Saltar al contenido principal Saltar al contenido complementario

Crear una nueva configuración de proveedor de identidad

Qlik Cloud proporciona configuración de proveedor de identidad (IdP) para el inicio de sesión de usuario, acceso a API y configuración de múltiples nubes. Cada espacio inquilino de Qlik Cloud admite un IdP interactivo, como Qlik Account, Microsoft Entra ID (anteriormente Azure AD), OKTA, Auth0 u otro IdP compatible con OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

Los administradores de un espacio empresarial inquilino pueden crear varias configuraciones de IdP desde el centro de actividades Administración:

  • Para iniciar sesión como usuario, configure un IdP interactivo. Elija entre OIDC o SAML, según el estándar admitido por su proveedor de identidad.

    Nota informativa
    • Solo puede haber un IdP interactivo activo a la vez. Si implementa su IdP interactivo personalizado, reemplazará el flujo de inicio de sesión en Qlik Account por el proceso de autenticación definido por el IdP de su elección.

    • El manejo de errores de SSO para su IdP corporativo debe configurarse a través de su proveedor de identidad. Qlik Cloud no admite la configuración de una URL de redireccionamiento alternativa.

  • Para lograr una administración fluida de las identidades en múltiples nubes, configure un IdP multinube con su token de portador local.

Crear una nueva configuración de IdP OIDC interactiva

Los administradores de un espacio empresarial inquilino pueden crear nuevas configuraciones de IdP. Solo puede tener un único IdP interactivo a la vez. Si ya tiene uno activo, primero debe desactivarlo antes de poder activar el nuevo. Para obtener más información, consulte Cambiar las configuraciones de IdP corporativas.

Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Cloud. También debe realizar configuraciones en el lado del proveedor de identidad. Para un recorrido por dichas configuraciones, consulte los siguientes recursos:

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad y haga clic en Crear nuevo.

  2. En Tipo, seleccione OIDC.

  3. En Proveedor, seleccione un proveedor de identidad de la lista o elija Genérico si su proveedor específico no aparece en la lista.

  4. Opcionalmente, escriba una descripción para la configuración del IdP.

  5. En Credenciales de la aplicación, puede insertar la URL de detección. Si una URL de detección no está disponible o no proporciona metadatos adecuados, también tiene la opción de escribir los valores individuales manualmente. La configuración manual solo debe usarse cuando no se haya insertado una URL de detección.

    Tome una de las opciones siguientes:

    1. Indique la URL de detección. Esta es la URL del punto de conexión que proporciona datos de configuración para que los clientes OAuth interactúen con el IdP mediante el protocolo OpenID Connect. Las convenciones de nomenclatura para la URL de detección varían según el proveedor elegido:

      • ADFS: ADFS discovery URL

      • Auth0: OpenID configuration

      • Keycloak: Keycloak OpenID endpoint configuration

      • Okta o Generic IdP: OpenID Connect metadata URI

      • Salesforce: Salesforce discovery URL

    o bien

    1. Seleccione Configuración manual.

    2. Indique los siguientes valores:

      • Punto de conexión de autorización: la URL para la interacción con el propietario del recurso, donde se obtiene la autorización para acceder al recurso.

      • Punto de conexión de fin de sesión (opcional): la URL para activar el inicio de sesión único.

      • Punto de conexión de introspección (opcional): la URL para validar tokens de referencia o JWT.

      • Emisor: la URL al proveedor de identidad.

      • JWKS URI: el URI del conjunto de claves web JSON que contiene las claves públicas utilizadas para la verificación de un token web JSON (JWT).

      • Punto de conexión de token: la URL para obtener un token de acceso.

      • Punto de conexión de info de usuario (opcional): la URL para obtener información del usuario.

    Configuración mediante la URL de detección y configuración manual.

    Se muestran paneles de configuración con y sin utilizar la URL de detección.
  6. Inserte la ID del cliente: el ID del cliente configurado en el IdP para la autenticación de usuario interactiva.

  7. Indique el Secreto de cliente: el secreto del cliente configurado en el IdP.

  8. Si lo desea, indique un Dominio. Este es el nombre que se asociará con el IdP. Es el mismo que el nombre de dominio de Qlik Sense Enterprise on Windows y se utiliza para la coherencia de nombres en múltiples nubes.

  9. Complete los campos en Asignación de notificaciones.

    Las notificaciones son declaraciones (pares de nombre/valor) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio de OpenID Connect. Hay asignaciones disponibles para sub, name, groups, email, client_id, picture y email_verified (opcional).

    Nota informativa
    • Puede escribir múltiples valores de búsqueda, separados por comas, en los campos de entrada. Se utilizará el primer valor no nulo que se encuentre.

    • Se requiere una notificación de grupo para poder recibir grupos. Tenga en cuenta que no se admiten grupos anidados en Microsoft Entra ID.

  10. Opcionalmente, configure las opciones avanzadas. Para obtener más información, consulte Opciones avanzadas.

  11. Haga clic en Crear.

    Aparece un cuadro de diálogo de confirmación con la opción de validar la configuración del IdP.

