Creazione di una nuova configurazione di provider di identità

Qlik Cloud fornisce la configurazione del provider di identità (IdP) per l'accesso utente, l'accesso API e la configurazione multi-cloud. Ogni tenant Qlik Cloud supporta un IdP interattivo come Account Qlik, Microsoft Entra ID (noto in precedenza come Azure AD), OKTA, Auth0 o un altro IdP conforme a OpenID Connect (OIDC) o Security Assertion Markup Language (SAML).

Gli amministratori tenant possono creare diverse configurazioni IdP dal centro attività Amministrazione:

• per l'accesso utente, configurare un IdP interattivo. Scegliere tra OIDC o SAML, a seconda dallo standard supportato del provider di identità utilizzato.

  Nota informatica

  • Può essere attivo un solo IdP interattivo alla volta. Se si distribuisce un IdP interattivo personalizzato, quest'ultimo sostituirà il flusso di accesso di Account Qlik con il processo di autenticazione definito dall'IdP selezionato.

  • La gestione degli errori di SSO per l'IdP aziendale deve essere configurata tramite il provider di identità. Qlik Cloud non supporta la configurazione di un URL di reindirizzamento alternativo.

• Per una gestione fluida dell'identità multi-cloud, configurare un IdP Multi-cloud con il token bearer locale.

Creazione di una nuova configurazione IdP OIDC interattiva

Gli amministratori tenant possono creare nuove configurazioni IdP. È possibile disporre di un solo IdP interattivo alla volta. Se ne è già stato attivato uno, è necessario disattivarlo prima di poterne attivare uno nuovo. Per ulteriori informazioni, vedere Modifica delle configurazioni di IdP aziendali.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, andare in Provider di identità, quindi fare clic su Crea nuovo.

2. Per l'opzione Tipo, selezionare OIDC.

3. In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.

4. Facoltativamente, inserire una descrizione per la configurazione IdP.

5. In Credenziali applicazione, è possibile inserire l'URL di individuazione. Se un URL di individuazione non è disponibile o non fornisce i metadati corretti, è possibile anche per inserire i valori individuali manualmente. La configurazione manuale dovrebbe essere utilizzata solo quando un URL di individuazione non è stata inserita.

   Effettuare una delle seguenti operazioni:

   1. inserire l'URL di individuazione. Questo è l'URL dell'endpoint che fornisce i dati di configurazione per i client OAuth per consentire di interfacciarsicon l'IdP utilizzando il protocollo OpenID Connect. Le convenzioni di denominazione per l'URL di individuazione in base al provider scelto:

      • ADFS: URL di individuazione ADFS

      • Auth0: configurazione OpenID

      • Keycloak: configurazione endpoint Keycloak OpenID

      • Okta o IdP generico: URI metadati di OpenID Connect

      • Salesforce: URL di individuazione Salesforce

   o

   1. Selezionare Configurazione manuale.

   2. Immettere i valori seguenti:

      • Endpoint di autorizzazione: l'URL per l'interazione con il proprietario della risorsa, dove è possibile ottenere l'autorizzazione per accedere alla risorsa.

      • Endpoint di fine sessione (facoltativo): l'URL utilizzato per attivare un singolo Single Sign-Out.

      • Endpoint di introspezione (facoltativo): l'URL per convalidare i token di riferimento o JWT.

      • Autorità emittente: l'URL al provider di identità.

      • URI JWKS: l'URI al JSON Web Key Set contenente chiavi pubbliche utilizzato per la verifica di un JSON Web Token (JWT).

      • Endpoint token: l'URL per ottenere accesso al token.

      • Endpoint informazioni utente (facoltativo): l'URL per ottenere le informazioni utente.

   

6. Immettere un ID client: l'ID del client configurato con l'IdP per l'autenticazione interattiva dell'utente.

7. Immettere un Segreto client: il segreto per il client configurato con l'IdP.

8. Facoltativamente, immettere un'Area di autenticazione. Si tratta del nome da associare all'IdP. Coincide con il nome di dominio in Qlik Sense Enterprise on Windows e si utilizza per mantenere la coerenza di denominazione nel multi-cloud.

