Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik

Création d'une configuration de fournisseur d'identité

Qlik Cloud fournit une configuration de fournisseur d'identité (IdP) pour la connexion des utilisateurs, l'accès aux API et la configuration multicloud. Chaque client Qlik Cloud prend en charge un IdP interactif tel que Qlik Account, Microsoft Entra ID (anciennement Azure AD), OKTA, Auth0 ou un autre IdP compatible avec OpenID Connect (OIDC) ou Security Assertion Markup Language (SAML).

Les administrateurs de clients peuvent créer plusieurs configurations IdP à partir de la Console de gestion :

  • Pour la connexion des utilisateurs, configurez un IdP interactif. Faites votre choix entre OIDC et SAML, suivant la norme prise en charge de votre fournisseur d'identité.

    Note InformationsUn seul IdP interactif peut être actif à la fois. Si vous déployez votre IdP interactif personnalisé, le flux de connexion Qlik Account sera remplacé par le processus d'authentification défini par l'IdP de votre choix.

  • Pour l'accès aux API, sélectionnez l'authentification Machine-to-Machine (M2M).

  • Pour une gestion en toute transparence des identités multicloud, configurez un Idp Multicloud avec votre jeton de porteur local.

Création d'une nouvelle configuration IdP OIDC interactive

Les administrateurs de clients peuvent créer de nouvelles configurations IdP. Vous ne pouvez avoir qu'un seul IdP interactif à la fois. Si vous en avez déjà un d'actif, vous devez commencer par le désactiver avant de pouvoir activer le nouveau. Pour plus d'informations, voir Modification des configurations IdP d'entreprise.

Ce chapitre explique comme régler les paramètres de fournisseur d'identité dans Qlik Cloud. Des réglages du côté du fournisseur d'identité sont aussi nécessaires. Pour obtenir des explication sur ces réglages, voir les ressources suivantes :

Procédez comme suit :

  1. Dans la Console de gestion, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.

  2. Pour Type, sélectionnez OIDC.

  3. Pour Fournisseur, sélectionnez un fournisseur d'identité dans la liste, ou sélectionnez Générique si votre fournisseur spécifique ne figure pas dans la liste.

  4. Vous pouvez éventuellement saisir une description pour la configuration IdP.

  5. Sous Informations d'identification de l'application, vous pouvez saisir l'URL de découverte. S'il n'existe pas d'URL de découverte disponible ou si l'URL de découverte ne fournit pas les métadonnées appropriées, vous avez également la possibilité de saisir manuellement des valeurs individuelles. La configuration manuelle doit être utilisée uniquement lorsqu'aucune URL de découverte n'a été saisie.

    Procédez de l'une des manières suivantes :

    1. Saisissez l'URL de découverte. Il s'agit de l'URL vers le point de terminaison qui fournit les données de configuration permettant aux clients OAuth de s'interfacer avec l'IdP via le protocole OpenID Connect. Les conventions de nommage de l'URL de découverte varient en fonction du fournisseur que vous avez sélectionné :

      • ADFS : URL de découverte d'AD FS

      • Auth0 : Configuration OpenID

      • Keycloak : Configuration du point de terminaison OpenID Keycloak

      • IdP générique ou Okta : URI des métadonnées OpenID Connect

      • Salesforce : URL de découverte de Salesforce

    ou

    1. Sélectionnez Configuration manuelle.

    2. Saisissez les valeurs suivantes :

      • Point de terminaison d'autorisation : URL pour l'interaction avec le propriétaire de la ressource, qui vous donne l'autorisation d'accéder à la ressource.

      • Point de terminaison de fin de session (facultatif) : URL utilisée pour déclencher une déconnexion unique.

      • Point de terminaison d'introspection (facultatif) : URL permettant de valider les jetons de référence ou JWT.

      • Émetteur : URL pointant vers le fournisseur d'identité.

      • URI JWKS : URI pointant vers l'ensemble de clés Web JSON (JSON Web Key Set ou JWKS) contenant les clés publiques utilisées pour vérifier un jeton Web JSON (JSON Web Token ou JWT).

      • Point de terminaison de jeton : URL permettant d'obtenir un jeton d'accès.