    • Para validarlo ahora, seleccione Validar IdP y haga clic en Crear. Esto iniciará el proceso de validación. Siga los pasos del asistente de validación para iniciar sesión y verificar que los datos del perfil del usuario sean correctos.

    • Si prefiere crear la configuración ahora, pero validarla más tarde, desmarque la casilla Validar IdP y haga clic en Crear. Puede validarlo más tarde haciendo clic en Más en la configuración de su IdP y seleccionando Validar.

    Validar y crear la configuración del IdP.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada

Agregar la URL de su espacio inquilino a la lista de permitidos del proveedor de identidad

En su proveedor de identidad, agregue la URL de su espacio empresarial inquilino a la lista de permitidos. Hay diferentes nombres para esta configuración, por ejemplo, URL de devolución de llamada permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.

Cuando agrega la URL, debe agregar inicio de sesión/devolución de llamada a la dirección de su espacio inquilino, como en https://<nombre del espacio inquilino>/login/callback.

Nota informativaUtilice el nombre de host del espacio inquilino original y no el nombre de host del alias al configurar el URI de redireccionamiento. Encontrará el nombre de host del espacio inquilino en su perfil de usuario, en la sección Acerca de.

Opciones avanzadas

Las opciones avanzadas proporcionan capacidades adicionales para determinados proveedores de identidad.

Anulación de correo electrónico verificado

Habilite esta configuración para establecer siempre la afirmación email_verified en "verdadero". Esto asegura que las direcciones de correo electrónico puedan ser utilizadas para la asignación de identidades en ADFS y Microsoft Entra ID. Es especialmente útil cuando se cambia de IdP y ayuda a distinguir entre usuarios con nombres idénticos en el centro de actividades Administración.

Ámbito

Los ámbitos definen los privilegios de acceso que se solicitan cuando se emite un token de acceso, de acuerdo con la especificación de OAuth 2.0. Inserte valores separados por espacios para especificar los permisos que desea solicitar al proveedor de identidad. Por ejemplo, incluya un ámbito de Grupos si el IdP requiere que admita características de grupos de usuarios.

URI de redireccionamiento posterior al cierre de sesión

Use este campo para especificar un URI al que los usuarios serán redirigidos después de cerrar sesión. Para obtener instrucciones detalladas, consulte Usar URI de redireccionamiento posterior al cierre de sesión.

Bloquear acceso offline

Al utilizar Google Identity o OneLogin como proveedor de identidad, habilite esta configuración para bloquear el paso del ámbito offline_access al proveedor de identidad. Esto asegura que la configuración funcionará correctamente con aplicaciones de Qlik Sense Mobile SaaS y OAuth 2.0.

Algoritmo de firma del token de identificación

El algoritmo de firma RSA garantiza la autenticidad y la integridad de los tokens de ID. Qlik Cloud admite dos opciones:

  • RS256 (predeterminado)

  • RS512

Seleccione el algoritmo en función de sus necesidades de seguridad.

Verificación y descifrado de firmas de tokens

Genere pares de claves para verificar las firmas y descifrar los tokens web JSON (JWT) cifrados. Para obtener instrucciones detalladas, consulte Administrar pares de claves para tokens de ID firmados y cifrados..

Crear una nueva configuración de IdP SAML interactiva

Los administradores de un espacio empresarial inquilino pueden crear nuevas configuraciones de IdP. Solo puede tener un único IdP interactivo a la vez. Si ya tiene uno activo, primero debe desactivarlo antes de poder activar el nuevo. Para obtener más información, consulte Cambiar las configuraciones de IdP corporativas.

Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Cloud. También debe realizar configuraciones en el lado del proveedor de identidad. Para un recorrido por dichas configuraciones, consulte los siguientes temas:

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad y haga clic en Crear nuevo.

  2. En Tipo, seleccione SAML.

  3. En Proveedor, seleccione un proveedor de identidad de la lista o elija Genérico si su proveedor específico no aparece en la lista.

  4. Opcionalmente, escriba una descripción para la configuración del IdP.

  5. En Configuración, tiene la opción de cargar los metadatos XML SAML desde su proveedor de identidad o insertar manualmente valores individuales.

    Tome una de las opciones siguientes:

    1. Seleccione Metadatos de IdP.

    2. Haga clic en Cargar archivo en Metadatos de IdP de SAML y elija el archivo que contiene metadatos de su proveedor de identidad. Alternativamente, si los metadatos de su proveedor de identidad no están disponibles como archivo, puede copiar y pegar los metadatos directamente en el campo Metadatos del IdP.

    o bien

    1. Haga clic en Cargar archivo en Firma de certificados para cargar el archivo del certificado.
      Este es el certificado utilizado por el proveedor de identidad para firmar las aserciones SAML enviadas a Qlik Cloud.

    2. Indique el ID de entidad de su proveedor de identidad.

    3. Indique la URL de inicio de sesión único.

      Este es el punto final donde se envían las solicitudes de autenticación SAML. Es la URL a la que se redirige al usuario para su autenticación.

