Vai al contenuto principale Passa a contenuto complementare

Creazione di una configurazione IdP OIDC interattiva

Questo argomento descrive come configurare le impostazioni del provider di identità in Qlik Cloud.

Configurazione sul lato del provider di identità

Oltre alla configurazione in Qlik Cloud, è inoltre necessario effettuare configurazioni sul lato del provider di identità. Per una panoramica di queste configurazioni, fare riferimento alle seguenti risorse:

Configurazione in Qlik Cloud

Gli amministratori tenant possono creare nuove configurazioni IdP.

Nota informaticaÈ possibile disporre di un solo IdP interattivo alla volta. Se ne è già stato attivato uno, è necessario disattivarlo prima di poterne attivare uno nuovo. Per ulteriori informazioni, vedere Modifica dei i provider di identità aziendali.

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare in Provider di identità, quindi fare clic su Crea nuovo.

  2. Per l'opzione Tipo, selezionare OIDC.

  3. In Provider, selezionare un provider di identità dall'elenco o scegliere Generico se il provider specifico desiderato non è elencato.

  4. Facoltativamente, inserire una descrizione per la configurazione IdP.

  5. In Credenziali applicazione, è possibile inserire l'URL di individuazione. Se un URL di individuazione non è disponibile o non fornisce i metadati corretti, è possibile anche per inserire i valori individuali manualmente. La configurazione manuale dovrebbe essere utilizzata solo quando un URL di individuazione non è stata inserita.

    Effettuare una delle seguenti operazioni:

    1. inserire l'URL di individuazione. Questo è l'URL dell'endpoint che fornisce i dati di configurazione per i client OAuth per consentire di interfacciarsicon l'IdP utilizzando il protocollo OpenID Connect. Le convenzioni di denominazione per l'URL di individuazione in base al provider scelto:

      • ADFS: URL di individuazione ADFS

      • Auth0: configurazione OpenID

      • Keycloak: configurazione endpoint Keycloak OpenID

      • Okta o IdP generico: URI metadati di OpenID Connect

      • Salesforce: URL di individuazione Salesforce

    o

    1. Selezionare Configurazione manuale.

    2. Immettere i valori seguenti:

      • Endpoint di autorizzazione: l'URL per l'interazione con il proprietario della risorsa, dove è possibile ottenere l'autorizzazione per accedere alla risorsa.

      • Endpoint di fine sessione (facoltativo): l'URL utilizzato per attivare un singolo Single Sign-Out.

      • Endpoint di introspezione (facoltativo): l'URL per convalidare i token di riferimento o JWT.

      • Autorità emittente: l'URL al provider di identità.

      • URI JWKS: l'URI al JSON Web Key Set contenente chiavi pubbliche utilizzato per la verifica di un JSON Web Token (JWT).

      • Endpoint token: l'URL per ottenere accesso al token.

      • Endpoint informazioni utente (facoltativo): l'URL per ottenere le informazioni utente.

    La configurazione che utilizza l'URL di individuazione e una configurazione manuale.

    I pannelli di configurazione mostrati con e senza l'utilizzo di un URL di individuazione
  6. Immettere un ID client: l'ID del client configurato con l'IdP per l'autenticazione interattiva dell'utente.

  7. Immettere un Segreto client: il segreto per il client configurato con l'IdP.

  8. Facoltativamente, immettere un'Area di autenticazione. Si tratta del nome da associare all'IdP. Coincide con il nome di dominio in Qlik Sense Enterprise on Windows e si utilizza per mantenere la coerenza di denominazione nel multi-cloud.

  9. Compilare i campi in Mapping attestazioni.

    Le attestazioni sono istruzioni (coppie nome/valore) relative all'entità (in molti casi l'utente) e metadati relativi al servizio OpenID Connect. I valori di mapping sono disponibili per sub, name, groups, email, client_id, picture, e email_verified (facoltativo).