      • Point de terminaison d'infos utilisateur (facultatif) : URL permettant d'obtenir des informations utilisateur.

    Configuration via l'URL de découverte et configuration manuelle.

    Volets de configuration affichés avec et sans l'utilisation d'une URL de découverte.

  6. Saisissez l'ID client : ID du client configuré auprès de l'IdP pour une authentification utilisateur interactive.

  7. Saisissez la Clé secrète client : clé secrète du client configuré auprès de l'IdP.

  8. Vous pouvez éventuellement saisir un Domaine. Il s'agit du nom à associer à l'IdP. Il est identique au nom de domaine dans Qlik Sense Enterprise on Windows et utilisé pour un nommage cohérent en mode multicloud.

  9. Renseignez les champs sous Mapping de revendications.

    Les revendications sont des instructions (paires nom/valeur) sur l'entité (dans de nombreux cas, l'utilisateur) et les métadonnées sur le service OpenID Connect. Les mappings sont disponibles pour sub, name, groups, email, client_id, picture et email_verified (facultatif).

    Note Informations

    • Vous pouvez saisir plusieurs valeurs de recherche, séparées par une virgule, dans les champs de saisie. La première valeur non nulle trouvée sera utilisée.

    • La revendication groupes est nécessaire pour recevoir les groupes. Notez que les groupes imbriqués ne sont pas pris en charge dans Microsoft Entra ID.

  10. Vous pouvez éventuellement configurer les options avancées. Pour des informations plus détaillées, voir Options avancées.

  11. Cliquez sur Créer.

    Une boîte de dialogue de confirmation apparaît, proposant de valider la configuration IdP.

    • Pour procéder à la validation maintenant, sélectionner Valider l'IdP et cliquez sur Créer. Cette opération démarre le processus de validation. Suivez les étapes de l'assistant de validation pour établir une connexion et vérifiez que les données du profil utilisateur sont correctes.

    • Si vous préférez créer la configuration maintenant, mais la valider ultérieurement, décochez la case Valider l'IdP et cliquez sur Créer. Vous pourrez procéder à la validation ultérieurement en cliquant sur l'icône Plus de votre configuration IdP et en sélectionnant Valider.

    Validation et création de la configuration IdP.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

Ajout de l'URL de votre client à la liste verte du fournisseur d'identité

Auprès de votre fournisseur d'identité, ajoutez l'URL de votre client à la liste verte. Pour ce paramètre, il existe différents noms, par exemple URL de rappel autorisées, URI de redirection ou URI de redirection de connexion.

Lorsque vous ajoutez l'URL, vous devez ajouter login/callback à l'adresse de votre client, par exemple, https://<nom du client>/login/callback.

Note InformationsLors de la définition de l'URI de redirection, utilisez le nom d'hôte de client d'origine et non le nom d'hôte alias. Vous trouverez le nom d'hôte sous Paramètres > Client > Nom d'hôte dans la Console de gestion.

Options avancées

Les options avancées étendent les fonctionnalités de certains IdP.

Remplacement de l'adresse e-mail vérifiée : utilisé dans AD FS et dans Microsoft Entra ID pour s'assurer que l'adresse e-mail d'un utilisateur peut être utilisée pour le mapping d'identités. Cette option s'avère utile lors du changement d'IdP, mais également dans la Console de gestion pour faire la distinction entre deux utilisateurs portant exactement le même nom.

Étendue : utilisé dans la spécification OAuth 2.0 pour spécifier les privilèges d'accès lors de l'émission d'un jeton d'accès. Par exemple, utilisez cette option pour ajouter une étendue de groupes au cas où l'IdP en a besoin pour prendre en charge une fonction de groupes d'utilisateurs.

URI de redirection post-déconnexion : utilisé pour rediriger un utilisateur vers un URI défini après la déconnexion. Pour un exemple d'utilisation d'un URI de redirection post-déconnexion, voir Utilisation d'un URI de redirection post-déconnexion.

Transmission par un bloc de l'étendue 'accès_hors connexion' au fournisseur d'identité : lors de l'utilisation de Google Identity ou de OneLogin comme fournisseur d'identité, ce paramètre doit être activé pour que la configuration fonctionne avec les applications Qlik Sense Mobile SaaS et OAuth 2.0.

