기본 콘텐츠로 건너뛰기 보완적인 콘텐츠로 건너뛰기
Qlik 리소스

새 ID 공급자 구성 만들기

Qlik Cloud는 사용자 로그인, API 액세스, 다중 클라우드 설정을 위한 ID 공급자(IdP) 구성을 제공합니다. 각 Qlik Cloud 테넌트는 Qlik Account, Microsoft Entra ID(이전의 Azure AD), OKTA, Auth0, OpenID Connect(OIDC) 또는 SAML(보안 보장 마크업 언어)을 준수하는 다른 IdP와 같은 하나의 대화형 IdP를 지원합니다.

테넌트 관리자는 관리 활동 센터에서 다양한 IdP 구성을 만들 수 있습니다.

  • 사용자 로그인을 위해 대화형 IdP를 구성합니다. ID 공급자의 지원 표준에 따라 OIDC 또는 SAML 중에서 선택합니다.

    정보 메모

    • 한 번에 하나의 대화형 IdP만 활성화할 수 있습니다. 사용자 지정 대화형 IdP를 배포하면 Qlik Account 로그인 흐름이 선택한 IdP에서 정의한 인증 프로세스로 바뀝니다.

    • 회사 IdP에 대한 SSO 실패 처리는 ID 공급자를 통해 구성되어야 합니다. Qlik Cloud는 대체 리디렉션 URL 구성을 지원하지 않습니다.

  • 원활한 다중 클라우드 ID 관리를 위해 로컬 전달자 토큰을 사용하여 다중 클라우드 IdP를 구성합니다.

새로운 대화형 OIDC IdP 구성 만들기

테넌트 관리자는 새 IdP 구성을 만들 수 있습니다. 한 번에 하나의 대화형 IdP만 가질 수 있습니다. 이미 활성 항목이 있는 경우 새 항목을 활성화하기 전에 먼저 이를 비활성화해야 합니다. 자세한 내용은 회사 IdP 구성 변경을 참조하십시오.

이 항목은 Qlik Cloud에서 ID 공급자 설정을 구성하는 방법에 대해 설명합니다. 또한 ID 공급자 쪽에서도 구성을 설정해야 합니다. 해당 구성에 대한 자세한 내용은 다음 리소스를 참조하십시오.

다음과 같이 하십시오.

  1. 관리 활동 센터에서 ID 공급자로 이동하고 새로 만들기를 클릭합니다.

  2. 유형으로 OIDC를 선택합니다.

  3. 공급자의 경우 목록에서 ID 공급자를 선택하거나 특정 공급자가 목록에 없으면 일반을 선택합니다.

  4. 선택적으로 IdP 구성에 대한 설명을 입력합니다.

  5. 응용 프로그램 자격 증명 아래에 검색 URL을 입력할 수 있습니다. 검색 URL을 사용할 수 없거나 적절한 메타데이터를 제공하지 않는 경우 개별 값을 수동으로 입력할 수도 있습니다. 수동 구성은 검색 URL이 입력되지 않은 경우에만 사용해야 합니다.

    다음 중 하나를 수행합니다.

    1. 검색 URL을 입력합니다. 이는 OpenID Connect 프로토콜을 사용하여 IdP와 인터페이스하기 위해 OAuth 클라이언트에 대한 구성 데이터를 제공하는 종료 지점에 대한 URL입니다. 검색 URL의 명명 규칙은 선택한 공급자에 따라 다릅니다.

      • ADFS: ADFS 검색 URL

      • Auth0: OpenID 구성

      • Keycloak: Keycloak OpenID 종료 지점 구성

      • Okta 또는 일반 IdP: OpenID Connect 메타데이터 URI

      • Salesforce: Salesforce 검색 URL

    또는

    1. 수동 구성을 선택합니다.

    2. 다음 값을 입력합니다.

      • 권한 부여 종료 지점: 리소스 소유자와의 상호 작용을 위한 URL로, 리소스에 액세스할 수 있는 권한을 가져옵니다.

      • 종료 세션 종료 지점(선택 사항): 싱글 로그아웃을 실행하는 데 사용되는 URL입니다.

      • 검사 종료 지점(선택 사항): 참조 토큰 또는 JWT의 유효성을 검사하기 위한 URL입니다.

      • 발급자: ID 공급자의 URL입니다.

      • JWKS URI: JSON Web Token(JWT) 확인에 사용되는 공개 키가 포함된 JSON 웹 키 집합의 URI입니다.

      • 토큰 종료 지점: 액세스 토큰을 가져오기 위한 URL입니다.

