Ga naar hoofdinhoud Ga naar aanvullende inhoud

SAML voor de integratie met identiteitsproviders

De Security Assertion Markup Language (SAML) is een op XML gebaseerde open standaard voor authenticatie en autorisatie. Een van de belangrijkste voordelen van SAML is dat het eenmalige aanmelding (SSO) mogelijk maakt en daardoor het aantal keren dat een gebruiker zich moet aanmelden bij cloudapplicaties en websites tot een minimum beperkt.

Bij het authenticatieproces zijn drie entiteiten betrokken:

  • De gebruikers vraagt toegang tot een applicatie of service.

  • De identiteitsprovider (IdP) is het vertrouwde systeem voor gebruikersauthenticatie, bijvoorbeeld Microsoft Entra ID of Okta.

  • De serviceprovider (SP) is de applicatie of service waarbij de gebruiker zich wil aanmelden, zoals Qlik Cloud.

De identiteitsprovider authenticeert de gebruiker en bevestigt de identiteit van de gebruiker aan de serviceprovider. Dit wordt gedaan door het uitwisselen van digitaal ondertekende XML-documenten die SAML-asserties worden genoemd. Deze asserties bevatten informatie over de gebruiker, de authenticatiestatus en mogelijke aanvullende kenmerken. De serviceprovider kan de gebruiker vervolgens toegang tot de services verlenen. Als SSO is ingeschakeld voor de identiteitsprovider, heeft de gebruiker toegang tot verschillende sites en applicaties van de serviceprovider zonder dat hij zich bij elke site hoeft aan te melden.

Opmerking over Qlik Cloud GovernmentSAML-gebaseerde IDP wordt niet ondersteund in Qlik Cloud Government.

SP geïnitieerde en IdP geïnitieerde SSO

SAML ondersteunt aanmeldprocedures die zijn gestart door de serviceprovider (SP) of de identiteitsprovider (IdP).

Bij SP geïnitieerde SSO start de gebruiker bij de site van de serviceprovider, maar in plaats dat de gebruiker zich aanmeldt bij de site, wordt de SSO-authenticatie bij de identiteitsprovider gestart. Als een gebruiker zich bijvoorbeeld aanmeldt bij Qlik Cloud —de serviceprovider— wordt de aanmeldprocedure overgedragen aan de identiteitsprovider, die de werkelijke SSO-authenticatie afhandelt.

Bij IdP geïnitieerde SSO meldt de gebruiker zich direct aan bij de identiteitsprovider en selecteer de applicatie, die de SSO-authenticatie voor de serviceprovider start.

Asserties

Asserties zijn op XML gebaseerde opdrachten, die authenticatie- en autorisatiegegevens in een gestandaardiseerde indeling bevatten. Ze worden door de identiteitsprovider gegenereerd en door de serviceprovider geverifieerd.

Bij het integreren van identiteitsproviders moet u uw applicatie zo configureren dat SAML-asserties veilig worden uitgewisseld. Daarbij moeten vertrouwensrelaties, eindpunt-URL's en certificaatuitwisselingen worden ingesteld.

Claims

Claims zijn stukjes informatie over een gebruiker die door de identiteitsprovider worden bevestigd en tijdens het authenticatieproces naar de serviceprovider worden gezonden. SAML definieert een set standaard claims, inclusief gebruikerskenmerken zoals naam en e-mailadres. U kunt de claimstoewijzingen aanpassen op basis van de vereisten van uw applicatie.

Metagegevens

De uitwisselingen van metagegevens tussen de identiteitsprovider (IdP) en serviceprovider (SP) is essentieel voor het tot stand brengen van een vertrouwensrelatie en om te zorgen dat het SAML-protocol juist werkt.

IdP-metagegevens

Voor de setup van de serviceprovider zijn metagegevens over de identiteitsprovider vereist. In Qlik Cloud kunt u deze informatie via het Beheer-activiteitencentrum uploaden als IdP-metagegevensbestanden.

De metagegevens van de identiteitsprovider bevatten de volgende details:

  • De entiteits-id van de identiteitsprovider.

  • De URL voor eenmalige aanmelding (SSO) Dit is het eindpunt waar de aanvragen voor SAML-authenticatie door de serviceprovider naar de identiteitsprovider worden gezonden. Het is de URL waarnaar de gebruiker wordt omgeleid voor authenticatie.

  • Het handtekeningcertificaat dat door de identiteitsprovider wordt gebruikt om de SAML-asserties te ondertekenen die naar de serviceprovider worden gezonden.

SP-metagegevens

U hebt de metagegevens van de serviceprovider nodig om de configuratie aan de kant van de identiteitsprovider in te stellen. U kunt deze informatie ophalen in het Beheer-activiteitencentrum in Qlik Cloud.

De metagegevens van de serviceprovider bevatten de volgende details:

  • De entiteits-id van de serviceprovider.

  • De URL van de Assertion Consumer Service (ACS). Dit is waar de identiteitsprovider de SAML-asserties na de authenticatie naartoe verzendt.

  • Het handtekeningcertificaat dat door de serviceprovider wordt gebruikt om de authenticatie-aanvragen te ondertekenen die naar de identiteitsprovider worden gezonden.

Meer informatie

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!