OAuth-clients maken en beheren

OAuth is een beveiligingsprotocol voor autorisatie en delegatie. Het stelt applicaties van derden in staat om toegang te krijgen tot API-bronnen zonder de inloggegevens van de eindgebruiker prijs te geven. Een OAuth-client vraagt een autorisatiecode aan, wisselt deze in voor een toegangstoken en gebruikt het token om toegang te krijgen tot Qlik Cloud-inhoud via API's.

Typen OAuth-clients

Een OAuth-client is een webapplicatie of software die namens een gebruiker toegang vraagt tot bronnen in Qlik Cloud. OAuth definieert twee typen clients (openbare clients en vertrouwelijke clients) om de autorisatie tussen een applicatie (de client) en de autorisatieserver (Qlik Cloud) te beveiligen.

Qlik Cloud ondersteunt vertrouwelijke clients voor traditionele webapplicaties (server-side) en openbare clients voor native en single-page applicaties met behulp van specifieke autorisatiestromen.

Zie voor de officiële OAuth 2.0-specificatie over clienttypen RFC 6749 Section 2.1: OAuth 2.0 Client Types.

Openbare clients

Openbare clients zijn applicaties die het clientgeheim niet gebruiken omdat ze de vertrouwelijkheid van de vereiste inloggegevens niet kunnen handhaven. In Qlik Cloud omvatten deze frontend-applicaties zoals single-page applicaties (SPA) met ingesloten analyses of aangepaste visualisatie-uitbreidingen in Qlik Sense die gebruikersauthenticatie vereisen.

Vertrouwelijke clients

Vertrouwelijke clients kunnen een client-ID en clientgeheim veilig opslaan en deze gebruiken om zich te authenticeren bij de autorisatieserver. Deze clients hebben toegang tot beveiligde bronnen omdat ze in het bezit zijn van het clientgeheim.

Voorbeeld: Een webapplicatie met een beveiligde backend die communiceert met Qlik Cloud-API's om gebruikerstoegang te beheren of taken voor het vernieuwen van gegevens te orkestreren.

OAuth-autorisatiestromen

Qlik ondersteunt twee autorisatiestromen (toekenningstypen):

Autorisatiecodestroom: Voor vertrouwelijke clients.
Autorisatiecodestroom met Proof Key for Code Exchange (PKCE): Voor openbare clients.

Autorisatiecodestroom

Deze stroom wordt gebruikt door server-side applicaties waarvan de broncode niet openbaar is. Het omvat het inwisselen van een autorisatiecode voor een toegangstoken, waarbij het clientgeheim wordt gebruikt voor authenticatie. Webapplicaties die deze stroom gebruiken, moeten server-side zijn omdat het clientgeheim tijdens de tokenuitwisseling wordt doorgegeven aan de autorisatieserver.

Deel uw clientgeheim nooit openbaar, aangezien dit de beveiliging van uw tenant in gevaar brengt. Houd het veilig en privé.

Zie voor meer informatie over de autorisatiecodestroom de officiële OAuth 2.0-documentatie: Authorization Code Flow.

Autorisatiecodestroom met PKCE

Native en single-page applicaties kunnen een clientgeheim niet veilig opslaan omdat hun broncode kan worden gedecompileerd of geïnspecteerd in een browser. PKCE verbetert de beveiliging door het gebruik van een codeverificator te vereisen om een toegangstoken te verkrijgen.

Zie voor meer informatie over autorisatie met PKCE de officiële OAuth 2.0-documentatie: Authorization Code Flow with Proof Key for Code Exchange (PKCE).

OAuth-scopes en -machtigingen

OAuth-scopes definiëren het toegangsniveau dat wordt verleend aan OAuth-clientapplicaties. Een toegangstoken kan bijvoorbeeld volledige toegang tot bronnen toestaan of deze beperken tot alleen-lezen toegang. In Qlik Cloud bepalen scopes de toegang van de client tot beschikbare functionaliteit en bronnen. Zonder scopes hebben clients geen toegang tot bronnen.

API-referenties bieden directe programmatische toegang tot Qlik Cloud en zijn niet beperkt tot workflows die beschikbaar zijn in de gebruikersinterface. Wijs rollen en OAuth-scopes toe op basis van het principe van minimale rechten. Behandel serviceaccounts en API-referenties met dezelfde mate van zorgvuldigheid als beheerdersreferenties. Zie voor meer informatie API-toegangsbeheer en vertrouwensgrenzen.