9. Compilare i campi in Mapping attestazioni.

   Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio OpenID Connect. I valori di mapping sono disponibili per sub, name, groups, email, client_id, picture, e email_verified (facoltativo).

   Nota informatica

   • Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.

   • Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.

10. Facoltativamente, configurare le opzioni avanzate. Per ulteriori dettagli, vedere Opzioni avanzate.

11. Fare clic su Crea.

    Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.

    • Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.

    • Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su durante la configurazione IdP e selezionando Convalida.

    

Aggiunta dell'URL del tenant alla allowlist del provider di identità

Nel provider di identità, aggiungere l'URL del tenant all'elenco degli elementi consentiti. Sono disponibili nomi diversi per questa impostazione, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.

Quando si aggiunge l'URL, è necessario aggiungere login/callback alla fine dell'indirizzo del tenant, ad esempio: in https://<nome tenant>/login/callback.

Opzioni avanzate

Le opzioni avanzate forniscono funzionalità aggiuntive per alcuni provider di identità.

Sostituzione e-mail verificata

Abilitare questa impostazione per impostare sempre l'attestazione email_verified su 'true'. Ciò garantisce che gli indirizzi e-mail possano essere utilizzati per la mappatura dell'identità in ADFS e Microsoft Entra ID. È particolarmente utile quando si cambia IdP e aiuta a distinguere gli utenti con nomi identici nel centro attività Amministrazione.

Ambito

Gli ambiti definiscono i privilegi di accesso richiesti quando si rilascia un token di accesso, secondo la specifica OAuth 2.0. Inserire valori separati da spazi per specificare le autorizzazioni da richiedere al provider di identità. Ad esempio, includere un ambito Gruppi se l'IdP lo richiede per supportare le funzionalità del gruppo di utenti.

URI di reindirizzamento post-disconnessione

Utilizzare questo campo per specificare un URI a cui gli utenti saranno reindirizzati dopo la disconnessione. Per le istruzioni dettagliate, vedere Utilizzo di URI di reindirizzamento post-disconnessione.

Blocca offline_access

Se si utilizza Google Identity o OneLogin come provider di identità, abilitare questa impostazione per bloccare il passaggio dell'ambito offline_access al provider di identità. Questo consente di assicurare che la configurazione funzioni correttamente con Qlik Sense SaaS Mobile e con le applicazioni OAuth 2.0.

Algoritmo firma token ID

L'algoritmo di firma RSA garantisce l'autenticità e l'integrità degli ID token. Qlik Cloud supporta due opzioni:

• RS256 (predefinito)

• RS512

Selezionare l'algoritmo in base alle proprie esigenze di sicurezza.

Verifica della firma del token e decrittografia

Generare coppie di chiavi per verificare le firme e decrittografare i token JSON Web (JWT) crittografati. Per le istruzioni dettagliate, vedere Gestione delle coppie di chiavi per i token ID firmati e crittografati.

Creazione di una nuova configurazione SAML IdP interattiva

Gli amministratori tenant possono creare nuove configurazioni IdP. È possibile disporre di un solo IdP interattivo alla volta. Se ne è già stato attivato uno, è necessario disattivarlo prima di poterne attivare uno nuovo. Per ulteriori informazioni, vedere Modifica delle configurazioni di IdP aziendali.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, andare in Provider di identità, quindi fare clic su Crea nuovo.

2. Per l'opzione Tipo, selezionare SAML.

3. In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.

4. Facoltativamente, inserire una descrizione per la configurazione IdP.

5. In Configurazione, è possibile caricare i metadati XML SAML dal provider di identità o inserire manualmente i valori individuali.

   Effettuare una delle seguenti operazioni:

   1. Selezionare Usa metadati IdP.

   2. Fare clic su Carica file in Metadati SAML IdP e selezionare il file contenente i metadati dal provider di identità. In alternativa, se i metadati del provider di identità non sono disponibili come file, è possibile copiarli e incollarli direttamente nel campo Metadati IdP.

   o

   1. Fare clic su Carica file in Certificati di firma per caricare il file del certificato.
      È il certificato utilizzato dal provider di identità per firmare le asserzioni SAML inviate a Qlik Cloud.

