Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik

Création d'une configuration de fournisseur d'identité

Qlik Cloud fournit une configuration de fournisseur d'identité (IdP) pour la connexion des utilisateurs, l'accès aux API et la configuration multicloud. Chaque client Qlik Cloud supporte un IdP interactif tel que Qlik Account, Microsoft Entra ID (anciennement Azure AD), OKTA, Auth0 ou un autre IdP compatible avec OpenID Connect (OIDC) ou Security Assertion Markup Language (SAML).

Les administrateurs de clients peuvent créer plusieurs configurations IdP à partir du centre d'activités Administration :

  • Pour la connexion des utilisateurs, configurez un IdP interactif. Faites votre choix entre OIDC et SAML, suivant la norme supportée de votre fournisseur d'identité.

    Note Informations

    • Un seul IdP interactif peut être actif à la fois. Si vous déployez votre IdP interactif personnalisé, le flux de connexion Qlik Account sera remplacé par le processus d'authentification défini par l'IdP de votre choix.

    • La gestion des échecs SSO de votre IdP d'entreprise doit être configurée via votre fournisseur d'identité. Qlik Cloud ne supporte pas la configuration d'une URL de redirection de repli.

  • Pour une gestion en toute transparence des identités multicloud, configurez un Idp Multicloud avec votre jeton de porteur local.

Création d'une nouvelle configuration IdP OIDC interactive

Les administrateurs de clients peuvent créer de nouvelles configurations IdP. Vous ne pouvez avoir qu'un seul IdP interactif à la fois. Si vous en avez déjà un d'actif, vous devez commencer par le désactiver avant de pouvoir activer le nouveau. Pour plus d'informations, consultez Modification des configurations IdP d'entreprise.

Ce chapitre explique comme régler les paramètres de fournisseur d'identité dans Qlik Cloud. Des réglages du côté du fournisseur d'identité sont aussi nécessaires. Pour obtenir des explication sur ces réglages, voir les ressources suivantes :

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.

  2. Pour Type, sélectionnez OIDC.

  3. Pour Fournisseur, sélectionnez un fournisseur d'identité dans la liste, ou sélectionnez Générique si votre fournisseur spécifique ne figure pas dans la liste.

  4. Vous pouvez éventuellement saisir une description pour la configuration IdP.

  5. Sous Informations d'identification de l'application, vous pouvez saisir l'URL de découverte. S'il n'existe pas d'URL de découverte disponible ou si l'URL de découverte ne fournit pas les métadonnées appropriées, vous avez également la possibilité de saisir manuellement des valeurs individuelles. La configuration manuelle doit être utilisée uniquement lorsqu'aucune URL de découverte n'a été saisie.

    Procédez de l'une des manières suivantes :

    1. Saisissez l'URL de découverte. Il s'agit de l'URL vers le point de terminaison qui fournit les données de configuration permettant aux clients OAuth de s'interfacer avec l'IdP via le protocole OpenID Connect. Les conventions de nommage de l'URL de découverte varient en fonction du fournisseur que vous avez sélectionné :

      • ADFS : URL de découverte d'AD FS

      • Auth0 : Configuration OpenID

      • Keycloak : Configuration du point de terminaison OpenID Keycloak

      • IdP générique ou Okta : URI des métadonnées OpenID Connect

      • Salesforce : URL de découverte de Salesforce

    ou

    1. Sélectionnez Configuration manuelle.

    2. Saisissez les valeurs suivantes :

      • Point de terminaison d'autorisation : URL pour l'interaction avec le propriétaire de la ressource, qui vous donne l'autorisation d'accéder à la ressource.

      • Point de terminaison de fin de session (facultatif) : URL utilisée pour déclencher une déconnexion unique.

      • Point de terminaison d'introspection (facultatif) : URL permettant de valider les jetons de référence ou JWT.

      • Émetteur : URL pointant vers le fournisseur d'identité.

      • URI JWKS : URI pointant vers l'ensemble de clés Web JSON (JSON Web Key Set ou JWKS) contenant les clés publiques utilisées pour vérifier un jeton Web JSON (JSON Web Token ou JWT).

      • Point de terminaison de jeton : URL permettant d'obtenir un jeton d'accès.

