Création d'une configuration IdP OIDC interactive

Ce chapitre explique comme régler les paramètres de fournisseur d'identité dans Qlik Cloud.

Configuration côté fournisseur d'identité

Outre la configuration dans Qlik Cloud, vous devez également effectuer des configurations côté fournisseur d'identité. Pour obtenir des explication sur ces réglages, voir les ressources suivantes :

Utilisation de Salesforce.com comme IDP pour Qlik Sense Enterprise SaaS (authentification OIDC)
Utilisation d'Active Directory Federation Services comme IDP pour Qlik Sense Enterprise SaaS
Procédure : Configuration de Qlik Sense Enterprise SaaS de sorte à utiliser Azure AD comme IdP

Configuration dans Qlik Cloud

Les administrateurs de clients peuvent créer de nouvelles configurations IdP.

Vous ne pouvez avoir qu'un seul IdP interactif à la fois. Si vous en avez déjà un d'actif, vous devez commencer par le désactiver avant de pouvoir activer le nouveau. Pour plus d'informations, consultez Changement de fournisseurs d'identité d'entreprise.

Procédez comme suit :

Dans le centre d'activités Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.
Pour Type, sélectionnez OIDC.
Pour Fournisseur, sélectionnez un fournisseur d'identité dans la liste, ou sélectionnez Générique si votre fournisseur spécifique ne figure pas dans la liste.
Vous pouvez éventuellement saisir une description pour la configuration IdP.
Sous Informations d'identification de l'application, vous pouvez saisir l'URL de découverte. S'il n'existe pas d'URL de découverte disponible ou si l'URL de découverte ne fournit pas les métadonnées appropriées, vous avez également la possibilité de saisir manuellement des valeurs individuelles. La configuration manuelle doit être utilisée uniquement lorsqu'aucune URL de découverte n'a été saisie.

Procédez de l'une des manières suivantes :
1. Saisissez l'URL de découverte. Il s'agit de l'URL vers le point de terminaison qui fournit les données de configuration permettant aux clients OAuth de s'interfacer avec l'IdP via le protocole OpenID Connect. Les conventions de nommage de l'URL de découverte varient en fonction du fournisseur que vous avez sélectionné :
  - ADFS : URL de découverte d'AD FS
  - Auth0 : Configuration OpenID
  - Keycloak : Configuration du point de terminaison OpenID Keycloak
  - IdP générique ou Okta : URI des métadonnées OpenID Connect
  - Salesforce : URL de découverte de Salesforce
ou
1. Sélectionnez Configuration manuelle.
2. Saisissez les valeurs suivantes :
  - Point de terminaison d'autorisation : URL pour l'interaction avec le propriétaire de la ressource, qui vous donne l'autorisation d'accéder à la ressource.
  - Point de terminaison de fin de session (facultatif) : URL utilisée pour déclencher une déconnexion unique.
  - Point de terminaison d'introspection (facultatif) : URL permettant de valider les jetons de référence ou JWT.
  - Émetteur : URL pointant vers le fournisseur d'identité.
  - URI JWKS : URI pointant vers l'ensemble de clés Web JSON (JSON Web Key Set ou JWKS) contenant les clés publiques utilisées pour vérifier un jeton Web JSON (JSON Web Token ou JWT).
  - Point de terminaison de jeton : URL permettant d'obtenir un jeton d'accès.
  - Point de terminaison d'infos utilisateur (facultatif) : URL permettant d'obtenir des informations utilisateur.
Configuration via l'URL de découverte et configuration manuelle.
Saisissez l'ID client : ID du client configuré auprès de l'IdP pour une authentification utilisateur interactive.
Saisissez la Clé secrète client : clé secrète du client configuré auprès de l'IdP.
Vous pouvez éventuellement saisir un Domaine. Il s'agit du nom à associer à l'IdP. Il est identique au nom de domaine dans Qlik Sense Enterprise on Windows et utilisé pour un nommage cohérent en mode multicloud.
Renseignez les champs sous Mapping de revendications.

