Vai al contenuto principale Passa a contenuto complementare
Risorse Qlik

Creazione di una nuova configurazione di provider di identità

Qlik Cloud fornisce la configurazione del provider di identità (IdP) per l'accesso utente, l'accesso API e la configurazione multi-cloud. Ogni tenant Qlik Cloud supporta un IdP interattivo come Account Qlik, Microsoft Entra ID (noto in precedenza come Azure AD), OKTA, Auth0 o un altro IdP conforme a OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

Gli amministratori tenant possono creare diverse configurazioni IdP dalla Console di gestione:

  • per l'accesso utente, configurare un IdP interattivo. Scegliere tra OIDC o SAML, a seconda dallo standard supportato del provider di identità utilizzato.

    Nota informaticaPuò essere attivo un solo IdP interattivo alla volta. Se si distribuisce un IdP interattivo personalizzato, quest'ultimo sostituirà il flusso di accesso di Account Qlik con il processo di autenticazione definito dall'IdP selezionato.

  • Per l'accesso API, selezionare l'autenticazione Machine-to-Machine (M2M).

  • Per una gestione fluida dell'identità multi-cloud, configurare un IdP Multi-cloud con il token bearer locale.

Creazione di una nuova configurazione IdP OIDC interattiva

Gli amministratori tenant possono creare nuove configurazioni IdP. È possibile disporre di un solo IdP interattivo alla volta. Se ne è già stato attivato uno, è necessario disattivarlo prima di poterne attivare uno nuovo. Per ulteriori informazioni, vedere Modifica delle configurazioni di IdP aziendali.

Questo argomento descrive come configurare le impostazioni del provider di identità in Qlik Cloud. È inoltre necessario effettuare configurazioni sul lato del provider di identità. Per una panoramica di queste configurazioni, fare riferimento alle seguenti risorse:

Procedere come indicato di seguito:

  1. In Console di gestione, andare in Provider di identità, quindi fare clic su Crea nuovo.

  2. Per l'opzione Tipo, selezionare OIDC.

  3. In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.

  4. Facoltativamente, inserire una descrizione per la configurazione IdP.

  5. In Credenziali applicazione, è possibile inserire l'URL di individuazione. Se un URL di individuazione non è disponibile o non fornisce i metadati corretti, è possibile anche per inserire i valori individuali manualmente. La configurazione manuale dovrebbe essere utilizzata solo quando un URL di individuazione non è stata inserita.

    Effettuare una delle seguenti operazioni:

    1. inserire l'URL di individuazione. Questo è l'URL dell'endpoint che fornisce i dati di configurazione per i client OAuth per consentire di interfacciarsicon l'IdP utilizzando il protocollo OpenID Connect. Le convenzioni di denominazione per l'URL di individuazione in base al provider scelto:

      • ADFS: URL di individuazione ADFS

      • Auth0: configurazione OpenID

      • Keycloak: configurazione endpoint Keycloak OpenID

      • Okta o IdP generico: URI metadati di OpenID Connect

      • Salesforce: URL di individuazione Salesforce

    o

    1. Selezionare Configurazione manuale.

    2. Immettere i valori seguenti:

      • Endpoint di autorizzazione: l'URL per l'interazione con il proprietario della risorsa, dove è possibile ottenere l'autorizzazione per accedere alla risorsa.

      • Endpoint di fine sessione (facoltativo): l'URL utilizzato per attivare un singolo Single Sign-Out.

      • Endpoint di introspezione (facoltativo): l'URL per convalidare i token di riferimento o JWT.

      • Autorità emittente: l'URL al provider di identità.

      • URI JWKS: l'URI al JSON Web Key Set contenente chiavi pubbliche utilizzato per la verifica di un JSON Web Token (JWT).

      • Endpoint token: l'URL per ottenere accesso al token.

      • Endpoint informazioni utente (facoltativo): l'URL per ottenere le informazioni utente.

    La configurazione che utilizza l'URL di individuazione e una configurazione manuale.

    I pannelli di configurazione mostrati con e senza l'utilizzo di un URL di individuazione

  6. Immettere un ID client: l'ID del client configurato con l'IdP per l'autenticazione interattiva dell'utente.

  7. Immettere un Segreto client: il segreto per il client configurato con l'IdP.

  8. Facoltativamente, immettere un'Area di autenticazione. Si tratta del nome da associare all'IdP. Coincide con il nome di dominio in Qlik Sense Enterprise on Windows e si utilizza per mantenere la coerenza di denominazione nel multi-cloud.

  9. Compilare i campi in Mapping attestazioni.

    Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio OpenID Connect. I valori di mapping sono disponibili per sub, name, groups, email, client_id, picture, e email_verified (facoltativo).

