación de grupos.

Más información

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.