Les revendications sont des instructions (paires nom/valeur) sur l'entité (dans de nombreux cas, l'utilisateur) et les métadonnées sur le service OpenID Connect. Les mappings sont disponibles pour sub, name, groups, email, client_id, picture et email_verified (facultatif).
Note Informations
- Vous pouvez saisir plusieurs valeurs de recherche, séparées par une virgule, dans les champs de saisie. La première valeur non nulle trouvée sera utilisée.
- La revendication groupes est nécessaire pour recevoir les groupes. Notez que les groupes imbriqués ne sont pas supportés dans Microsoft Entra ID.
Vous pouvez éventuellement configurer les options avancées. Pour des informations plus détaillées, consultez Options avancées.
Cliquez sur Créer.

Une boîte de dialogue de confirmation apparaît, proposant de valider la configuration IdP.
- Pour procéder à la validation maintenant, sélectionner Valider l'IdP et cliquez sur Créer. Cette opération démarre le processus de validation. Suivez les étapes de l'assistant de validation pour établir une connexion et vérifiez que les données du profil utilisateur sont correctes.
- Si vous préférez créer la configuration maintenant, mais la valider ultérieurement, décochez la case Valider l'IdP et cliquez sur Créer. Vous pourrez procéder à la validation ultérieurement en cliquant sur l'icône de votre configuration IdP et en sélectionnant Valider.
Validation et création de la configuration IdP.

Ajout de l'URL de votre client à la liste verte du fournisseur d'identité

Auprès de votre fournisseur d'identité, ajoutez l'URL de votre client à la liste verte. Pour ce paramètre, il existe différents noms, par exemple URL de rappel autorisées, URI de redirection ou URI de redirection de connexion.

Lorsque vous ajoutez l'URL, vous devez ajouter login/callback à l'adresse de votre client, par exemple, https://<nom du client>/login/callback.

Lors de la définition de l'URI de redirection, utilisez le nom d'hôte de client d'origine et non le nom d'hôte alias. Vous trouverez le nom d'hôte du client dans le menu de votre profil utilisateur, dans la section À propos de.

Options avancées

Les options avancées offrent des fonctionnalités supplémentaires pour certains fournisseurs d'identité.

Remplacement de l'adresse e-mail vérifiée

Activez ce paramètre pour que la revendication email_verified (e-mail_vérifié) soit toujours définie sur true (vrai). Cela permet de s'assurer que les adresses e-mail peuvent être utilisées pour le mappage d'identités dans ADFS et Microsoft Entra ID. Cela s'avère particulièrement utile lors du changement d'IdP et permet de faire la distinction entre les utilisateurs qui portent des noms identiques dans le centre d'activités Administration.

Étendue

Les étendues définissent les privilèges d'accès demandés lors de l'émission d'un jeton d'accès, conformément à la spécification OAuth 2.0. Saisissez des valeurs séparées par des espaces pour spécifier les autorisations que vous souhaitez demander auprès du fournisseur d'identité. Exemple, incluez une étendue groupes si l'IdP le demande pour supporter les fonctions de groupes d'utilisateurs.

URI de redirection post-déconnexion

Utilisez ce champ pour spécifier un URI vers lequel les utilisateurs seront redirigés après s'être déconnectés. Pour des instructions détaillées, consultez Utilisation d'un URI de redirection post-déconnexion.

Bloc accès_hors connexion

Lorsque vous utilisez Google Identity ou OneLogin comme fournisseur d'identité, activez ce paramètre pour empêcher la transmission de l'étendue offline_access (accès_hors connexion) au fournisseur d'identité. Cela permet de s'assurer que la configuration fonctionne correctement avec les applications Qlik Sense Mobile SaaS et OAuth 2.0.

Algorithme de signature par ID de jeton

L'algorithme de signature RSA garantit l'authenticité et l'intégrité des jetons d'ID. Qlik Cloud supporte deux options :

RS256 (par défaut)
RS512

Sélectionnez l'algorithme en fonction de vos besoins en matière de sécurité.

Vérification et déchiffrement de signature de jeton

Générez des paires de clés pour vérifier les signatures et déchiffrer les jetons JWT (JSON Web Tokens) chiffrés. Pour des instructions détaillées, consultez Gestion des paires de clés pour les jetons d'ID signés et chiffrés.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !

Laissez vos commentaires ici