Beschikbare OAuth-scopes

De tabel toont de beschikbare scopes en de bijbehorende machtigingen:

Scope	Machtiging
user_default	Volledige toegang tot uw account en inhoud
admin_classic	Volledige beheerderstoegang tot uw tenant Zie ook: Implementeren en beheren Qlik Cloud InformatieNiet ondersteund met de clienttypen Single-page app of Native.
admin.apps	Lees en beheer alle applicaties in de tenant. Zie ook: Apps beheren
admin.apps:export	Exporteer alle applicaties in de tenant Zie ook: Applicaties downloaden
admin.apps:read	Lees alle applicaties in de tenant
admin.automations	Lees en beheer alle automatiseringen in de tenant Zie ook: Automatiseringen beheren
admin.automations:read	Lees alle automatiseringen in de tenant
admin.direct-access-gateways:remote_configuration	Bewerk Direct Access gateway-instellingen Zie ook: Qlik Gegevensgateway - Directe toegang configureren en problemen oplossen en Public API.
admin.spaces	Lees en beheer alle ruimten in de tenant Zie ook: Ruimten beheren
admin.spaces:read	Lees alle ruimten in de tenant
apps	Lees en beheer uw applicaties Zie ook: Apps beheren
apps:export	Exporteer uw applicaties Zie ook: Applicaties downloaden
apps:read	Lees uw applicaties
automations	Lees en beheer uw automatiseringen Zie ook: Automatiseringen beheren
automations:read	Lees uw automatiseringen
automl-experiments	Lees en beheer uw ML-experimenten
automl-deployments	Lees en beheer uw ML-implementaties
direct-access-gateways:consume_data	Laad gegevens via Direct Access gateway-connectoren Zie ook: Qlik Gegevensgateway - Directe toegang
identity.email:read	Lees uw e-mailadres Zie ook: Identiteitsproviders in Qlik Cloud
identity.name:read	Lees uw volledige naam
identity.picture:read	Lees uw profielfoto Zie ook: Identiteitsproviders in Qlik Cloud
identity.subject:read	Lees uw gebruikerssubject-ID
spaces.data	Lees en beheer uw gegevensruimten Zie ook: Ruimten beheren
spaces.data:read	Lees uw gegevensruimten
spaces.managed	Lees en beheer uw beheerde ruimten Zie ook: Ruimten beheren
spaces.managed:read	Lees uw beheerde ruimten
spaces.shared	Lees en beheer uw gedeelde ruimten Zie ook: Ruimten beheren
spaces.shared:read	Lees uw gedeelde ruimten
offline_access	Krijg toegang tot bronnen terwijl u offline bent InformatieNiet ondersteund met het clienttype Single-page app.

Deze lijst weerspiegelt de scopes die worden ondersteund in de eerste release. U kunt een volledige lijst met scopes vinden op de Qlik Developer Portal Scopes.

OAuth-clients maken

Tenantbeheerders beheren OAuth-clients in het Beheer-activiteitencentrum op de OAuth-pagina. Met een OAuth-client kunt u uw clientapplicatie integreren met Qlik Cloud om veilig toegang te krijgen tot bronnen.

Limieten voor OAuth-clients

De volgende limieten zijn van toepassing:

Maximaal 5 omleidings-URL's per client.
Maximaal 5 toegestane oorsprongen per client.
Maximaal 5 clientgeheimen per client.
Maximaal 200 OAuth-clients per tenant.

Stappen om een OAuth-client te maken

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Klik op Nieuwe maken.
Selecteer een clienttype:
- Web voor vertrouwelijke clients.
- Single-page app of Native voor openbare clients.
- Anoniem insluiten voor openbare clients.
Voer in het dialoogvenster een naam in voor de OAuth-client.
Voeg optioneel een beschrijving toe.
Selecteer een van de beschikbare scopes door te scrollen of het zoekveld te gebruiken.