    4. Seleccione un Formato de ID de nombre.

    Configuración mediante metadatos y configuración manual.

    Se muestran paneles de configuración con y sin metadatos de IdP
  6. Opcionalmente, seleccione Habilitar inicio de sesión iniciado por IdP.

    El flujo de inicio de sesión predeterminado es que el usuario primero accede a Qlik Cloud y luego es redirigido al IdP para su autenticación. Habilite el inicio de sesión iniciado por el IdP si desea que el usuario inicie sesión primero en el proveedor de identidad y luego sea redirigido a Qlik Cloud.

  7. Modifique los campos en Asignación de notificaciones o mantenga los valores predeterminados.

    Las asignaciones de notificaciones definen cómo se asocian los atributos de usuario de su proveedor de identidad con los campos del modelo de usuario de Qlik Cloud . Hay disponibles notificaciones para sub, name, email, groups y picture. Ajuste los valores según las necesidades de su organización y los atributos de su proveedor de identidad.

    Nota informativa
    • Puede escribir múltiples valores de búsqueda, separados por comas, en los campos de entrada. Se utilizará el primer valor no nulo que se encuentre.

    • Se requiere una notificación de grupo para poder recibir grupos. Los grupos anidados no se admiten en Microsoft Entra ID.

  8. Opcionalmente, configure el URI de redireccionamiento posterior al cierre de sesión en Opciones avanzadas.

    Este se utiliza para redirigir a un usuario a un URI definido después de cerrar sesión. Para ver un ejemplo de cómo usar el URI de redireccionamiento posterior al cierre de sesión, consulte: Usar URI de redireccionamiento posterior al cierre de sesión.

  9. Haga clic en Crear.

    Aparece un cuadro de diálogo de confirmación con la opción de validar la configuración del IdP.

    Los metadatos del proveedor de servicios SAML y el certificado de firma están disponibles solo después de crear la configuración del IdP. Si necesita esta información para configurar el proveedor de identidad, puede crear el IdP sin validación inicialmente y validarlo una vez que se complete la configuración en su proveedor de identidad.

    • Para validarlo ahora, seleccione Validar IdP y haga clic en Crear. Esto iniciará el proceso de validación. Siga los pasos del asistente de validación para iniciar sesión y confirmar que los datos del perfil del usuario son válidos.

    • Si prefiere crear la configuración ahora, pero validarla más tarde, desmarque la casilla Validar IdP y haga clic en Crear. Puede validarlo más tarde haciendo clic en Más en la configuración de su IdP y seleccionando Validar.

    Validar y crear la configuración del IdP.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada

Cargar los metadatos del proveedor de servicios a su proveedor de identidad

Haga lo siguiente:

  1. En el centro de actividades Administración, en la configuración del IdP que acaba de crear, haga clic en Más y seleccione Ver configuración del proveedor.

    Un cuadro de diálogo muestra los metadatos del proveedor de servicios y la URL del punto final de metadatos.

    Metadatos del proveedor de servicios.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada
  2. Dependiendo de la configuración de su proveedor de identidad, descargue el archivo de metadatos o copie la URL y guárdela para su uso posterior. Descargue el archivo del certificado de firma, si es necesario. Haga clic en Hecho.

  3. En su proveedor de identidad, indique los metadatos del proveedor de servicios. Asegúrese de configurar los siguientes ajustes necesarios:

    • URL del servicio al consumidor de aserciones (ACS). Aquí es donde el proveedor de identidad envía las aserciones SAML después de la autenticación.

    • ID de entidad del proveedor de servicios.

    • El certificado para validar las solicitudes de autenticación. El proveedor de identidad lo utiliza para verificar la autenticidad del proveedor de servicios.

  4. Una vez que se haya completado la configuración en su Proveedor de identidad, puede validar la configuración de su IdP en el centro de actividades Administración. Haga clic en Más en su configuración y seleccione Validar. Siga los pasos del asistente de validación para iniciar sesión y verificar que los datos del perfil del usuario sean correctos.

Habilitar la creación automática de grupos

Los grupos se utilizan para control de acceso de los usuarios y se pueden crear automáticamente a partir de grupos IdP. Cuando se habilita la creación automática de grupos, los grupos se heredan del proveedor de identidad para que se pueda otorgar acceso a los mismos grupos de usuarios que existen en el IdP. De este modo se simplifica la administración de los accesos, en vez de tener que concederlos a cada usuario de forma individual.

A medida que los usuarios inician sesión, nuevos grupos de IdP aparecen dinámicamente en Qlik Cloud. Estos grupos no se importan todos al mismo tiempo; más bien, los grupos de IdP se descubren durante el proceso de inicio de sesión. Solo están disponibles los grupos asociados con usuarios de Qlik Cloud.

Para configurar grupos, debe utilizar el inicio de sesión único y tener acceso administrativo a su IdP.

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a la página de Configuración.
  2. En Control de funciones, habilite la Creación de grupos.

Más información

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.