      • 사용자 정보 종료 지점(선택 사항): 사용자 정보를 가져오는 URL입니다.

    검색 URL을 사용한 구성 및 수동 구성.

    검색 URL을 사용하거나 사용하지 않고 표시되는 구성 창입니다.

  6. 클라이언트 ID 입력: 대화형 사용자 인증을 위해 IdP에 구성된 클라이언트의 ID입니다.

  7. 클라이언트 비밀 입력: IdP에 구성된 클라이언트의 비밀번호입니다.

  8. 선택적으로 영역을 입력합니다. IdP와 연결할 이름입니다. Qlik Sense Enterprise on Windows의 도메인 이름과 동일하며 다중 클라우드에서 명명 일관성을 위해 사용됩니다.

  9. 클레임 매핑 아래의 필드를 작성합니다.

    클레임은 엔터티(대부분의 경우 사용자)에 대한 설명(이름/값 쌍) 및 OpenID Connect 서비스에 대한 메타데이터입니다. sub, name, groups, email, client_id, pictureemail_verified에 대한 매핑을 사용할 수 있습니다(선택 사항).

    정보 메모

    • 입력 필드에 여러 조회 값을 쉼표로 구분하여 입력할 수 있습니다. 처음 확인된 null이 아닌 값이 사용됩니다.

    • 그룹을 수신하려면 groups 클레임이 필요합니다. Microsoft Entra ID에서는 중첩된 그룹이 지원되지 않습니다.

  10. 선택적으로 고급 옵션을 구성합니다. 자세한 내용은 고급 옵션을 참조하십시오.

  11. 만들기를 클릭합니다.

    IdP 구성의 유효성을 검사하는 옵션이 포함된 유효성 검사 대화 상자가 나타납니다.

    • 지금 유효성 검사하려면 IdP 유효성 검사을 선택하고 만들기를 클릭합니다. 그러면 유효성 검사 프로세스가 시작됩니다. 유효성 검사 마법사의 단계에 따라 로그인을 수행하고 사용자 프로필 데이터가 올바른지 유효성을 검사합니다.

    • 지금 구성을 만들고 나중에 유효성 검사하려면 IdP 유효성 검사 확인란을 선택 해제하고 만들기를 클릭합니다. 나중에 IdP 구성에서 자세히을 클릭하고 유효성 검사를 선택하여 유효성 검사할 수 있습니다.

    IdP 구성의 유효성을 검사하고 만듭니다.

    IdP 유효성 검사 옵션이 선택된 확인 대화 상자

ID 공급자 허용 목록에 테넌트 URL 추가

ID 공급자에서 테넌트 URL을 허용 목록에 추가합니다. 이 설정에는 허용된 콜백 URL, 리디렉션 URI, 로그인 리디렉션 URI 등 다양한 이름이 있습니다.

URL을 추가할 때 https://<테넌트 이름>/login/callback과 같이 테넌트 주소에 login/callback을 추가해야 합니다.

정보 메모리디렉션 URI를 설정할 때 별칭 호스트 이름이 아닌 원본 테넌트 호스트 이름을 사용합니다. 사용자 프로필 메뉴의 정보 섹션에서 테넌트 호스트 이름을 찾을 수 있습니다.

고급 옵션

고급 옵션은 특정 ID 공급자에게 추가 기능을 제공합니다.

이메일 확인 재정의

이 설정을 활성화하면 항상 email_verified 클레임이 'true'로 설정됩니다. 이렇게 하면 이메일 주소를 ADFS 및 Microsoft Entra ID에서 ID 매핑에 사용할 수 있습니다. 특히 IdP를 전환할 때 유용하며 관리 활동 센터에서 동일한 이름을 가진 사용자를 구별하는 데 도움이 됩니다.

범위

범위는 OAuth 2.0 사양에 따라 액세스 토큰을 발급할 때 요청되는 액세스 권한을 정의합니다. 요청하려는 ID 공급자 권한을 지정하려면 공백으로 구분하여 값을 입력합니다. 예를 들어, IdP에서 사용자 그룹 기능을 지원해야 하는 경우 그룹 범위를 포함합니다.

로그아웃 후 리디렉션 URI

이 필드를 사용하여 사용자가 로그아웃한 후 리디렉션될 URI를 지정합니다. 자세한 지침은 로그아웃 후 리디렉션 URI 사용를 참조하십시오.

offline_access 차단

Google Identity 또는 OneLogin을 ID 공급자로 사용하는 경우 이 설정을 활성화하면 offline_access 범위가 ID 공급자에게 전달되는 것을 차단할 수 있습니다. 이렇게 하면 구성이 Qlik Sense Mobile SaaS 및 OAuth 2.0 응용 프로그램에서 올바르게 작동합니다.