      • Point de terminaison d'infos utilisateur (facultatif) : URL permettant d'obtenir des informations utilisateur.

    Configuration via l'URL de découverte et configuration manuelle.

    Volets de configuration affichés avec et sans l'utilisation d'une URL de découverte.

  6. Saisissez l'ID client : ID du client configuré auprès de l'IdP pour une authentification utilisateur interactive.

  7. Saisissez la Clé secrète client : clé secrète du client configuré auprès de l'IdP.

  8. Vous pouvez éventuellement saisir un Domaine. Il s'agit du nom à associer à l'IdP. Il est identique au nom de domaine dans Qlik Sense Enterprise on Windows et utilisé pour un nommage cohérent en mode multicloud.

  9. Renseignez les champs sous Mapping de revendications.

    Les revendications sont des instructions (paires nom/valeur) sur l'entité (dans de nombreux cas, l'utilisateur) et les métadonnées sur le service OpenID Connect. Les mappings sont disponibles pour sub, name, groups, email, client_id, picture et email_verified (facultatif).

    Note Informations

    • Vous pouvez saisir plusieurs valeurs de recherche, séparées par une virgule, dans les champs de saisie. La première valeur non nulle trouvée sera utilisée.

    • La revendication groupes est nécessaire pour recevoir les groupes. Notez que les groupes imbriqués ne sont pas supportés dans Microsoft Entra ID.

  10. Vous pouvez éventuellement configurer les options avancées. Pour des informations plus détaillées, consultez Options avancées.

  11. Cliquez sur Créer.

    Une boîte de dialogue de confirmation apparaît, proposant de valider la configuration IdP.

    • Pour procéder à la validation maintenant, sélectionner Valider l'IdP et cliquez sur Créer. Cette opération démarre le processus de validation. Suivez les étapes de l'assistant de validation pour établir une connexion et vérifiez que les données du profil utilisateur sont correctes.

    • Si vous préférez créer la configuration maintenant, mais la valider ultérieurement, décochez la case Valider l'IdP et cliquez sur Créer. Vous pourrez procéder à la validation ultérieurement en cliquant sur l'icône Plus de votre configuration IdP et en sélectionnant Valider.

    Validation et création de la configuration IdP.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

Ajout de l'URL de votre client à la liste verte du fournisseur d'identité

Auprès de votre fournisseur d'identité, ajoutez l'URL de votre client à la liste verte. Pour ce paramètre, il existe différents noms, par exemple URL de rappel autorisées, URI de redirection ou URI de redirection de connexion.

Lorsque vous ajoutez l'URL, vous devez ajouter login/callback à l'adresse de votre client, par exemple, https://<nom du client>/login/callback.

Note InformationsLors de la définition de l'URI de redirection, utilisez le nom d'hôte de client d'origine et non le nom d'hôte alias. Vous trouverez le nom d'hôte du client dans le menu de votre profil utilisateur, dans la section À propos de.

Options avancées

Les options avancées offrent des fonctionnalités supplémentaires pour certains fournisseurs d'identité.

Remplacement de l'adresse e-mail vérifiée

Activez ce paramètre pour que la revendication email_verified (e-mail_vérifié) soit toujours définie sur true (vrai). Cela permet de s'assurer que les adresses e-mail peuvent être utilisées pour le mappage d'identités dans ADFS et Microsoft Entra ID. Cela s'avère particulièrement utile lors du changement d'IdP et permet de faire la distinction entre les utilisateurs qui portent des noms identiques dans le centre d'activités Administration.

Étendue

Les étendues définissent les privilèges d'accès demandés lors de l'émission d'un jeton d'accès, conformément à la spécification OAuth 2.0. Saisissez des valeurs séparées par des espaces pour spécifier les autorisations que vous souhaitez demander auprès du fournisseur d'identité. Exemple, incluez une étendue groupes si l'IdP le demande pour supporter les fonctions de groupes d'utilisateurs.

URI de redirection post-déconnexion

Utilisez ce champ pour spécifier un URI vers lequel les utilisateurs seront redirigés après s'être déconnectés. Pour des instructions détaillées, consultez Utilisation d'un URI de redirection post-déconnexion.