    Nota informatica

    • Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.

    • Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.

  10. Facoltativamente, configurare le opzioni avanzate. Per ulteriori dettagli, vedere Opzioni avanzate.

  11. Fare clic su Crea.

    Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.

    • Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.

    • Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su Altro durante la configurazione IdP e selezionando Convalida.

    Convalida e creazione della configurazione IdP.

    Finestra di dialogo di conferma con l'opzione Convalida IdP selezionata

Aggiunta dell'URL del tenant alla allowlist del provider di identità

Nel provider di identità, aggiungere l'URL del tenant all'elenco degli elementi consentiti. Sono disponibili nomi diversi per questa impostazione, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.

Quando si aggiunge l'URL, è necessario aggiungere login/callback alla fine dell'indirizzo del tenant, ad esempio: in https://<nome tenant>/login/callback.

Nota informaticaAl momento di impostare l'URI di reindirizzamento, utilizzare il nome host originale del tenant e non il nome host alias. Il nome host è riportato sotto Impostazioni > Tenant > Nome host in Console di gestione.

Opzioni avanzate

Le opzioni avanzate estendono le funzionalità di alcuni IdP.

Sostituzione e-mail verificata: utilizzata in ADFS e in Microsoft Entra ID per assicurare che l'indirizzo e-mail di un utente possa essere utilizzato per la mappatura dell'identità. Questa opzione è utile quando si cambia IdP, ma anche in Console di gestione per distinguere due utenti con lo stesso nome.

Ambito: utilizzato nella specifica OAuth 2.0 per specificare i privilegi di accesso quando si emette un token di accesso. Per esempio, utilizzare questa opzione per aggiungere un ambito per i gruppi se l'IdP lo richiede per supportare una funzionalità di gruppi di utenti.

Utilizzo di URI di reindirizzamento post-disconnessione: utilizzato per reindirizzare un utente a un URI definito dopo la disconnessione. Per un esempio su come utilizzare un URI di reindirizzamento dopo la disconnessione, vedere Utilizzo di URI di reindirizzamento post-disconnessione.

Bloccare il passaggio dell'ambito 'offline_access' al provider di identità: quando si utilizza Google Identity o OneLogin come provider di identità, questa impostazione deve essere attivata perché la configurazione funzioni con le applicazioni Qlik Sense Mobile SaaS e OAuth 2.0.

Creazione di una nuova configurazione IdP SAML interattiva

Gli amministratori tenant possono creare nuove configurazioni IdP. È possibile disporre di un solo IdP interattivo alla volta. Se ne è già stato attivato uno, è necessario disattivarlo prima di poterne attivare uno nuovo. Per ulteriori informazioni, vedere Modifica delle configurazioni di IdP aziendali.

Questo argomento descrive come configurare le impostazioni del provider di identità in Qlik Cloud. È inoltre necessario effettuare configurazioni sul lato del provider di identità. Per una panoramica di queste configurazioni, fare riferimento ai seguenti argomenti:

Procedere come indicato di seguito:

  1. In Console di gestione, andare in Provider di identità, quindi fare clic su Crea nuovo.

  2. Per l'opzione Tipo, selezionare SAML.

  3. In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.

  4. Facoltativamente, inserire una descrizione per la configurazione IdP.

  5. In Configurazione, è possibile caricare i metadati XML SAML dal provider di identità o inserire manualmente i valori individuali.

    Effettuare una delle seguenti operazioni:

    1. Selezionare Usa metadati IdP.

    2. Fare clic su Carica file in Metadati SAML IdP e selezionare il file contenente i metadati dal provider di identità. In alternativa, se i metadati del provider di identità non sono disponibili come file, è possibile copiarli e incollarli direttamente nel campo Metadati IdP.

    o

    1. Fare clic su Carica file in Certificati di firma per caricare il file del certificato.
      È il certificato utilizzato dal provider di identità per firmare le asserzioni SAML inviate a Qlik Cloud.

    2. Immettere l'ID entità del provider di identità.

    3. Immettere l'URL Single Sign-On.

      È l'endpoint dove vengono inviate le richieste di autenticazione SAML. È l'URL dove l'utente viene reindirizzato per l'autenticazione.

    4. Selezionare un Formato ID nome.

    La configurazione che utilizza i metadati e una configurazione manuale.

    I pannelli di configurazione mostrati con e senza l'utilizzo di metadati IdP

  6. Facoltativamente, selezionare Abilita accesso inizializzato da IdP.

    Seguendo il flusso di accesso predefinito, l'utente prima va su Qlik Cloud e viene quindi rediretto per completare l'autenticazione IdP. Abilitare l'accesso avviato con IdP se si desidera che gli utenti prima accedano al provider di identità e poi vengano rediretti su Qlik Cloud.

