Gestione dei provider di identità
In Qlik Sense Enterprise SaaS è possibile utilizzare un provider di identità esistente (IdP) quando viene impostata la distribuzione. È anche possibile scegliere di utilizzare l'Qlik Account. In Qlik Sense Business, è possibile utilizzare soltanto Qlik Account.
Questo argomento descrive come configurare le impostazioni del provider di identità in Qlik Sense Enterprise SaaS. È inoltre necessario effettuare configurazioni sul lato del provider di identità. Per una panoramica di queste configurazioni, fare riferimento alle seguenti risorse:
Utilizzo di Salesforce.com come IDP per Qlik Sense Enterprise SaaS (autenticazione OIDC)
Utilizzo di Active Directory Federation Services come IDP per Qlik Sense Enterprise SaaS
Come fare per: Configurare Qlik Sense Enterprise SaaS al fine di utilizzare Azure AD come IdP
Creazione di una nuova configurazione di provider di identità
Procedere come indicato di seguito:
-
Nella Management Console, aprire la sezione Provider di identità.
-
Fare clic su Crea nuovo.
Verrà aperta la pagina per creare una configurazione IdP.
-
Selezionare il tipo IdP:
- Interattivo per l'accesso di utenti
- Macchina-macchina (M2M) per l'accesso
- Multi-cloud per immettere il token bearer locale per creare la configurazione del provider di identità (vedere MSC - Distribuzioni (solo in lingua inglese))
-
Selezionare il proprio provider IdP. Selezionare Generico se il proprio IdP specifico non è disponibile come opzione.
-
Facoltativamente, immettere una descrizione.
-
Compilare i campi nella sezione Credenziali applicazione:
-
Il primo campo è l'URL dell'endpoint che fornisce le informazioni di configurazione per consentire ai client
-
- Auth0: Configurazione OpenID
-
- Okta/Generico: URI metadati di OpenID Connect
-
Configurazione manuale
A volte un URL di scoperta non è disponibile o non fornisce metadati corretti. Anziché immettere un URL di endpoint per il recupero dei metadati, vengono immessi i dati corrispondenti nel modulo. Utilizzare soltanto la configurazione manuale se non si è inserito alcun URL di scoperta.
Procedere come indicato di seguito:
-
Nel pannello Crea configurazione provider di identità, selezionare un provider.
-
Attivare la Configurazione manuale.
Ciò disattiva il campo di configurazione OpenID e attiva i campi per la configurazione manuale.
-
Aggiungere Autorità emittente, l'URL del provider di identità.
-
Aggiungere Endpoint di autorizzazione, l'URL per l'interazione con il proprietario della risorsa, dove si ottiene l'autorizzazione di accesso alla risorsa.
-
Aggiungere Endpoint token, l'URL per ottenere un token di accesso.
-
Aggiungere Endpoint informazioni utente, l'URL per ottenere informazioni sull'utente.
-
Aggiungere
-
Facoltativamente, aggiungere Endpoint di fine sessione, l'URL utilizzato per attivare una disconnessione singola.
-
Facoltativamente, aggiungere Endpoint di introspezione, l'URL per convalidare token di riferimento o JWT.
-
Compilare i campi nella sezione Mapping attestazioni.
Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio
- sub, name, groups, email, client_id, picture
Le attestazioni dei gruppi sono necessarie per ricevere gruppi.
- sub, name, groups, email, client_id, picture
-
Nel proprio provider di identità, inserire nella allowlist l'URL del proprio tenant. L'impostazione presenta nomi diversi, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.
Quando lo si inserisce nella allowlist, è necessario aggiungere login/callback al proprio indirizzo tenant. Esempio: https://<nome tenant>/login/callback.
Nota: È necessario utilizzare il nome host originale e non il nome host alias al momento di impostare l'URI di reindirizzamento. Il nome host è riportato sotto Impostazioni > Tenant > Nome host.
-
-
ID client (solo interattivo): ID del client configurato presso l'IdP per l'autenticazione interattiva dell'utente.
-
Segreto client (solo interattivo): segreto per il client configurato presso l'IdP.
-
Area di autenticazione (facoltativo): Nome da associare con l'IdP. È lo stesso del nome di dominio in Qlik Sense Enterprise on Windows e viene utilizzato per la coerenza dei nomi in multi-cloud.