Création d'une nouvelle configuration IdP SAML interactive

Les administrateurs de clients peuvent créer de nouvelles configurations IdP. Vous ne pouvez avoir qu'un seul IdP interactif à la fois. Si vous en avez déjà un d'actif, vous devez commencer par le désactiver avant de pouvoir activer le nouveau. Pour plus d'informations, voir Modification des configurations IdP d'entreprise.

Ce chapitre explique comme régler les paramètres de fournisseur d'identité dans Qlik Cloud. Des réglages du côté du fournisseur d'identité sont aussi nécessaires. Pour obtenir des explications détaillées sur ces configurations, voir les rubriques suivantes :

Procédez comme suit :

  1. Dans la Console de gestion, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.

  2. Pour Type, sélectionnez SAML.

  3. Pour Fournisseur, sélectionnez un fournisseur d'identité dans la liste, ou sélectionnez Générique si votre fournisseur spécifique ne figure pas dans la liste.

  4. Vous pouvez éventuellement saisir une description pour la configuration IdP.

  5. Sous Configuration, vous avez la possibilité de charger les métadonnées XTM SAML auprès de votre fournisseur d'identité ou de saisir manuellement des valeurs individuelles.

    Procédez de l'une des manières suivantes :

    1. Sélectionnez Utiliser les métadonnées IdP.

    2. Cliquez sur Charger le fichier sous Métadonnées IdP SAML et sélectionnez le fichier contenant les métadonnées de votre fournisseur d'identité. Sinon, si les métadonnées de votre fournisseur d'identité ne sont pas disponibles sous forme de fichier, vous pouvez copier et coller directement les métadonnées dans le champ Métadonnées IdP.

    ou

    1. Cliquez sur Charger le fichier sous Certificats de signature pour charger le fichier de certificat.
      Il s'agit du certificat utilisé par le fournisseur d'identité pour signer les assertions SAML envoyées à Qlik Cloud.

    2. Saisissez l'ID d'entité de votre fournisseur d'identité.

    3. Saisissez l'URL d'authentification unique.

      Il s'agit du point de terminaison auquel les requêtes d'authentification SAML sont envoyées. Il s'agit de l'URL vers laquelle l'utilisateur est redirigé pour l'authentification.

    4. Sélectionnez un Format d'ID de nom.

    Configuration via les métadonnées et configuration manuelle.

    Volets de configuration affichés avec et sans l'utilisation des métadonnées IdP

  6. Vous pouvez éventuellement sélectionner Activer la connexion par IdP.

    Le flux de connexion par défaut commence par faire accéder l'utilisateur à Qlik Cloud, puis le redirige vers l'IdP pour l'authentification. Activez la connexion par IdP si vous souhaitez que l'utilisateur commence par se connecter au fournisseur d'identité, puis qu'il soit redirigé vers Qlik Cloud.

  7. Modifiez les champs sous Mapping de revendications ou conservez les valeurs par défaut.

    Les mappings de revendications définissent la manière dont les attributs utilisateur de votre fournisseur d'identité sont associés aux champs dans le modèle d'utilisateur Qlik Cloud. Les mappings sont disponibles pour sub, name, email, groups et picture. Réglez les valeurs en fonction des besoins de votre entreprise et des attributs de votre fournisseur d'identité.

    Note Informations

    • Vous pouvez saisir plusieurs valeurs de recherche, séparées par une virgule, dans les champs de saisie. La première valeur non nulle trouvée sera utilisée.

    • La revendication groupes est nécessaire pour recevoir les groupes. Notez que les groupes imbriqués ne sont pas pris en charge dans Microsoft Entra ID.

  8. Vous pouvez éventuellement configurer URI de redirection post-déconnexion sous Options avancées.

    Cette option est utilisée pour rediriger un utilisateur vers un URI défini après la déconnexion. Pour un exemple d'utilisation d'un URI de redirection post-déconnexion, voir Utilisation d'un URI de redirection post-déconnexion.

  9. Cliquez sur Créer.

    Une boîte de dialogue de confirmation apparaît, proposant de valider la configuration IdP.