TipGebruik de knoppen Alle en Geselecteerd om alle scopes of alleen de geselecteerde scopes te bekijken.
Voer een of meer omleidings-URL's in voor de OAuth-clientapplicatie (maximaal 5). Klik vervolgens op Toevoegen om de omleidings-URL toe te voegen aan de toelatingslijst.
- De omleidings-URL is de locatie waarnaar de autorisatieserver de browser van de gebruiker stuurt na succesvolle authenticatie en het verlenen van toestemming aan de clientapplicatie. Bijvoorbeeld https://www.exampleapp.com/oauth/callback, waarbij /oauth/callback authenticatie-callbacks van de OAuth-provider afhandelt.
- Qlik Cloud zal de gebruiker na een succesvolle autorisatie alleen terugsturen naar de applicatie als de URL ervan in de toelatingslijst van omleidings-URL's staat.
- URL's moeten beginnen met https:// tenzij het domein localhost is, in welk geval het kan beginnen met http://. Native applicaties kunnen ook de applicatiespecifieke koppelingsindeling gebruiken, bijvoorbeeld exampleapp://.
Geef voor de clienttypen Web of Single-page app een of meer toegestane oorsprongen op (maximaal 5).
- Toegang tot de applicatie wordt alleen verleend als de URL is toegevoegd aan de lijst met toegestane oorsprongen.
Voor het clienttype Web kunt u een van de volgende opties inschakelen voor geautomatiseerde systeemtoegang zonder gebruikersinteractie:
- Machine-to-Machine (M2M) toestaan: Maakt systeem-naar-systeemcommunicatie mogelijk zonder tussenkomst van de gebruiker.
- M2M-gebruikersimitatie toestaan: Stelt uw applicatie in staat om zich namens gebruikers te authenticeren en als hen op te treden tijdens het authenticatieproces.
Selecteer voor het clienttype Web een of beide opties onder Authenticatiemethode:
- Clientgeheim (standaard)
- Privésleutel JWT, een veiligere optie die de client authenticeert met behulp van een openbaar/privé-sleutelpaar in plaats van een gedeeld geheim.
  - Wanneer u Privésleutel JWT selecteert, verschijnt het veld Openbare sleutel. Voer de openbare sleutel van uw applicatie van derden in de JSON Web Key (JWK)-indeling in. De privésleutel blijft bij uw applicatie om JWT's te ondertekenen. Zie voor meer informatie over de indeling van de openbare sleutel Create a public/private key pair for signing JWTs op de Qlik Developer Portal.
    
    InformatieDe openbare sleutel is afhankelijk van de vereisten van uw identiteitsprovider. Als de openbare sleutel van uw applicatie van derden een andere indeling heeft, gebruik dan een tool van derden om deze naar JWK te converteren.
Klik op Maken.
Klik op Kopiëren naar klembord om de client-ID en het clientgeheim op te slaan voor later gebruik. Bewaar het clientgeheim veilig.

InformatieOpenbare clients hebben geen clientgeheim.
Klik op Gereed.

OAuth-clients voor specifieke use cases

Raadpleeg de volgende bronnen voor use cases van OAuth-clients:

OAuth Overview op de Qlik Developer Portal: Overzicht van OAuth-use cases en de verschillende OAuth-typen.
OAuth-clients maken voor Qlik-invoegtoepassingen voor Microsoft Office: Stel een OAuth-client in voor de installatie van de Qlik-invoegtoepassing voor Microsoft Excel.
Een OAuth-client maken voor anonieme insluitingen van applicatie-inhoud: Maak een OAuth-client om anonieme toegang tot ingesloten applicatie-inhoud mogelijk te maken.

OAuth-clients maken voor Qlik-invoegtoepassingen voor Microsoft Office

Configuratie voor een OAuth-client is vereist om Qlik add-ins voor Microsoft Office te installeren. Add-ins worden gebruikt door rapportontwikkelaars om rapportsjablonen voor te bereiden voor in-applicatie rapportage met Qlik Cloud.

Om OAuth te kunnen gebruiken in de add-ins, moet de OAuth-client precies zoals de hieronder getoonde configuratie worden geconfigureerd.

Doe het volgende:

In het Beheer-activiteitencentrum gaat u in Qlik Cloud naar OAuth.
Klik op Nieuwe maken.
Selecteer App met één pagina in het vervolgkeuzemenu Clienttype. Er worden nu meer velden weergegeven.
Voer een naam in. De Beschrijving is optioneel.
Selecteer tenminste het selectievakje op om het user_default-bereik te gebruiken. U kunt andere bereiken gebruiken in de configuratie, maar zonder user_default werkt de installatie niet.