ID 토큰 서명 알고리즘

RSA 서명 알고리즘은 ID 토큰의 진위성과 무결성을 보장합니다. Qlik Cloud는 두 가지 옵션을 지원합니다.

  • RS256(기본)

  • RS512

보안 요구 사항에 따라 알고리즘을 선택합니다.

토큰 서명 검증 및 복호화

서명을 검증하고 암호화된 JSON Web Token(JWT)을 해독하기 위한 키 쌍을 생성합니다. 자세한 지침은 서명 및 암호화된 ID 토큰에 대한 키 쌍 관리를 참조하십시오.

새로운 대화형 SAML IdP 구성 만들기

테넌트 관리자는 새 IdP 구성을 만들 수 있습니다. 한 번에 하나의 대화형 IdP만 가질 수 있습니다. 이미 활성 항목이 있는 경우 새 항목을 활성화하기 전에 먼저 이를 비활성화해야 합니다. 자세한 내용은 회사 IdP 구성 변경을 참조하십시오.

이 항목은 Qlik Cloud에서 ID 공급자 설정을 구성하는 방법에 대해 설명합니다. 또한 ID 공급자 쪽에서도 구성을 설정해야 합니다. 이러한 구성에 대한 자세한 내용은 다음 항목을 참조하십시오.

다음과 같이 하십시오.

  1. 관리 활동 센터에서 ID 공급자로 이동하고 새로 만들기를 클릭합니다.

  2. 유형으로 SAML을 선택합니다.

  3. 공급자의 경우 목록에서 ID 공급자를 선택하거나 특정 공급자가 목록에 없으면 일반을 선택합니다.

  4. 선택적으로 IdP 구성에 대한 설명을 입력합니다.

  5. 구성에는 ID 공급자에서 SAML XML 메타데이터를 업로드하거나 개별 값을 수동으로 입력할 수 있는 옵션이 있습니다.

    다음 중 하나를 수행합니다.

    1. IdP 메타데이터 사용을 선택합니다.

    2. SAML IdP 메타데이터 아래에서 파일 업로드를 클릭하고 ID 공급자의 메타데이터가 포함된 파일을 선택합니다. 또는 ID 공급자 메타데이터를 파일로 사용할 수 없는 경우 메타데이터를 직접 복사하여 IdP 메타데이터 필드에 붙여넣을 수 있습니다.

    또는

    1. 인증서 파일을 업로드하려면 서명 인증서 아래에서 파일 업로드를 클릭합니다.
      이는 ID 공급자가 Qlik Cloud에 전송된 SAML 어설션에 서명하는 데 사용하는 인증서입니다.

    2. ID 공급자의 엔터티 ID를 입력합니다.

    3. SSO(Single Sign-On) URL을 입력합니다.

      이는 SAML 인증 요청이 전송되는 종료 지점입니다. 인증을 위해 사용자가 리디렉션되는 URL입니다.

    4. 이름 ID 형식을 선택합니다.

    메타데이터를 사용한 구성 및 수동 구성.

    IdP 메타데이터를 사용하거나 사용하지 않고 표시되는 구성 창

  6. 원하는 경우 IdP 시작 로그인 사용을 선택합니다.

    기본 로그인 흐름은 사용자가 먼저 Qlik Cloud로 리디렉션한 다음 인증을 위해 IdP로 리디렉션되는 것입니다. 사용자가 먼저 ID 공급자에 로그인한 후 Qlik Cloud로 리디렉션되도록 하려면 IdP 시작 로그인을 활성화합니다.

  7. 클레임 매핑 아래의 필드를 수정하거나 기본값을 유지합니다.

    클레임 매핑은 ID 공급자의 사용자 특성이 Qlik Cloud 사용자 모델의 필드와 연결되는 방식을 정의합니다. sub, name, email, groupspicture에 대한 매핑을 사용할 수 있습니다. 조직의 요구 사항과 ID 공급자의 특성에 맞게 값을 조정합니다.

    정보 메모

    • 입력 필드에 여러 조회 값을 쉼표로 구분하여 입력할 수 있습니다. 처음 확인된 null이 아닌 값이 사용됩니다.

    • 그룹을 수신하려면 groups 클레임이 필요합니다. Microsoft Entra ID에서는 중첩된 그룹이 지원되지 않습니다.

  8. 원하는 경우 고급 옵션에서 로그아웃 후 리디렉션 URI를 구성합니다.

