Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

Een nieuwe configuratie voor de identiteitsprovider maken

Qlik Cloud voorziet in identiteitsproviderconfiguratie (IdP voor gebruikerslogin, API-toegang en multi-cloudsetup. Elke Qlik Cloud-tenant biedt ondersteuning voor één interactieve IdP zoals Qlik Account, Microsoft Entra ID (voorheen Azure AD), OKTA, Auth0, of een andere IdP die compatibel is met OpenID Connect (OIDC) of Security Assertion Markup Language (SAML).

Tenantbeheerders kunnen verschillende IdP-configuraties maken vanuit het Beheer-activiteitencentrum:

  • Configureer een interactieve IdP voor gebruikersaanmelding. Kies tussen OIDC of SAML, afhankelijk van de ondersteunde standaard van uw identiteitsprovider.

    Informatie

    • Er kan slechts één interactieve IdP tegelijkertijd actief zijn. Als u uw aangepaste interactieve IdP implementeert, vervangt deze het Qlik Account-aanmeldproces met het authenticatieproces dat door uw gekozen IdP is gedefinieerd.

    • U moet de afhandeling van SSO-fouten voor uw zakelijke IdP configureren via uw identiteitsprovider. Qlik Cloud biedt geen ondersteuning voor het configureren van een terugvalomleidings-URL.

  • Voor het beheer van een naadloze multi-cloudidentiteit moet u een multi-cloud IdP configureren met uw lokale bearer-token.

Een nieuwe interactieve OIDC IdP-configuratie maken

Tenantbeheerders kunnen nieuwe IdP-configuraties maken. U kunt slechts één interactieve IdP tegelijkertijd hebben. Als u al een actieve IdP hebt, moet u deze eerst deactiveren voordat u de nieuwe IdP kunt activeren. Ga voor meer informatie naar Zakelijke IdP-configuraties wijzigen.

In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Cloud. U moet ook configuraties uitvoeren voor de identiteitsprovider. Raadpleeg de volgende bronnen voor een overzicht:

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider en klikt u op Nieuwe maken.

  2. Voor Type selecteert u OIDC.

  3. Selecteer voor Provider een identiteitsprovider in de lijst of kies Algemeen als uw specifieke provider niet wordt weergegeven.

  4. Geef eventueel een beschrijving voor de IdP-configuratie op.

  5. Onder Applicatie-referenties kunt u de detectie-URL invoeren. Als een detectie-URL niet beschikbaar is of niet de juiste metagegevens geeft, hebt u ook de mogelijkheid om handmatig afzonderlijke waarden in te voeren. Gebruik de handmatige configuratie alleen als er geen detectie-URL is ingevoerd.

    Voer een van de volgende handelingen uit:

    1. Voer de detectie-URL in. Dit is de URL voor het eindpunt dat de configuratiegegevens voor de OAuth-clients levert voor interactie met de IdP met behulp van het OpenID Connect-protocol. De conventies voor de benaming van de detectie-URL zijn afhankelijk van uw gekozen provider:

      • ADFS: Detectie-URL voor ADFS

      • Auth0: OpenID-configuratie

      • Keycloak: OpenID-eindpuntconfiguratie voor Keycloak

      • Okta of Generic IdP: OpenID Connect-URI met metagegevens

      • Salesforce: Detectie-URL voor Salesforce

    of

    1. Selecteer Handmatige configuratie.

    2. Voer de volgende waarden in:

      • Autorisatie-eindpunt: de URL voor interactie met de resource-eigenaar waar u de autorisatie ontvangt voor toegang tot de resource.

      • Eindsessie-eindpunt (optioneel): de URL die wordt gebruikt om eenmalige afmelding te activeren.

      • Introspectie-eindpunt (optioneel): de URL om referentietokens of JWT's te valideren.

      • Verlener: de URL naar de identiteitsprovider.

      • JWKS URI: de URI naar de JSON Web Key Set die openbare sleutels bevat voor de verificatie van een JSON Web Token (JWT).

      • Token-eindpunt: de URL om een toegangstoken op te halen.

      • Gebruikersinfo-eindpunt: de URL om gebruikersgegevens op te halen.

    Configuratie met behulp van de detectie-URL en handmatige configuratie.

    Configuratiedeelvensters met en zonder het gebruik van de detectie-URL.

  6. Geef de client-id op: de id van de geconfigureerde client bij de IdP voor interactieve gebruikersauthenticatie.

  7. Geef het clientgeheim op: het geheim voor de client is geconfigureerd bij de IdP.

  8. Geef eventueel een Realm op. Dit is de naam die met de IdP moet worden gekoppeld. Deze is hetzelfde als de domeimnaam in Qlik Sense Enterprise on Windows en wordt gebruik voor consistentie bij de benaming in multi-cloud.

  9. Vul de velden onder Claims toewijzen in.

    Claims zijn beschrijvingen (naam-waardeparen) van de entiteit (veelal de gebruiker) en metagegevens over de OpenID Connect-service. Toewijzingen zijn beschikbaar voor sub, naam, groepen, e-mail, client_id, afbeeldingen en email_verified (optioneel).

    Informatie

    • In de invoervelden kunt u meerdere opzoekwaarden invoeren, van elkaar gescheiden door een komma. De eerst gevonden niet-nullwaarde wordt gebruikt.

