Accéder au contenu principal
Création d'une configuration de fournisseur d'identité

SUR CETTE PAGE

Création d'une configuration de fournisseur d'identité

L'administrateur de clients peut créer des configurations IdP à partir de Management Console. Qlik Sense SaaS fournit une configuration IdP pour la connexion des utilisateurs, l'accès aux API et la configuration multi-cloud.

Procédez comme suit :

  1. Dans Management Console, ouvrez la section Fournisseur d'identité.

  2. Cliquez sur Créer un nouvel élément.

    La page de création d'une configuration IdP s'ouvre.

  3. Sélectionnez le type IdP :

    • Interactif pour la connexion d'utilisateurs
    • M2M (Machine-to-Machine) pour un accès API
    • Multi-Cloud pour saisir votre jeton de porteur local afin de créer la configuration du fournisseur d'identité, voir MSC - Déploiements (uniquement en anglais)
  4. Sélectionnez votre fournisseur IdP. Sélectionnez Générique si votre IdP spécifique n'est pas disponible comme option.

  5. Vous pouvez aussi entrer une description.

  6. Remplissez les champs dans la section Informations d'identification de l'application :

    1. Le premier champ est l'URL pointant vers le point de terminaison qui fournit des informations de configuration aux clients OAuth pour pouvoir communiquer avec l'IdP via le protocole OpenID Connect. Il a différents noms :

      • ADFS : ADFS URL de découverte
      • Auth0: Configuration OpenID
      • Keycloak : Configuration du point de terminaison OpenID Keycloak
      • Okta/Générique : URI des métadonnées OpenID Connect
      • Salesforce : Salesforce URL de découverte

      Configuration manuelle

      Parfois, une URL de découverte n'est pas disponible ou ne donne pas les bonnes métadonnées. Au lieu de saisir une URL de point de terminaison pour le retrait des métadonnées, vous saisissez les données correspondantes dans le formulaire. Vous pouvez utiliser la configuration manuelle uniquement si vous n'avez pas saisi d'URL de découverte.

      1. Dans le volet Créer une configuration de fournisseur d'identité, sélectionnez un fournisseur.

      2. Activez Configuration manuelle.

        Ceci désactive le champ Configuration OpenID et active les champs pour la configuration manuelle.

      3. Ajoutez Émetteur, URL pour le fournisseur d'identité.

      4. Ajoutez Point de terminaison d'autorisation, URL pour l'interaction avec le propriétaire des ressources, où vous obtenez l'autorisation d'accéder à la ressource.

      5. Ajoutez Point de terminaison de jeton, URL pour obtenir un jeton d'accès.

      6. Ajoutez Point de terminaison d'infos utilisateur, URL pour obtenir les informations utilisateur.

      7. Ajoutez JWKSURI, URI pour un JSON Web Key Set contenant les clés publiques utilisés pour vérifier un JSON Web Token (JWT).

      8. En option, ajoutez Point de terminaison de fin de session, URL utilisée pour déclencher une déconnexion unique.

      9. En option, ajoutez Point de terminaison d'introspection, URL pour valider les jetons de référence ou JWT.

      10. Renseignez les champs dans la section Mappage de revendications.

        Les revendications sont des instructions (paires nom/valeur) sur l'entité (dans de nombreux cas, l'utilisateur) et les métadonnées sur le service OpenID Connect. Pour chaque revendication, vous pouvez utiliser plusieurs valeurs, séparées par des virgules.

        • sub, name, groups, email, client_id, picture, email_verified (facultatif) pour interactif, et sub et client_id pour Machine-to-Machine.
          La revendication en groupes est nécessaire pour recevoir les groupes.
      11. Auprès de votre fournisseur d'identité, inscrivez l'URL de votre client dans la liste verte. Le paramètre possède différents noms, par exemple URL de rappel autorisés, URI de redirectionou URI de redirection connexion.

        Lors de l'inscription sur la liste verte, vous devez ajouter login/callback à l'adresse de votre client. Par exemple : https://<tenant name>/login/callback.

        Note InformationsLors de la définition de l'URI de redirection, vous devez utiliser le nom d'hôte d'origine et non le nom d'hôte alias. Vous trouverez le nom d'hôte dans Paramètres > Client > Nom d'hôte.
    2. ID du client (uniquement pour interactif) : ID du client configuré sur l'IdP à des fins d'authentification utilisateur interactive.

