Creazione di una configurazione IdP OIDC interattiva
Questo argomento descrive come configurare le impostazioni del provider di identità in Qlik Cloud.
Configurazione sul lato del provider di identità
Oltre alla configurazione in Qlik Cloud, è inoltre necessario effettuare configurazioni sul lato del provider di identità. Per una panoramica di queste configurazioni, fare riferimento alle seguenti risorse:
Configurazione in Qlik Cloud
Gli amministratori tenant possono creare nuove configurazioni IdP.
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare in Provider di identità, quindi fare clic su Crea nuovo.
-
Per l'opzione Tipo, selezionare OIDC.
-
In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.
-
Facoltativamente, inserire una descrizione per la configurazione IdP.
-
In Credenziali applicazione, è possibile inserire l'URL di individuazione. Se un URL di individuazione non è disponibile o non fornisce i metadati corretti, è possibile anche per inserire i valori individuali manualmente. La configurazione manuale dovrebbe essere utilizzata solo quando un URL di individuazione non è stata inserita.
Effettuare una delle seguenti operazioni:
-
inserire l'URL di individuazione. Questo è l'URL dell'endpoint che fornisce i dati di configurazione per i client OAuth per consentire di interfacciarsicon l'IdP utilizzando il protocollo OpenID Connect. Le convenzioni di denominazione per l'URL di individuazione in base al provider scelto:
-
ADFS: URL di individuazione ADFS
-
Auth0: configurazione OpenID
-
Keycloak: configurazione endpoint Keycloak OpenID
-
Okta o IdP generico: URI metadati di OpenID Connect
-
Salesforce: URL di individuazione Salesforce
-
o
-
Selezionare Configurazione manuale.
-
Immettere i valori seguenti:
-
Endpoint di autorizzazione: l'URL per l'interazione con il proprietario della risorsa, dove è possibile ottenere l'autorizzazione per accedere alla risorsa.
-
Endpoint di fine sessione (facoltativo): l'URL utilizzato per attivare un singolo Single Sign-Out.
-
Endpoint di introspezione (facoltativo): l'URL per convalidare i token di riferimento o JWT.
-
Autorità emittente: l'URL al provider di identità.
-
URI JWKS: l'URI al JSON Web Key Set contenente chiavi pubbliche utilizzato per la verifica di un JSON Web Token (JWT).
-
Endpoint token: l'URL per ottenere accesso al token.
-
Endpoint informazioni utente (facoltativo): l'URL per ottenere le informazioni utente.
-
-
-
Immettere un ID client: l'ID del client configurato con l'IdP per l'autenticazione interattiva dell'utente.
-
Immettere un Segreto client: il segreto per il client configurato con l'IdP.
-
Facoltativamente, immettere un'Area di autenticazione. Si tratta del nome da associare all'IdP. Coincide con il nome di dominio in Qlik Sense Enterprise on Windows e si utilizza per mantenere la coerenza di denominazione nel multi-cloud.
-
Compilare i campi in Mapping attestazioni.
Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio OpenID Connect. I valori di mapping sono disponibili per sub, name, groups, email, client_id, picture, e email_verified (facoltativo).
Nota informatica-
Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.
-
Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.
-
-
Facoltativamente, configurare le opzioni avanzate. Per ulteriori dettagli, vedere Opzioni avanzate.
-
Fare clic su Crea.
Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.
-
Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.
-
Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su durante la configurazione IdP e selezionando Convalida.
-
Aggiunta dell'URL del tenant alla allowlist del provider di identità
Nel provider di identità, aggiungere l'URL del tenant all'elenco degli elementi consentiti. Sono disponibili nomi diversi per questa impostazione, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.
Quando si aggiunge l'URL, è necessario aggiungere login/callback alla fine dell'indirizzo del tenant, ad esempio: in https://<nome tenant>/login/callback.
Opzioni avanzate
Le opzioni avanzate forniscono funzionalità aggiuntive per alcuni provider di identità.
Sostituzione e-mail verificata
Abilitare questa impostazione per impostare sempre l'attestazione email_verified su "true". Ciò garantisce che gli indirizzi e-mail possano essere utilizzati per la mappatura dell'identità in ADFS e Microsoft Entra ID. È particolarmente utile quando si cambia IdP e aiuta a distinguere gli utenti con nomi identici nel centro attività Amministrazione.
Ambito
Gli ambiti definiscono i privilegi di accesso richiesti quando si rilascia un token di accesso, secondo la specifica OAuth 2.0. Inserire valori separati da spazi per specificare le autorizzazioni da richiedere al provider di identità. Ad esempio, includere un ambito Gruppi se l'IdP lo richiede per supportare le funzionalità del gruppo di utenti.
URI di reindirizzamento post-disconnessione
Utilizzare questo campo per specificare un URI a cui gli utenti saranno reindirizzati dopo la disconnessione. Per le istruzioni dettagliate, vedere Utilizzo di URI di reindirizzamento post-disconnessione.
Blocca offline_access
Se si utilizza Google Identity o OneLogin come provider di identità, abilitare questa impostazione per bloccare il passaggio dell'ambito offline_access al provider di identità. Questo consente di assicurare che la configurazione funzioni correttamente con Qlik Sense SaaS Mobile e con le applicazioni OAuth 2.0.
Algoritmo firma token ID
L'algoritmo di firma RSA garantisce l'autenticità e l'integrità degli ID token. Qlik Cloud supporta due opzioni:
-
RS256 (predefinito)
-
RS512
Selezionare l'algoritmo in base alle proprie esigenze di sicurezza.
Verifica della firma del token e decrittografia
Generare coppie di chiavi per verificare le firme e decrittografare i token JSON Web (JWT) crittografati. Per le istruzioni dettagliate, vedere Gestione delle coppie di chiavi per i token ID firmati e crittografati.