    Les métadonnées et le certificat de signature du fournisseur de services SAML sont disponibles après la création de la configuration IdP. Si vous avez besoin de ces informations pour configurer le fournisseur d'identité, vous pouvez créer l'IdP sans validation pour commencer, puis procéder à la validation une fois la configuration de votre fournisseur d'identité terminée.

    • Pour procéder à la validation maintenant, sélectionner Valider l'IdP et cliquez sur Créer. Cette opération démarre le processus de validation. Suivez les étapes de l'assistant de validation pour établir une connexion et confirmez que les données du profil utilisateur sont valides.

    • Si vous préférez créer la configuration maintenant, mais la valider ultérieurement, décochez la case Valider l'IdP et cliquez sur Créer. Vous pourrez procéder à la validation ultérieurement en cliquant sur l'icône Plus de votre configuration IdP et en sélectionnant Valider.

    Validation et création de la configuration IdP.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

Chargement des métadonnées du fournisseur de services de votre fournisseur d'identité

Procédez comme suit :

  1. Dans la Console de gestion, dans la configuration IdP que vous venez de créer, cliquez sur Plus et sélectionnez Afficher la configuration du fournisseur.

    Une boîte de dialogue affiche les métadonnées du fournisseur de services et l'URL vers le point de terminaison des métadonnées.

    Métadonnées du fournisseur de services.

    Boîte de dialogue de confirmation avec l'option Valider l'IdP sélectionnée

  2. Suivant la configuration de votre fournisseur d'identité, copiez les métadonnées ou l'URL et enregistrez-les à des fins d'utilisation ultérieure. Téléchargez le fichier de certificat de signature, si nécessaire. Cliquez sur Terminé.

  3. Dans votre fournisseur d'identité, saisissez les métadonnées du fournisseur de services. Assurez-vous de configurer les paramètres obligatoires suivants :

    • URL Assertion Consumer Service (ACS). C'est là que le fournisseur d'identité envoie les assertions SAML après l'authentification.

    • ID d'entité du fournisseur de services.

    • Certificat permettant de valider les requêtes d’authentification. Il est utilisé par le fournisseur d'identité pour vérifier l'authenticité du fournisseur de services.

  4. Une fois la configuration de votre fournisseur d'identité terminée, vous pouvez valider votre configuration IdP dans la Console de gestion. Dans votre configuration, cliquez sur Plus et sélectionnez Valider. Suivez les étapes de l'assistant de validation pour établir une connexion et vérifiez que les données du profil utilisateur sont correctes.

Création d'une nouvelle configuration IdP machine-to-machine

Pour configurer un IdP machine-to-machine, suivez les instructions à la section Création d'une nouvelle configuration IdP OIDC interactive, mais sélectionnez Machine-to-Machine (M2M) comme type d'IdP.

Certains paramètres sont différents de ceux de la configuration OIDC interactive : les champs ID client et Clé secrète client ne s'appliquent pas dans ce contexte et, sous Mapping de revendications, vous trouverez uniquement des mappings pour sub et client_id.

Activation de la création automatique de groupes

Les groupes permettent de contrôler l'accès des utilisateurs et peuvent être créés automatiquement à partir des groupes de l'IdP. Lorsque la création automatique de groupes est activée, les groupes sont hérités du fournisseur d'identité de sorte que l'accès puisse être octroyé aux mêmes groupes d'utilisateurs que ceux qui existent dans l'IdP. Cela simplifie l'administration des accès par rapport à l'octroi d'accès individuel, utilisateur par utilisateur.

À mesure que les utilisateurs se connectent, de nouveaux groupes d'IdP apparaissent dynamiquement dans Qlik Cloud. Ces groupes ne sont pas tous importés en même temps ; au lieu de cela, les groupes de l'IdP sont détectés lors du processus de connexion. Seuls les groupes associés à des utilisateurs Qlik Cloud sont disponibles.

Pour pouvoir configurer des groupes, vous devez utiliser l'authentification unique et disposer d'un accès administrateur à votre IdP.

Procédez comme suit :

  1. Dans la Console de gestion, accédez à la page Paramètres.
  2. Sous Contrôle de fonction, sélectionnez Création de groupes.

En savoir plus

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !

Laissez vos commentaires ici