   2. Immettere l'ID entità del provider di identità.

   3. Immettere l'URL Single Sign-On.

      È l'endpoint dove vengono inviate le richieste di autenticazione SAML. È l'URL dove l'utente viene reindirizzato per l'autenticazione.

   4. Selezionare un Formato ID nome.

   

6. Facoltativamente, selezionare Abilita accesso inizializzato da IdP.

   Seguendo il flusso di accesso predefinito, l'utente prima va su Qlik Cloud e viene quindi rediretto per completare l'autenticazione IdP. Abilitare l'accesso avviato con IdP se si desidera che gli utenti prima accedano al provider di identità e poi vengano rediretti su Qlik Cloud.

7. Modificare i campi in Mapping attestazioni o mantenere i valori predefiniti.

   L'opzione Mapping attestazioni definisce il modo in cui gli attributi utente dal provider di identità sono associati ai campi nel modello dell'utente di Qlik Cloud. I valori di mapping sono disponibili per sub, name, email, groups e picture. Regolare i valori per adattarli alle esigenze dell'organizzazione e gli attributi dal provider di identità.

   Nota informatica

   • Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.

   • Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.

8. Facoltativamente, configurare URI di reindirizzamento post-disconnessione in Opzioni avanzate.

   Questo viene utilizzato per reindirizzare un utente a un URI definito dopo la disconnessione. Per un esempio su come utilizzare un URI di reindirizzamento dopo la disconnessione, vedere Utilizzo di URI di reindirizzamento post-disconnessione.

9. Fare clic su Crea.

   Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.

   I metadati e il certificato di firma del provider di servizi SAML sono disponibili solo dopo la creazione della configurazione IdP. Se queste informazioni sono necessarie per configurare il provider di identità, è possibile creare l'IdP inizialmente senza la convalida, e quindi effettuare la convalida una volta completata la configurazione con il provider di identità.

   • Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e confermare che i dati del profilo utente sono validi.

   • Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su durante la configurazione IdP e selezionando Convalida.

   

Caricamento dei metadati del provider di servizi sul provider di identità

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, nella configurazione IdP appena creata, fare clic su e selezionare Visualizza configurazione provider.

   Una finestra di dialogo mostra i metadati del provider di servizi e l'URL all'endpoint dei metadati.

   

2. A seconda della configurazione per il provider di identità utilizzato, scaricare il file di metadati o copiare l'URL e salvarlo per l'utilizzo successivo. Scaricare il file del certificato di firma, se richiesto. Fare clic su Fine.

3. Nel provider di identità, inserire i metadati del provider di servizi. Assicurarsi di configurare le seguenti impostazioni richieste:

   • Assertion Consumer Service (ACS) URL. È l'URL dove il provider di identità invia le asserzioni SAML dopo l'autenticazione.

   • ID entità del provider di servizi.

   • Il certificato per la convalida delle richieste di autenticazione. Questo viene utilizzato dal provider di identità per verificare l'autenticità del provider di servizi.

4. Una volta completata la configurazione nel provider di identità, è possibile convalidare la configurazione IdP nel centro attività Amministrazione. Fare clic su nella configurazione e selezionare Convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.

Abilitazione creazione automatica di gruppi

I gruppi sono utilizzati per il controllo degli accessi degli utenti e possono essere creati automaticamente da gruppi IdP IdP. Quando la creazione automatica dei gruppi è abilitata, vengono ereditati i gruppi dal provider di identità in modo che possa essere concesso l'accesso agli stessi gruppi di utenti esistenti nel IdP. Ciò semplifica l'amministrazione degli accessi rispetto alla concessione dell'accesso a un utente alla volta.

Quando gli utenti accedono, i nuovi gruppi IdP vengono visualizzati in modo dinamico in Qlik Cloud. Questi gruppi non vengono importati tutti allo stesso tempo; invece, i gruppi IdP vengono visualizzati durante il processo di accesso. Sono disponibili solo i gruppi associati agli utenti Qlik Cloud.

Per configurare i gruppi, è necessario utilizzare il Single Sign-On e disporre dell'accesso amministrativo al proprio provider IdP.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, andare alla pagina Impostazioni.
2. In Controllo funzionalità, selezionare Creazione di gruppi.