    Nota informatica
    • Nei campi di input è possibile inserire più valori di ricerca separati da una virgola. Verrà utilizzato il primo valore non nullo trovato.

    • Le attestazioni dei gruppi sono necessarie per ammettere i gruppi. Notare che i gruppi nidificati non sono supportati in Microsoft Entra ID.

  10. Facoltativamente, configurare le opzioni avanzate. Per ulteriori dettagli, vedere Opzioni avanzate.

  11. Fare clic su Crea.

    Una finestra di dialogo di conferma viene visualizzata con l'opzione per convalidare la configurazione IdP.

    • Per effettuare ora la convalida, selezionare Convalida IdP e fare clic su Crea. In questo modo, verrà avviato il processo di convalida. Seguire i passaggi nella procedura guidata della convalida per eseguire l'accesso e verificare che i dati del profilo utente sono corretti.

    • Se si preferisce creare subito la configurazione ma eseguire la convalida solo successivamente, deselezionare la casella di selezione Convalida IdP e fare clic su Crea. È possibile eseguire la convalida successivamente facendo clic su Altro durante la configurazione IdP e selezionando Convalida.

    Convalida e creazione della configurazione IdP.

    Finestra di dialogo di conferma con l'opzione Convalida IdP selezionata

Aggiunta dell'URL del tenant alla allowlist del provider di identità

Nel provider di identità, aggiungere l'URL del tenant all'elenco degli elementi consentiti. Sono disponibili nomi diversi per questa impostazione, ad esempio, URL di richiamo consentiti, URI di reindirizzamento o URI di reindirizzamento accesso.

Quando si aggiunge l'URL, è necessario aggiungere login/callback alla fine dell'indirizzo del tenant, ad esempio: in https://<nome tenant>/login/callback.

Nota informaticaAl momento di impostare l'URI di reindirizzamento, utilizzare il nome host originale del tenant e non il nome host alias. È possibile trovare il nome host del tenant nel menu del proprio profilo utente, nella sezione Informazioni.

Opzioni avanzate

Le opzioni avanzate forniscono funzionalità aggiuntive per alcuni provider di identità.

Sostituzione e-mail verificata

Abilitare questa impostazione per impostare sempre l'attestazione email_verified su "true". Ciò garantisce che gli indirizzi e-mail possano essere utilizzati per la mappatura dell'identità in ADFS e Microsoft Entra ID. È particolarmente utile quando si cambia IdP e aiuta a distinguere gli utenti con nomi identici nel centro attività Amministrazione.

Ambito

Gli ambiti definiscono i privilegi di accesso richiesti quando si rilascia un token di accesso, secondo la specifica OAuth 2.0. Inserire valori separati da spazi per specificare le autorizzazioni da richiedere al provider di identità. Ad esempio, includere un ambito Gruppi se l'IdP lo richiede per supportare le funzionalità del gruppo di utenti.

URI di reindirizzamento post-disconnessione

Utilizzare questo campo per specificare un URI a cui gli utenti saranno reindirizzati dopo la disconnessione. Per le istruzioni dettagliate, vedere Utilizzo di URI di reindirizzamento post-disconnessione.

Blocca offline_access

Se si utilizza Google Identity o OneLogin come provider di identità, abilitare questa impostazione per bloccare il passaggio dell'ambito offline_access al provider di identità. Questo consente di assicurare che la configurazione funzioni correttamente con Qlik Sense SaaS Mobile e con le applicazioni OAuth 2.0.

Algoritmo firma token ID

L'algoritmo di firma RSA garantisce l'autenticità e l'integrità degli ID token. Qlik Cloud supporta due opzioni:

  • RS256 (predefinito)

  • RS512

Selezionare l'algoritmo in base alle proprie esigenze di sicurezza.

Verifica della firma del token e decrittografia

Generare coppie di chiavi per verificare le firme e decrittografare i token JSON Web (JWT) crittografati. Per le istruzioni dettagliate, vedere Gestione delle coppie di chiavi per i token ID firmati e crittografati.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!