Saltar al contenido principal Saltar al contenido complementario
Recursos de Qlik

Crear una configuración de IdP de OIDC interactiva

Este tema describe cómo configurar los ajustes del proveedor de identidad en Qlik Cloud.

Configuración en el lado del proveedor de identidad

Además de la configuración en Qlik Cloud, también necesita realizar configuraciones en el lado del proveedor de identidades. Para un recorrido por dichas configuraciones, consulte los siguientes recursos:

Configuración en Qlik Cloud

Los administradores de un espacio empresarial inquilino pueden crear nuevas configuraciones de IdP.

Nota informativaSolo puede tener un único IdP interactivo a la vez. Si ya tiene uno activo, primero debe desactivarlo antes de poder activar el nuevo. Para más información, vea Cambio de proveedores de identidad.

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad y haga clic en Crear nuevo.

  2. En Tipo, seleccione OIDC.

  3. En Proveedor, seleccione un proveedor de identidad de la lista o elija Genérico si su proveedor específico no aparece en la lista.

  4. Opcionalmente, escriba una descripción para la configuración del IdP.

  5. En Credenciales de la aplicación, puede insertar la URL de detección. Si una URL de detección no está disponible o no proporciona metadatos adecuados, también tiene la opción de escribir los valores individuales manualmente. La configuración manual solo debe usarse cuando no se haya insertado una URL de detección.

    Tome una de las opciones siguientes:

    1. Indique la URL de detección. Esta es la URL del punto de conexión que proporciona datos de configuración para que los clientes OAuth interactúen con el IdP mediante el protocolo OpenID Connect. Las convenciones de nomenclatura para la URL de detección varían según el proveedor elegido:

      • ADFS: ADFS discovery URL

      • Auth0: OpenID configuration

      • Keycloak: Keycloak OpenID endpoint configuration

      • Okta o Generic IdP: OpenID Connect metadata URI

      • Salesforce: Salesforce discovery URL

    o bien

    1. Seleccione Configuración manual.

    2. Indique los siguientes valores:

      • Punto de conexión de autorización: la URL para la interacción con el propietario del recurso, donde se obtiene la autorización para acceder al recurso.

      • Punto de conexión de fin de sesión (opcional): la URL para activar el inicio de sesión único.

      • Punto de conexión de introspección (opcional): la URL para validar tokens de referencia o JWT.

      • Emisor: la URL al proveedor de identidad.

      • JWKS URI: el URI del conjunto de claves web JSON que contiene las claves públicas utilizadas para la verificación de un token web JSON (JWT).

      • Punto de conexión de token: la URL para obtener un token de acceso.

      • Punto de conexión de info de usuario (opcional): la URL para obtener información del usuario.

    Configuración mediante la URL de detección y configuración manual.

    Se muestran paneles de configuración con y sin utilizar la URL de detección.

  6. Inserte la ID del cliente: el ID del cliente configurado en el IdP para la autenticación de usuario interactiva.

  7. Indique el Secreto de cliente: el secreto del cliente configurado en el IdP.

  8. Si lo desea, indique un Dominio. Este es el nombre que se asociará con el IdP. Es el mismo que el nombre de dominio de Qlik Sense Enterprise on Windows y se utiliza para la coherencia de nombres en múltiples nubes.

  9. Complete los campos en Asignación de notificaciones.

    Las notificaciones son declaraciones (pares de nombre/valor) sobre la entidad (en muchos casos, el usuario) y metadatos sobre el servicio de OpenID Connect. Hay asignaciones disponibles para sub, name, groups, email, client_id, picture y email_verified (opcional).

    Nota informativa

    • Puede escribir múltiples valores de búsqueda, separados por comas, en los campos de entrada. Se utilizará el primer valor no nulo que se encuentre.

    • Se requiere una notificación de grupo para poder recibir grupos. Tenga en cuenta que no se admiten grupos anidados en Microsoft Entra ID.

  10. Opcionalmente, configure las opciones avanzadas. Para obtener más información, consulte Opciones avanzadas.

  11. Haga clic en Crear.

    Aparece un cuadro de diálogo de confirmación con la opción de validar la configuración del IdP.

    • Para validarlo ahora, seleccione Validar IdP y haga clic en Crear. Esto iniciará el proceso de validación. Siga los pasos del asistente de validación para iniciar sesión y verificar que los datos del perfil del usuario sean correctos.

    • Si prefiere crear la configuración ahora, pero validarla más tarde, desmarque la casilla Validar IdP y haga clic en Crear. Puede validarlo más tarde haciendo clic en Más en la configuración de su IdP y seleccionando Validar.

    Validar y crear la configuración del IdP.

    Cuadro de diálogo de confirmación con la opción Validar IdP seleccionada

Agregar la URL de su espacio inquilino a la lista de permitidos del proveedor de identidad

En su proveedor de identidad, agregue la URL de su espacio empresarial inquilino a la lista de permitidos. Hay diferentes nombres para esta configuración, por ejemplo, URL de devolución de llamada permitidas, URI de redireccionamiento o URI de redireccionamiento de inicio de sesión.

Cuando agrega la URL, debe agregar inicio de sesión/devolución de llamada a la dirección de su espacio inquilino, como en https://<nombre del espacio inquilino>/login/callback.

Nota informativaUtilice el nombre de host del espacio inquilino original y no el nombre de host del alias al configurar el URI de redireccionamiento. Encontrará el nombre de host del espacio inquilino en su perfil de usuario, en la sección Acerca de.

Opciones avanzadas

Las opciones avanzadas proporcionan capacidades adicionales para determinados proveedores de identidad.

Anulación de correo electrónico verificado

Habilite esta configuración para establecer siempre la afirmación email_verified en "verdadero". Esto asegura que las direcciones de correo electrónico puedan ser utilizadas para la asignación de identidades en ADFS y Microsoft Entra ID. Es especialmente útil cuando se cambia de IdP y ayuda a distinguir entre usuarios con nombres idénticos en el centro de actividades Administración.

Ámbito

Los ámbitos definen los privilegios de acceso que se solicitan cuando se emite un token de acceso, de acuerdo con la especificación de OAuth 2.0. Inserte valores separados por espacios para especificar los permisos que desea solicitar al proveedor de identidad. Por ejemplo, incluya un ámbito de Grupos si el IdP requiere que admita características de grupos de usuarios.

URI de redireccionamiento posterior al cierre de sesión

Use este campo para especificar un URI al que los usuarios serán redirigidos después de cerrar sesión. Para obtener instrucciones detalladas, consulte Usar URI de redireccionamiento posterior al cierre de sesión.

Bloquear acceso offline

Al utilizar Google Identity o OneLogin como proveedor de identidad, habilite esta configuración para bloquear el paso del ámbito offline_access al proveedor de identidad. Esto asegura que la configuración funcionará correctamente con aplicaciones de Qlik Sense Mobile SaaS y OAuth 2.0.

Algoritmo de firma del token de identificación

El algoritmo de firma RSA garantiza la autenticidad y la integridad de los tokens de ID. Qlik Cloud admite dos opciones:

  • RS256 (predeterminado)

  • RS512

Seleccione el algoritmo en función de sus necesidades de seguridad.

Verificación y descifrado de firmas de tokens

Genere pares de claves para verificar las firmas y descifrar los tokens web JSON (JWT) cifrados. Para obtener instrucciones detalladas, consulte Administrar pares de claves para tokens de ID firmados y cifrados..

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.

Deje aquí sus comentarios