Zie Beschikbare OAuth-scopes voor een volledige beschrijving van elk bereik dat beschikbaar is.
Voer in het veld Omleidings-URL's toevoegen de URL van uw Qlik Cloud-tenant in, gevolgd door de vaste tekenreeks: /office-add-ins/oAuthLoginSuccess.html

Het resultaat zou er als volgt uit moeten zien: https://<tenant or alias hostname>.<region>.qlikcloud.com/office-add-ins/oAuthLoginSuccess.html. Bijvoorbeeld: http://example-company-123.us.qlikcloud.com/office-add-ins/oAuthLoginSuccess.html
Klik op Toevoegen.
Voer in het veld Toegestane oorsprongen toevoegen uw tenant-URL in en klik op Toevoegen.
Klik op Maken.
Het venster Client-id kopiëren wordt geopend. U kunt nu de Client-id naar het klembord kopiëren of u kunt u op Gereed klikken om het venster te sluiten.

Nadat u de OAuth-client hebt gemaakt, haalt u de bijgewerkte manifest XML koppeling op uit het Beheer activiteitencentrum. Ga naar de Instellingen pagina en selecteer het tabblad E-mail en rapporten. Selecteer in de sectie Delen en rapporten de Qlik add-ins voor Microsoft Office. Gebruik de opgegeven koppeling om de add-in te implementeren en te installeren.

Zie voor meer informatie over het genereren van het manifestbestand en het implementeren en installeren van een invoegtoepassing:

Een OAuth-client maken voor anonieme insluitingen van applicatie-inhoud

Om applicatie-inhoud in te sluiten voor anonieme toegang met behulp van qlik-embed, moet u een OAuth-client maken met een type dat speciaal is ontworpen voor deze use case.

Deze functionaliteit is alleen beschikbaar met een Qlik Anonymous Access-abonnement. Ga voor meer informatie naar Qlik Anonymous Access-abonnementen.

Doe het volgende:

Ga in het Beheer activiteitencentrum naar de OAuth-sectie.
Klik op Nieuwe maken.
Selecteer in het vervolgkeuzemenu Clienttype de optie Anoniem insluiten.
Voer een Naam en optioneel een Beschrijving in voor de OAuth-client.
Voer onder Toegestane oorsprongen elke oorsprong in die u moet autoriseren. Dit zijn de domeinen die toegang krijgen tot de Qlik Cloud-tenant om de informatie voor de ingesloten analyses op te halen.

Klik op Toevoegen na het invoegen van elke URL.
Wanneer u klaar bent, klikt u op Maken.
Klik op Kopiëren naar klembord om de client-ID op te slaan voor later gebruik. Deze is nodig wanneer de applicatie-inhoud is ingesloten met qlik-embed.
Klik op Gereed.

OAuth-clients bewerken

U kunt de naam van een OAuth-client wijzigen, de beschrijving bijwerken of de omleidings-URL's beheren.

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Zoek de OAuth-client die u wilt bewerken.
Klik op en selecteer vervolgens Bewerken.
Wijzig de opties van de OAuth-client naar wens.
Klik op Opslaan.

OAuth-clients verwijderen

U kunt een OAuth-client verwijderen wanneer deze niet langer nodig is of om de toegang in te trekken.

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Selecteer een of meer OAuth-clients die u wilt verwijderen en klik vervolgens op Verwijderen.
Bevestig de verwijdering.

OAuth-clients publiceren

OAuth-clients zijn in eerste instantie gebonden aan de tenant die ze heeft gemaakt. U kunt een OAuth-client echter zo configureren dat deze wordt gedeeld over meerdere tenants binnen dezelfde regio. Hierdoor kunnen applicaties van derden dezelfde client-ID gebruiken in verschillende Qlik Cloud-tenants.

Applicatie-eigenaren kunnen geheimen roteren en de configuratie bijwerken zonder tussenkomst van een tenantbeheerder. Tenantbeheerders hoeven geen inloggegevens te beheren of op de hoogte te zijn van configuratiedetails voor de gepubliceerde client.

Om andere tenants in staat te stellen verbinding te maken met een OAuth-client, moet u deze publiceren.

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Zoek de OAuth-client die u wilt publiceren.
Klik op naast de client en selecteer Publiceren.
Klik op Publiceren om te bevestigen.

Zodra de OAuth-client is gepubliceerd, komt deze beschikbaar voor extern gebruik door andere tenants. Wanneer een gebruiker een externe website bezoekt die deze OAuth-client gebruikt, wordt hem gevraagd zijn tenant-hostnaam en gebruikersgegevens in te voeren, tenzij hij al een actieve SaaS-sessie heeft.