  7. Modificare i campi in Mapping attestazioni o mantenere i valori predefiniti.

    L'opzione Mapping attestazioni definisce il modo in cui gli attributi utente dal provider di identità sono associati ai campi nel modello dell'utente di Qlik Cloud. I valori di mapping sono disponibili per sub, name, email, groups e picture. Regolare i valori per adattarli alle esigenze dell'organizzazione e gli attributi dal provider di identità.

    Nota informatica

    • Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.

    • Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.

  8. Facoltativamente, configurare URI di reindirizzamento post-disconnessione in Opzioni avanzate.

    Questo viene utilizzato per reindirizzare un utente a un URI definito dopo la disconnessione. Per un esempio su come utilizzare un URI di reindirizzamento dopo la disconnessione, vedere Utilizzo di URI di reindirizzamento post-disconnessione.

  9. Fare clic su Crea.

    Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.

    I metadati e il certificato di firma del provider di servizi SAML sono disponibili solo dopo la creazione della configurazione IdP. Se queste informazioni sono necessarie per configurare il provider di identità, è possibile creare l'IdP inizialmente senza la convalida, e quindi effettuare la convalida una volta completata la configurazione con il provider di identità.

    • Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e confermare che i dati del profilo utente sono validi.

    • Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su Altro durante la configurazione IdP e selezionando Convalida.

    Convalida e creazione della configurazione IdP.

    Finestra di dialogo di conferma con l'opzione Convalida IdP selezionata

Caricamento dei metadati del provider di servizi sul provider di identità

Procedere come indicato di seguito:

  1. In Console di gestione, nella configurazione IdP appena creata, fare clic su Altro e selezionare Visualizza configurazione provider.

    Una finestra di dialogo mostra i metadati del provider di servizi e l'URL all'endpoint dei metadati.

    Metadati del provider di servizi.

    Finestra di dialogo di conferma con l'opzione Convalida IdP selezionata

  2. A seconda della configurazione per il provider di identità utilizzato, copiare i metadati o l'URL e salvarli per l'utilizzo successivo. Scaricare il file del certificato di firma, se richiesto. Fare clic su Fine.

  3. Nel provider di identità, inserire i metadati del provider di servizi. Assicurarsi di configurare le seguenti impostazioni richieste:

    • Assertion Consumer Service (ACS) URL. È l'URL dove il provider di identità invia le asserzioni SAML dopo l'autenticazione.

    • ID entità del provider di servizi.

    • Il certificato per la convalida delle richieste di autenticazione. Questo viene utilizzato dal provider di identità per verificare l'autenticità del provider di servizi.

  4. Una volta completata la configurazione nel provider di identità, è possibile convalidare la configurazione IdP in Console di gestione. Fare clic su Altro e selezionare Convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.

Creazione di una nuova configurazione IdP machine-to-machine

Per configurare un IdP machine-to-machine, seguire le istruzioni per Creazione di una nuova configurazione IdP OIDC interattiva, ma selezionare Machine-to-Machine (M2M) come tipo di IdP.

Alcune impostazioni sono differenti rispetto alla configurazione OIDC interattiva: i campi ID client e Segreto client non sono applicabili in questo contesto, mentre in Mapping attestazioni saranno presenti solo i mapping per sub e client_id.

Abilitazione creazione automatica di gruppi

I gruppi sono utilizzati per il controllo degli accessi degli utenti e possono essere creati automaticamente da gruppi IdP IdP. Quando la creazione automatica dei gruppi è abilitata, vengono ereditati i gruppi dal provider di identità in modo che possa essere concesso l'accesso agli stessi gruppi di utenti esistenti nel IdP. Ciò semplifica l'amministrazione degli accessi rispetto alla concessione dell'accesso a un utente alla volta.

Quando gli utenti accedono, i nuovi gruppi IdP vengono visualizzati in modo dinamico in Qlik Cloud. Questi gruppi non vengono importati tutti allo stesso tempo; invece, i gruppi IdP vengono visualizzati durante il processo di accesso. Sono disponibili solo i gruppi associati agli utenti Qlik Cloud.

Per configurare i gruppi, è necessario utilizzare il Single Sign-On e disporre dell'accesso amministrativo al proprio provider IdP.

Procedere come indicato di seguito:

  1. Nella Console di gestione, passare alla pagina Impostazioni.
  2. In Controllo funzionalità, selezionare Creazione di gruppi.
APPRENDIMENTO CORRELATO:

Ulteriori informazioni

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!

Lascia qui il tuo feedback