Configuration d'Okta comme fournisseur d'identité SAML
Cette rubrique explique comment configurer Okta comme fournisseur d'identité pour Qlik Cloud.
Configuration d'une application SAML dans Okta
La première étape consiste à configurer une application SAML dans Okta pour faire confiance à votre client Qlik Cloud en tant que fournisseur de services (SP).
Procédez comme suit :
-
Dans la console d'administration d'Okta, accédez à Applications > Applications.
-
Cliquez sur Create App Integration (Créer une intégration d'application).
-
Pour Sign-in method (Méthode de connexion), sélectionnez SAML 2.0 et cliquez sur Next (Suivant).
-
Saisissez les informations générales pour l'intégration, selon vos souhaits, puis cliquez sur Next (Suivant).
-
Sous SAML Settings (Paramètres SAML), saisissez les informations suivantes :
Paramètre Valeur Single-sign on URL (Authentification unique sur URL) Votre nom d'hôte de client d'origine avec le chemin d'accès /login/saml ajouté à la fin du nom d'hôte Audience URI (SP Entity ID) (URI d'audience (ID d'entité SP) Votre nom d'hôte de client d'origine (sans aucun chemin d'accès ajouté et sans barre oblique) Name ID format (Format d'ID de nom) Unspecified (Non spécifié) -
Sous Attribute Statements (Déclarations d'attributs), ajoutez des déclarations d'attributs pour le nom et l'e-mail.
Saisissez les informations suivantes :Nom Format de nom Valeur name (nom) Unspecified (Non spécifié) ${user.firstName} ${user.lastName} (prénom utilisateur) (nom utilisateur) email (e-mail) Unspecified (Non spécifié) user.email (e-mail utilisateur) Note ConseilOkta supporte les expressions dans le formatage de chaîne pour intégrer plusieurs valeurs dans un seul attribut. La valeur suggérée ici combinera le prénom et le nom dans l'attribut name (nom). -
Sous Group Attribute Statements (Déclarations d'attributs de groupes), ajoutez une déclaration d'attribut pour les groupes.
Saisissez les informations suivantes :Nom Format de nom Filtre Valeur group (groupe) Unspecified (Non spécifié) Matches regex (Correspondances d'expression régulière) .+ Note ConseilLe filtre et la valeur suggérés ici récupèrent tous les groupes d'utilisateurs. Le filtre peut être ajusté de sorte à renvoyer uniquement des sous-ensembles de groupes spécifiques basés sur vos préférences. -
Pour terminer la configuration d'Okta, sélectionnez I'm an Okta customer adding an internal app (Je suis un client Okta qui ajoute une application interne) et This is an internal app that we have created (Il s'agit d'une application interne que nous avons créée), puis cliquez sur Finish (Terminer).
Une fois l'application créée, vous devez effectuer deux autres opérations dans Okta :
-
Téléchargez les métadonnées de l'IdP : vous devriez voir apparaître l'URL des métadonnées. Si ce n'est pas le cas, vous la trouverez dans l'onglet Sign On (Connexion) de l'application. Copiez et ouvrez l'URL dans votre navigateur, puis enregistrez la page sous forme de fichier à utiliser ultérieurement. (Si vous utilisez Chrome, cliquez sur la page à l'aide du bouton droit de la souris et sélectionnez Enregistrer sous.)
-
Ajouter des utilisateurs et des groupes : dans l'onglet Assignments (Affectations), ajoutez les utilisateurs et les groupes autorisés à se connecter à votre client Qlik Cloud.
Création d'une configuration IdP dans Qlik Cloud
Connectez-vous à Qlik Cloud en tant qu'administrateur de clients pour créer une configuration IdP.
Procédez comme suit :
-
Dans le centre d'activités Qlik Cloud Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.
-
Pour Type, sélectionnez SAML.
-
Pour Fournisseur, sélectionnez Okta.
-
Vous pouvez éventuellement saisir une description pour la configuration IdP.
-
Sélectionnez Utiliser les métadonnées IdP.
-
Sous Métadonnées IdP SAML, cliquez sur Charger le fichier et sélectionnez le fichier de métadonnées IdP téléchargé lors de la configuration d'Okta.
-
Cliquez sur Créer.
-
Dans la boîte de dialogue Créer un fournisseur d'identité interactif, décochez la case Valider l'IdP, puis cliquez sur Créer.
Cette opération permet de créer la configuration IdP sans validation immédiate. La validation sera effectuée ultérieurement.Note InformationsSi vous le préférez, vous pouvez valider maintenant. Cependant, nous vous recommandons de commencer par appliquer la section suivante et charger le fichier de certificat dans Okta.
Configuration de la validation de signature de requête SAML
Téléchargez le certificat de signature de requête SAML Qlik Cloud et chargez-le dans Okta.
Procédez comme suit :
-
Dans le centre d'activités Qlik Cloud Administration, accédez à Fournisseurs d'identité.
-
Dans votre configuration IdP SAML, cliquez sur et sélectionnez Afficher la configuration du fournisseur.
-
Sélectionnez Télécharger le certificat de signature et cliquez sur Terminé.
Revenez à votre application SAML dans Okta.
Procédez comme suit :
-
Dans Okta, accédez à l'onglet General (Général) de l'application.
-
Sous SAML Settings (Paramètres SAML), cliquez sur Edit (Modifier).
-
Cliquez sur Next (Suivant) pour accéder à Configure SAML (Configurer SAML).
-
Sous SAML Settings (Paramètres SAML), cliquez sur Show Advanced Settings (Afficher les paramètres avancés).
-
À côté de Signature Certificate (Certificat de signature), cliquez sur Browse files (Parcourir les fichiers) et chargez le fichier de certificat de signature.
Dès la fin du chargement, Okta affiche les détails du certificat.
-
À côté de Signed Requests (Requêtes signées), sélectionnez Validate SAML requests with signature certificates (Valider les requêtes SAML avec des certificats de signature).
-
Cliquez sur Next (Suivant) pour poursuivre le flux de configuration d'Okta et enregistrez vos modifications.
Okta est désormais configuré de sorte à pouvoir valider les signatures de requêtes SAML. Revenez à Qlik Cloud pour démarrer la validation.
Validation de votre fournisseur d'identité dans Qlik Cloud
Après avoir correctement configuré Okta, vous pouvez valider la configuration IdP dans Qlik Cloud.
Procédez comme suit :
-
Dans le centre d'activités Qlik Cloud Administration, accédez à Fournisseurs d'identité.
-
Dans votre configuration IdP SAML, cliquez sur et sélectionnez Valider.
-
Suivez les étapes de l'assistant de validation pour établir une connexion en tant qu'utilisateur ajouté à l'application Okta. Vérifiez que les données du profil utilisateur sont correctes.
Les options permettant de promouvoir l'utilisateur au rôle d'administrateur de clients Qlik Cloud et d'activer l'IdP vous sont proposées. Notez que l'activation de l'IdP désactivera tout fournisseur d'identité interactif précédemment configuré dans le client.