Identiteitsproviders beheren
In Qlik Sense Enterprise SaaS kunt u een al bestaande identiteitsprovider (IdP) gebruiken tijdens de set-up van uw implementatie. U kunt er ook voor kiezen de Qlik Account te gebruiken. In Qlik Sense Business kunt u alleen Qlik Account gebruiken.
In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Sense Enterprise SaaS. U moet ook configuraties uitvoeren voor de identiteitsprovider. Raadpleeg de volgende bronnen voor een overzicht:
Het gebruik van Salesforce.com als een IDP voor Qlik Sense Enterprise SaaS (OIDC-authenticatie)
Het gebruik van Active Directory Federation Services als een IDP voor Qlik Sense Enterprise SaaS
Hoe kunt u: Qlik Sense Enterprise SaaS configureren zodat deze Azure AD als an IdP gebruikt
Een nieuwe configuratie voor de identiteitsprovider maken
Doe het volgende:
-
Open in de Management Console de sectie Identiteitsprovider.
-
Klik op Nieuwe maken.
De pagina voor het maken van een IdP-configuratie verschijnt.
-
Selecteer een type IdP:
- Interactief voor gebruikersaanmelding
- Machine-to-Machine (M2M) voor toegang tot
- Multi-cloud voor het invoeren van uw lokaak bearer-token voor configuratie van de identiteitsprovider; zie MSC - Implementaties (alleen in het Engels)
-
Selecteer uw provider van IdP. Kies Algemeen als uw specifieke IdP niet als optie beschikbaar is.
-
Voer desgewenst een beschrijving in.
-
Vul de velden in de sectie Toepassingsreferenties in:
-
Het eerste veld is de URL van het eindpunt dat
-
- Auth0: OpenID-configuratie
-
- Okta/Algemeen: OpenID Connect-URI met metagegevens
-
Handmatige configuratie
Soms is een detectie-URL niet beschikbaar of geeft de URL niet de juiste metagegevens. In plaats van een eindpunt-URL voor het ophalen van metagegevens in te voeren, voert u de corresponderende gegevens in op het formulier. Handmatige configuratie gebruikt u alleen als u geen detectie-URL hebt ingevoerd.
Doe het volgende:
-
In het deelvenster Identiteitsproviderconfiguratie maken kiest u een provider.
-
Schakel Handmatige configuratie in.
Hierdoor wordt het veld OpenID-configuratie uitgeschakeld en kunnen de velden handmatig worden geconfigureerd.
-
Specificeer de Verlener, URL van de identiteitsprovider.
-
Specificeer Autorisatie-eindpunt, URL voor contact met de broneigenaar (om goedkeuring voor het gebruik van de bron te verkrijgen).
-
Specificeer Token-eindpunt, URL om een toegangstoken te verkrijgen.
-
Specificeer Gebruikersinfo-eindpunt, URL om gebruikersinformatie te verkrijgen.
-
Voeg
-
Voeg desgewenst Sessiebeëindigingseindpunt, URL toe om een enkele afmelding te triggeren.
-
Voeg desgewenst Introspectie-eindpunt, URL toe om referentietokens of JWT's te valideren.
-
Vul de velden in de sectie Claimstoewijzigen in.
Claims zijn beschrijvingen (naam-waardeparen) van de entiteit (veelal de gebruiker) en metagegevens over de service
- sub, naam, groepen, e-mail, client_id, afbeelding
Een groepsclaim is nodig om groepen te kunnen ontvangen.
- sub, naam, groepen, e-mail, client_id, afbeelding
-
Plaats uw tenant-URL op een allowlist van uw identiteitsprovider. De instelling kan verschillende namen hebben, bijvoorbeeld Allowed Callback URLs, Redirect URI of Login redirect URI.
Als u uw tenantadres op een allowlist plaatst, moet u er login/callback aan toevoegen. Bijvoorbeeld: https://<tenant name>/login/callback.
Opmerking: U moet de oorspronkelijke hostnaam gebruiken en niet de alias van de hostnaam bij het instellen van de URI voor omleiding. U vindt de hostnaam onder Instellingen > Tenant > Hostnaam.
-
-
Client-id (alleen voor interactief): Id van de geconfigureerde client bij de IdP voor interactieve gebruikersverificatie.
-
Client-geheim (alleen voor interactief): Client-geheim geconfigureerd op de IdP.
-
Realm (optioneel): Naam om te koppelen aan de IdP. Dit is dezelfde naam als de domeinnaam in Qlik Sense Enterprise on Windows en wordt gebruikt voor consistentie in multi-cloud.