Bloc accès_hors connexion

Lorsque vous utilisez Google Identity ou OneLogin comme fournisseur d'identité, activez ce paramètre pour empêcher la transmission de l'étendue offline_access (accès_hors connexion) au fournisseur d'identité. Cela permet de s'assurer que la configuration fonctionne correctement avec les applications Qlik Sense Mobile SaaS et OAuth 2.0.

Algorithme de signature par ID de jeton

L'algorithme de signature RSA garantit l'authenticité et l'intégrité des jetons d'ID. Qlik Cloud supporte deux options :

  • RS256 (par défaut)

  • RS512

Sélectionnez l'algorithme en fonction de vos besoins en matière de sécurité.

Vérification et déchiffrement de signature de jeton

Générez des paires de clés pour vérifier les signatures et déchiffrer les jetons JWT (JSON Web Tokens) chiffrés. Pour des instructions détaillées, consultez Gestion des paires de clés pour les jetons d'ID signés et chiffrés.

Création d'une nouvelle configuration IdP SAML interactive

Les administrateurs de clients peuvent créer de nouvelles configurations IdP. Vous ne pouvez avoir qu'un seul IdP interactif à la fois. Si vous en avez déjà un d'actif, vous devez commencer par le désactiver avant de pouvoir activer le nouveau. Pour plus d'informations, consultez Modification des configurations IdP d'entreprise.

Ce chapitre explique comme régler les paramètres de fournisseur d'identité dans Qlik Cloud. Des réglages du côté du fournisseur d'identité sont aussi nécessaires. Pour obtenir des explications détaillées sur ces configurations, voir les rubriques suivantes :

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.

  2. Pour Type, sélectionnez SAML.

  3. Pour Fournisseur, sélectionnez un fournisseur d'identité dans la liste, ou sélectionnez Générique si votre fournisseur spécifique ne figure pas dans la liste.

  4. Vous pouvez éventuellement saisir une description pour la configuration IdP.

  5. Sous Configuration, vous avez la possibilité de charger les métadonnées XTM SAML auprès de votre fournisseur d'identité ou de saisir manuellement des valeurs individuelles.

    Procédez de l'une des manières suivantes :

    1. Sélectionnez Utiliser les métadonnées IdP.

    2. Cliquez sur Charger le fichier sous Métadonnées IdP SAML et sélectionnez le fichier contenant les métadonnées de votre fournisseur d'identité. Sinon, si les métadonnées de votre fournisseur d'identité ne sont pas disponibles sous forme de fichier, vous pouvez copier et coller directement les métadonnées dans le champ Métadonnées IdP.

    ou

    1. Cliquez sur Charger le fichier sous Certificats de signature pour charger le fichier de certificat.
      Il s'agit du certificat utilisé par le fournisseur d'identité pour signer les assertions SAML envoyées à Qlik Cloud.

    2. Saisissez l'ID d'entité de votre fournisseur d'identité.

    3. Saisissez l'URL d'authentification unique.

      Il s'agit du point de terminaison auquel les requêtes d'authentification SAML sont envoyées. Il s'agit de l'URL vers laquelle l'utilisateur est redirigé pour l'authentification.

    4. Sélectionnez un Format d'ID de nom.

    Configuration via les métadonnées et configuration manuelle.

    Volets de configuration affichés avec et sans l'utilisation des métadonnées IdP

  6. Vous pouvez éventuellement sélectionner Activer la connexion par IdP.

    Le flux de connexion par défaut commence par faire accéder l'utilisateur à Qlik Cloud, puis le redirige vers l'IdP pour l'authentification. Activez la connexion par IdP si vous souhaitez que l'utilisateur commence par se connecter au fournisseur d'identité, puis qu'il soit redirigé vers Qlik Cloud.

  7. Modifiez les champs sous Mapping de revendications ou conservez les valeurs par défaut.

    Les mappings de revendications définissent la manière dont les attributs utilisateur de votre fournisseur d'identité sont associés aux champs dans le modèle d'utilisateur Qlik Cloud. Les mappings sont disponibles pour sub, name, email, groups et picture. Réglez les valeurs en fonction des besoins de votre entreprise et des attributs de votre fournisseur d'identité.

    Note Informations

    • Vous pouvez saisir plusieurs valeurs de recherche, séparées par une virgule, dans les champs de saisie. La première valeur non nulle trouvée sera utilisée.