Voor de eerste aanmelding is toestemming van een tenantbeheerder vereist. Na goedkeuring verschijnt de OAuth-client in het Beheer-activiteitencentrum van de tenant.

Toestemmingsmethoden

Standaard vraagt Qlik Cloud gebruikers om toestemming bij het authenticeren. Om het proces te stroomlijnen, vooral voor vertrouwde applicaties, kunt u de toestemmingsmethode instellen op "Vertrouwd", waardoor de toestemmingsprompt wordt overgeslagen.

Er zijn twee opties voor toestemming:

Vereist: De gebruiker wordt om toestemming gevraagd telkens wanneer een nieuwe scope wordt aangevraagd door de OAuth-client. Deze methode zorgt voor expliciete goedkeuring van de gebruiker voor elk toegangsniveau.
Vertrouwd: De gebruiker wordt niet om toestemming gevraagd. Deze optie is alleen beschikbaar voor niet-gepubliceerde clients. Voor gepubliceerde clients is de toestemmingsmethode altijd Vereist om de beveiliging over meerdere tenants te handhaven.

Voor clients die worden gebruikt als Machine-to-Machine (M2M), moet de toestemmingsmethode worden gewijzigd in Vertrouwd nadat de client is gemaakt.

De toestemmingsmethode wijzigen

Doe het volgende om de toestemmingsmethode voor een OAuth-client te wijzigen:

Ga in het Beheer-activiteitencentrum naar OAuth.
Klik op de OAuth-client op en selecteer Toestemmingsmethode wijzigen.
Selecteer Vereist of Vertrouwd en klik vervolgens op Toestemmingsmethode wijzigen.

De OAuth-configuratie bekijken en kopiëren

Selecteer in de OAuth-sectie van het Beheer-activiteitencentrum OAuth-configuratie bekijken om authenticatiedetails voor uw Qlik Cloud-tenant weer te geven. Dit toont een stukje code met OAuth-eindpunten en -instellingen, evenals een URL die u kunt kopiëren voor gebruik in externe applicaties.

U kunt deze configuratie gebruiken om Qlik Cloud te integreren met applicaties van derden, API-toegang te automatiseren of authenticatie te configureren voor ingesloten analyses.

Clientgeheimen beheren

Als een clientgeheim is gecompromitteerd of uw beveiligingsbeleid periodieke updates vereist, kunt u geheimen toevoegen of verwijderen. Om downtime te voorkomen, kunt u meerdere clientgeheimen toevoegen (maximaal 5), uw clientapplicatie bijwerken en vervolgens het oude geheim verwijderen.

Een clientgeheim toevoegen

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Zoek de OAuth-client.
Klik op en selecteer Geheimen beheren.
Klik op Een nieuw clientgeheim genereren.
Kopieer het clientgeheim en de client-ID en bewaar ze veilig.

InformatieU zult later geen toegang meer hebben tot het clientgeheim.
Klik op Sluiten.

Een clientgeheim verwijderen

Doe het volgende:

Ga in het Beheer-activiteitencentrum naar OAuth.
Zoek de OAuth-client.
Klik op en selecteer Geheimen beheren.
Klik op naast het clientgeheim.
Klik op Sluiten.

Meer over OAuth-clients

Volgende stappen: OAuth-clientapplicaties bouwen

Na het registreren van een OAuth-client bij Qlik Cloud, kunt u OAuth-clientapplicaties bouwen om toegang te krijgen tot Qlik Cloud-inhoud. Gebruik de bijbehorende client-ID en het clientgeheim in uw applicatie.

Zie voor stapsgewijze begeleiding de tutorials in de OAuth Overview-sectie van de Qlik Developer Portal. Deze tutorials behandelen hoe u clientapplicaties kunt bouwen met behulp van populaire programmeertalen.

OAuth-clients op organisatieniveau

Naast tenant-specifieke OAuth-clients kunt u OAuth-clients op organisatieniveau gebruiken. Als eigenaar van een serviceaccount (SAO) kunt u deze clients maken en beheren. OAuth-clients op organisatieniveau bieden toegang tot tenant-informatie in alle tenants in uw abonnementen.

Zie voor meer informatie OAuth-clients beheren in My Qlik.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een tikfout, een ontbrekende stap of een technische fout – laat het ons weten!

Geef hier uw feedback