-
-
Vul de velden in de sectie Claimstoewijzigen in.
Claims zijn beschrijvingen (naam-waardeparen) van de entiteit (veelal de gebruiker) en metagegevens over de service
- sub, naam, groepen, e-mail, client_id, afbeelding
Een groepsclaim is nodig om groepen te kunnen ontvangen.
- sub, naam, groepen, e-mail, client_id, afbeelding
-
Plaats uw tenant-URL op een allowlist van uw identiteitsprovider. De instelling kan verschillende namen hebben, bijvoorbeeld Allowed Callback URLs, Redirect URI of Login redirect URI.
Als u uw tenantadres op een allowlist plaatst, moet u er login/callback aan toevoegen. Bijvoorbeeld: https://<tenant name>/login/callback.
Opmerking: U moet de oorspronkelijke hostnaam gebruiken en niet de alias van de hostnaam bij het instellen van de URI voor omleiding. U vindt de hostnaam onder Instellingen > Tenant > Hostnaam.
Geavanceerde opties
De geavanceerde opties breiden de mogelijkheden van sommige IdP's uit.
E-mailadres geverifieerd overschrijven: Wordt gebruikt in
Bereik: Wordt gebruikt voor de specificatie van
URI voor omleiding na afmelding (optioneel): Wordt gebruikt om een gebruiker na afmelding naar een gespecificeerde URI om te leiden.
Voor een voorbeeld van hoe u de URI voor omleiding na afmelding kunt gebruiken, zie: IdP: De URI voor omleiding na afmelding gebruiken.
Automatisch maken van groepen inschakelen
De instelling Automatisch maken van groepen inschakelen wordt geactiveerd op de pagina Instellingen in de Management Console.
Groups are used for access control of users, and can optionally be automatically created from idp-groups.
| Property | Description |
|---|---|
| Enable auto-creation of groups |
When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time. It is required that you use single sign-on and have administrative access to your IdP to configure groups. Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier. |
Doe het volgende:
- Ga in de Management Console naar de pagina Instellingen.
- Schakel onder de sectie Groepen de knop Automatisch maken van groepen inschakelen in.
Een bestaande IdP-configuratie wijzigen
U kunt wijzigingen aanbrengen in een bestaande IdP-configuratie.
Doe het volgende:
-
Open in de Management Console de sectie Identiteitsprovider.
-
Klik helemaal rechts in de tabel op ... voor de IdP die u wilt bewerken.
Er wordt een submenu weergegeven met opties om IdP's te activeren/deactiveren, valideren, bewerken en te verwijderen.
De IdP activeren/deactiveren
Er kunnen meerdere verschillende interactieve IdP's tegelijk geconfigureerd zijn, maar er mag er maar één actief zijn. Deactiveer of verwijder de andere. Als u een interactieve IdP deactiveert, keert u automatisch terug naar de Qlik Account-configuratie. Ga voor meer informatie naar De IdP verwijderen.
De IdP valideren
De validatie vindt automatisch plaats als er een interactieve IdP wordt opgeslagen, maar u kunt zo nodig ook handmatig een validatie triggeren, bijvoorbeeld na het bewerken van de IdP. Als u Valideren selecteert, gaat u naar de identiteitsprovider om in te loggen en doorloopt u nog een serie andere validatiestappen.
De IdP bewerken
U kunt alle soorten IdP's bewerken. Valideer uw wijzigingen na het bewerken, om ervoor te zorgen dat de IdP ook goed werkt. De optie Valideren is niet beschikbaar bij Machine-to-Machine-configuraties.
De IdP verwijderen
In Qlik Sense Enterprise SaaS is Qlik Account de standaard IdP. U kunt wijzigen naar een zakelijke IdP naar keuze. Als u later besluit de zakelijke IdP te verwijderen, moet u rekening houden met de gevolgen daarvan.
Als u een zakelijke IdP verwijdert, wordt de tenant teruggezet naar Qlik Account. Gebruikers die toegang krijgen tot de tenant via de verwijderde zakelijke IdP kunnen zich niet meer aanmelden en hebben geen toegang meer tot content die ze hebben gemaakt. Hun content is echter zichtbaar voor tenantbeheerders van Qlik Account, die kunnen helpen bij het aanpassen van eigendom.
Als die gebruikers bovendien eerder Qlik Account gebruikten met hetzelfde e-mailadres als voor de zakelijke IdP, blijft content die tijdens de periode met de Qlik Account is gemaakt, behouden.