    이는 로그아웃 후 사용자를 정의된 URI로 리디렉션하는 데 사용되었습니다. 로그아웃 후 리디렉션 URI를 사용하는 방법에 대한 예는 로그아웃 후 리디렉션 URI 사용을 참조하십시오.

  9. 만들기를 클릭합니다.

    IdP 구성의 유효성을 검사하는 옵션이 포함된 유효성 검사 대화 상자가 나타납니다.

    SAML 서비스 공급자 메타데이터 및 서명 인증서는 IdP 구성을 만든 후에만 사용할 수 있습니다. ID 공급자를 설정하는 데 이 정보가 필요한 경우 초기에는 유효성 검사 없이 IdP를 만들고 ID 공급자의 구성이 완료된 후에 유효성을 검사할 수 있습니다.

    • 지금 유효성 검사하려면 IdP 유효성 검사을 선택하고 만들기를 클릭합니다. 그러면 유효성 검사 프로세스가 시작됩니다. 유효성 검사 마법사의 단계에 따라 로그인을 수행하고 사용자 프로필 데이터의 유효성을 검사합니다.

    • 지금 구성을 만들고 나중에 유효성 검사하려면 IdP 유효성 검사 확인란을 선택 해제하고 만들기를 클릭합니다. 나중에 IdP 구성에서 자세히을 클릭하고 유효성 검사를 선택하여 유효성 검사할 수 있습니다.

    IdP 구성의 유효성을 검사하고 만듭니다.

    IdP 유효성 검사 옵션이 선택된 확인 대화 상자

서비스 공급자 메타데이터를 ID 공급자에 업로드

다음과 같이 하십시오.

  1. 관리 활동 센터에서 새로 만든 IdP 구성에서 자세히을 클릭하고 공급자 구성 보기를 선택합니다.

    대화 상자에는 서비스 공급자 메타데이터와 메타데이터 종료 지점에 대한 URL이 표시됩니다.

    서비스 공급자 메타데이터.

    IdP 유효성 검사 옵션이 선택된 확인 대화 상자

  2. ID 공급자의 설정에 따라 메타데이터 파일을 다운로드하거나 URL을 복사하여 나중에 사용할 수 있도록 저장합니다. 필요한 경우 서명 인증서 파일을 다운로드합니다. 완료를 클릭합니다.

  3. ID 공급자에서 서비스 공급자 메타데이터를 입력합니다. 다음 필수 설정을 구성해야 합니다.

    • ACS(어설션 소비자 서비스) URL입니다. 여기에서 ID 공급자가 인증 후 SAML 어설션을 보냅니다.

    • 서비스 공급자의 엔터티 ID입니다.

    • 인증 요청의 유효성을 검사하기 위한 인증서입니다. 이는 ID 공급자가 서비스 공급자의 신뢰성을 확인하는 데 사용됩니다.

  4. ID 공급자의 구성이 완료되면 관리 활동 센터에서 IdP 구성의 유효성을 검사할 수 있습니다. 구성에서 자세히를 클릭하고 유효성 검사를 선택합니다. 유효성 검사 마법사의 단계에 따라 로그인을 수행하고 사용자 프로필 데이터가 올바른지 유효성을 검사합니다.

그룹 자동 생성 활성화

그룹은 사용자 액세스를 제어하는 데 사용되며 IdP 그룹에서 자동으로 만들어질 수 있습니다. 그룹 자동 만들기가 활성화되면 그룹은 ID 공급자로부터 상속되므로 IdP에 존재하는 동일한 사용자 그룹에 액세스 권한을 부여할 수 있습니다. 이렇게 하면 한 번에 한 명의 사용자에게 액세스 권한을 부여하는 것에 비해 액세스 관리가 간소화됩니다.

사용자가 로그인하면 새로운 IdP 그룹이 Qlik Cloud에 동적으로 나타납니다. 이러한 그룹은 동시에 모두 가져오지 않습니다. 오히려 로그인 프로세스 중에 IdP 그룹이 검색됩니다. Qlik Cloud 사용자와 연결된 그룹만 사용할 수 있습니다.

그룹을 구성하려면 단일 사인온을 사용해야 하며 IdP에 대한 관리 액세스 권한이 있어야 합니다.

다음과 같이 하십시오.

  1. 관리 활동 센터에서 설정 페이지로 이동합니다.
  2. 기능 제어에서 그룹 만들기를 선택합니다.
관련 학습 자료:

자세한 정보

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 개선 방법을 알려 주십시오!

여기에 피드백을 남겨주십시오.