    3. Secret du client (uniquement pour interactif) : Clé secrète du client qui a été configurée sur l'IdP.

    4. Domaine (facultatif) : Nom à associer à l'IdP. Il s'agit du même que le nom de domaine dans Qlik Sense Enterprise on Windows et il est utilisé pour que les noms soient cohérents dans le Multi-Cloud.

  7. Renseignez les champs dans la section Mappage de revendications.

    Les revendications sont des instructions (paires nom/valeur) sur l'entité (dans de nombreux cas, l'utilisateur) et les métadonnées sur le service OpenID Connect. Pour chaque revendication, vous pouvez utiliser plusieurs valeurs, séparées par des virgules.

    • sub, name, groups, email, client_id, picture, email_verified (facultatif) pour interactif, et sub et client_id pour Machine-to-Machine.
      La revendication en groupes est nécessaire pour recevoir les groupes.
  8. Auprès de votre fournisseur d'identité, inscrivez l'URL de votre client dans la liste verte. Le paramètre possède différents noms, par exemple URL de rappel autorisés, URI de redirectionou URI de redirection connexion.

    Lors de l'inscription sur la liste verte, vous devez ajouter login/callback à l'adresse de votre client. Par exemple : https://<tenant name>/login/callback.

    Note InformationsLors de la définition de l'URI de redirection, vous devez utiliser le nom d'hôte d'origine et non le nom d'hôte alias. Vous trouverez le nom d'hôte dans Paramètres > Client > Nom d'hôte.

Options avancées

Les options avancées étendent les fonctionnalités de certains IdP.

Remplacement de email_verified : utilisé dans ADFS et dans Azure AD pour garantir que l'adresse e-mail d'un utilisateur peut être utilisée pour le mappage d'identité. Cette option est utile lors de la permutation d'IdP, mais également dans Management Console, pour distinguer deux utilisateurs portant exactement le même nom.

Étendue : utilisé dans la spécification OAuth 2.0 pour spécifier les privilèges d'accès lors de l'émission d'un jeton d'accès. Par exemple, utilisez cette option pour ajouter une étendue de groupes au cas où IdP nécessite la prise en charge d'une caractéristique de groupes d'utilisateurs.

URI de redirection post-déconnexion (facultatif) : utilisé pour rediriger un utilisateur vers un URI défini après la déconnexion.

Pour un exemple d'utilisation de l'URI de redirection post-déconnexion, voir : Utilisation d'un URI de redirection post-déconnexion.

Transmission par un bloc de l'étendue 'accès_hors connexion' au fournisseur d'identité : Lors de l'utilisation de Google Identity ou de OneLogin comme fournisseur d'identité, ce paramètre doit être activé pour que la configuration fonctionne avec les applications Qlik Sense Mobile for SaaS et OAuth 2.0.

Activation de la création automatique de groupes

La fonction Activer la création automatique de groupes est activée dans Management Console sur la page Paramètres.

Les groupes permettent de contrôler l'accès des utilisateurs et peuvent être créés automatiquement à partir des groupes IdP.

Propriété Activer la création automatique des groupes
Propriété Description
Activer la création automatique des groupes

Lorsque cette propriété est activée, les groupes sont hérités du fournisseur d'identité de façon à ce que l'accès puisse être octroyé aux groupes d'utilisateurs qui existent dans IdP. Cela simplifie l'administration des accès par rapport à l'octroi d'accès individuel, utilisateur par utilisateur.

Pour pouvoir configurer des groupes, vous devez utiliser l'authentification unique et disposer d'un accès administrateur à IdP.

Notez que les nouveaux groupes IdP s'afficheront dans Qlik Sense Enterprise comme une connexion utilisateur (ou connectez-vous de nouveau) pour le client Qlik Sense Enterprise. IdP les groupes ne sont pas tous importés au même moment. Les groupes IdP sont à la place découverts au moment de la connexion. De plus, seuls les groupes associés avec des utilisateurs dans Qlik Sense Enterprise seront disponibles comme décrit précédemment.

Procédez comme suit :

  1. Dans Management Console, accédez à la page Paramètres.
  2. Sous la section Groupes, activez le bouton Activer la création automatique de groupes.

Supprimez ce texte et remplacez-le par votre propre contenu.