-
-
Compilare i campi nella sezione Mapping attestazioni.
Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio
- sub, name, groups, email, client_id, picture
Le attestazioni dei gruppi sono necessarie per ricevere gruppi.
- sub, name, groups, email, client_id, picture
-
Nel proprio provider di identità, inserire nella allowlist l'URL del proprio tenant. L'impostazione presenta nomi diversi, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.
Quando lo si inserisce nella allowlist, è necessario aggiungere login/callback al proprio indirizzo tenant. Esempio: https://<nome tenant>/login/callback.
Nota: È necessario utilizzare il nome host originale e non il nome host alias al momento di impostare l'URI di reindirizzamento. Il nome host è riportato sotto Impostazioni > Tenant > Nome host.
Opzioni avanzate
Le opzioni avanzate estendono le capacità di alcuni IdP.
Sostituzione e-mail verificata: Utilizzata in
Ambito: Utilizzato nella specifica
URI di reindirizzamento post-disconnessione (facoltativo): Utilizzato per reindirizzare un utente a un URI definito dopo la disconnessione.
Per un esempio di come utilizzare l'URI di reindirizzamento post-disconnessione, vedere: IdP: Utilizzo di URI di reindirizzamento post-disconnessione.
Abilitazione creazione automatica di gruppi
Abilita creazione automatica di gruppi è attivato sulla Management Console sulla pagina Impostazioni.
Groups are used for access control of users, and can optionally be automatically created from idp-groups.
| Property | Description |
|---|---|
| Enable auto-creation of groups |
When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time. It is required that you use single sign-on and have administrative access to your IdP to configure groups. Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier. |
Procedere come indicato di seguito:
- Nella Management Console, passare alla pagina Impostazioni.
- Sotto la sezione Gruppi, attivare il pulsante Abilita creazione automatica di gruppi.
Introduzione di modifiche a una configurazione esistente di IdP
È possibile effettuare modifiche a una configurazione esistente di IdP.
Procedere come indicato di seguito:
-
Nella Management Console, aprire la sezione Provider di identità.
-
Nella tabella, all'estrema destra, fare clic su ... per il IdP che si desidera modificare.
Viene visualizzato un menu secondario con opzioni per l'attivazione/disattivazione, la convalida, la modifica e l'eliminazione di IdP.
Attivazione/Disattivazione di IdP
È possibile disporre di più IdP interattivi configurati in parallelo, ma solo uno potrà essere attivo in un dato momento. Gli altri devono essere disattivati o eliminati. Quando si disattiva un IdP interattivo, si ritorna automaticamente alla configurazione di Qlik Account. Per ulteriori informazioni, vedere Eliminazione di IdP
Convalida di IdP
La convalida si attiva automaticamente quando viene salvato un IdP interattivo, ma è possibile attivare manualmente una convalida se necessario, ad esempio, dopo la modifica di IdP. Quando si seleziona Convalida, si passa al provider di identità per l'accesso, dopodiché si avanzerà all'interno di una serie di altri passaggi di convalida.
Modifica di IdP
È possibile modificare IdP di tutti i tipi. Dopo la modifica, convalidare i cambiamenti per assicurarsi che IdP funzioni correttamente. L'opzione Convalida non è disponibile per le configurazioni Macchina-macchina.
Eliminazione di IdP
In Qlik Sense Enterprise SaaS, il valore predefinito di IdP è Qlik Account. È possibile passare a un IdP aziendale di propria scelta. Se si decide successivamente di eliminare il IdP aziendale, si dovrà essere consapevoli delle conseguenze.
Quando si elimina un IdP aziendale, il tenant ritorna a Qlik Account. Gli utenti che accedono al tenant mediante il IdP aziendale eliminato non possono più effettuare l'accesso, né possono accedere al contenuto che hanno creato. Tuttavia, il proprio contenuto resta visibile da parte degli amministratori del tenant Qlik Account, che possono modificarne la proprietà.
Inoltre, se tali utenti hanno utilizzato in precedenza Qlik Account, con lo stesso indirizzo e-mail utilizzato per il IdP aziendale, qualsiasi contenuto creato durante il periodo con il Qlik Account viene conservato.