    • La revendication groupes est nécessaire pour recevoir les groupes. Notez que les groupes imbriqués ne sont pas supportés dans Microsoft Entra ID.

  8. Vous pouvez éventuellement configurer URI de redirection post-déconnexion sous Options avancées.

    Cette option est utilisée pour rediriger un utilisateur vers un URI défini après la déconnexion. Pour un exemple d'utilisation d'un URI de redirection post-déconnexion, voir Utilisation d'un URI de redirection post-déconnexion.

  9. Cliquez sur Créer.

    Une boîte de dialogue de confirmation apparaît, proposant de valider la configuration IdP.

    Les métadonnées et le certificat de signature du fournisseur de services SAML sont disponibles après la création de la configuration IdP. Si vous avez besoin de ces informations pour configurer le fournisseur d'identité, vous pouvez créer l'IdP sans validation pour commencer, puis procéder à la validation une fois la configuration de votre fournisseur d'identité terminée.

    • Pour procéder à la validation maintenant, sélectionner Valider l'IdP et cliquez sur Créer. Cette opération démarre le processus de validation. Suivez les étapes de l'assistant de validation pour établir une connexion et confirmez que les données du profil utilisateur sont valides.

    • Si vous préférez créer la configuration maintenant, mais la valider ultérieurement, décochez la case Valider l'IdP et cliquez sur Créer. Vous pourrez procéder à la validation ultérieurement en cliquant sur l'icône Plus de votre configuration IdP et en sélectionnant Valider.

    Validation et création de la configuration IdP.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

Chargement des métadonnées du fournisseur de services de votre fournisseur d'identité

Procédez comme suit :

  1. Dans le centre d'activités Administration, dans la configuration IdP que vous venez de créer, cliquez sur Plus et sélectionnez Afficher la configuration du fournisseur.

    Une boîte de dialogue affiche les métadonnées du fournisseur de services et l'URL vers le point de terminaison des métadonnées.

    Métadonnées du fournisseur de services.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

  2. Suivant la configuration de votre fournisseur d'identité, téléchargez le fichier de métadonnées ou copiez l'URL et enregistrez-le/la à des fins d'utilisation ultérieure. Téléchargez le fichier de certificat de signature, si nécessaire. Cliquez sur Terminé.

  3. Dans votre fournisseur d'identité, saisissez les métadonnées du fournisseur de services. Assurez-vous de configurer les paramètres obligatoires suivants :

    • URL Assertion Consumer Service (ACS). C'est là que le fournisseur d'identité envoie les assertions SAML après l'authentification.

    • ID d'entité du fournisseur de services.

    • Certificat permettant de valider les requêtes d’authentification. Il est utilisé par le fournisseur d'identité pour vérifier l'authenticité du fournisseur de services.

  4. Une fois la configuration de votre fournisseur d'identité terminée, vous pouvez valider votre configuration IdP dans le centre d'activités Administration. Dans votre configuration, cliquez sur Plus et sélectionnez Valider. Suivez les étapes de l'assistant de validation pour établir une connexion et vérifiez que les données du profil utilisateur sont correctes.

Activation de la création automatique de groupes

Les groupes permettent de contrôler l'accès des utilisateurs et peuvent être créés automatiquement à partir des groupes de l'IdP. Lorsque la création automatique de groupes est activée, les groupes sont hérités du fournisseur d'identité de sorte que l'accès puisse être octroyé aux mêmes groupes d'utilisateurs que ceux qui existent dans l'IdP. Cela simplifie l'administration des accès par rapport à l'octroi d'accès individuel, utilisateur par utilisateur.

À mesure que les utilisateurs se connectent, de nouveaux groupes d'IdP apparaissent dynamiquement dans Qlik Cloud. Ces groupes ne sont pas tous importés en même temps ; au lieu de cela, les groupes de l'IdP sont détectés lors du processus de connexion. Seuls les groupes associés à des utilisateurs Qlik Cloud sont disponibles.

Pour pouvoir configurer des groupes, vous devez utiliser l'authentification unique et disposer d'un accès administrateur à votre IdP.

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à la page Paramètres.
  2. Sous Contrôle de fonction, sélectionnez Création de groupes.

En savoir plus

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !

Laissez vos commentaires ici