    • De groepsclaim is nodig om groepen te kunnen ontvangen. Houd er rekening mee dat geneste groepen niet worden ondersteund in Microsoft Entra ID.

  10. U kunt desgewent de geavanceerde opties configureren. Zie Geavanceerde opties voor meer informatie.

  11. Klik op Maken.

    Er verschijnt een bevestigingsvenster met de optie om de IdP-configuratie te valideren.

    • Om het valideren nu uit te voeren, selecteert u IdP valideren en klikt u op Maken. Hierdoor wordt het validatieproces uitgevoerd. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te verifiëren dat de gegevens van het gebruikersprofiel juist zijn.

    • Als u er de voorkeur aan geeft om de configuratie te maken en later te valideren, schakelt u het selectievakje IdP valideren uit en klikt u op Maken. U kunt de validatie later uitvoeren door in uw IdP-configuratie te klikken op Meer en Valideren te selecteren.

    De IdP-configuratie valideren en maken.

    Besvestigingsvenster met optie IdP valideren geselecteerd

Uw tenant-URL toevoegen aan de acceptatielijst van uw identiteitsprovider

Plaats uw tenant-URL op een acceptatielijst van uw identiteitsprovider. Deze instelling kan verschillende namen hebben, bijvoorbeeld Allowed Callback URLs, Redirect URI of Login redirect URI.

Als u de URL toevoegt, moet u login/callback toevoegen aan uw tenantadres, dit resulteert in https://<tenant name>/login/callback.

InformatieGebruik de oorspronkelijke tenant-hostnaam en niet de alias van de hostnaam bij het instellen van de URI voor omleiding. U vindt de hostnaam van de tenant in het menu van uw gebruikersprofiel, in de sectie Over.

Geavanceerde opties

De geavanceerde opties bieden extra mogelijkheden voor bepaalde identiteitsproviders.

E-mailadres geverifieerd overschrijven

Schakel deze instelling in om de claim email_verified op 'waar' te zetten. Dit zorgt ervoor dat e-mailadressen kunnen worden gebruikt voor het toewijzen van identiteiten in ADFS en Microsoft Entra ID. Het is vooral handig bij het wisselen van IdP's en helpt onderscheid te maken tussen gebruikers met identieke namen in het Beheer-activiteitencentrum.

Bereik

Bereiken definiëren de teogangsmachtigingen die worden aangevraagd bij het verlenen van een toegangstoken op basis van de OAuth 2.0-specificatie. Voer waarden in gescheiden door spaties om de machtigingen op te geven die u wilt aanvragen bij de identiteitsprovider. Neem bijvoorbeeld een bereik voor groepen op als de IdP ondersteuning voor functies van gebruikersgroepen vereist.

URI voor omleiding na afmelding

Gebruik dit veld om een URI op te geven waar gebruikers na het afmelden naar gebruikers worden omgeleid. Zie De URI voor omleiding na afmelding gebruiken voor volledige instructies.

'offline_access' blokkeren

Als u Google Identity of OneLogin gebruikt als identiteitsprovider, schakelt u deze instelling in om het doorgeven van het bereik 'offline_access' aan de identiteitsprovider te blokkeren. Dit zorgt ervoor dat de configuratie correct werkt met Qlik Sense Mobile SaaS- en OAuth 2.0-applicaties.

Algoritme van handtekening voor id-token

Het RSA-handtekeningalgoritme garandeert de authenticiteit en integriteit van id-tokens. Qlik Cloud ondersteunt twee opties:

  • RS256 (standaardwaarde)

  • RS512

Selecteer een algoritme op basis van uw beveiligingsbehoeften.

Verificatie en ontsleuteling van tokenhandtekening

Genereer sleutelparen om handtekeningen te verifiëren en versleutelde JSON Web Tokens (JWT) te ontsleutelen. Zie Sleutelparen beheren voor ondertekende en versleutelde id-tokens voor volledige instructies.

Een nieuwe interactieve SAML IdP-configuratie maken

Tenantbeheerders kunnen nieuwe IdP-configuraties maken. U kunt slechts één interactieve IdP tegelijkertijd hebben. Als u al een actieve IdP hebt, moet u deze eerst deactiveren voordat u de nieuwe IdP kunt activeren. Ga voor meer informatie naar Zakelijke IdP-configuraties wijzigen.

In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Cloud. U moet ook configuraties uitvoeren voor de identiteitsprovider. Raadpleeg de volgende onderwerpen voor een overzicht:

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider en klikt u op Nieuwe maken.

  2. Voor Type selecteert u SAML.

  3. Selecteer voor Provider een identiteitsprovider in de lijst of kies Algemeen als uw specifieke provider niet wordt weergegeven.

  4. Geef eventueel een beschrijving voor de IdP-configuratie op.

  5. Onder Configuratie hebt u de optie om de SAML XML-metagegevens te uploaden vanuit uw identiteitsprovider of om handmatig de afzonderlijke waarden in te voeren.

    Voer een van de volgende handelingen uit:

    1. Selecteer IdP-metagegevens gebruiken.

    2. Klik op Bestand uploaden onder SAML IdP-metagegevens en kies het bestand dat de metagegevens van uw identiteitsprovider bevat. Als de metagegevens van uw identiteitsprovider niet beschikbaar zijn als bestand, kunt u de metagegevens direct kopiëren en plakken in het veld IdP-metagegevens.

    of

    1. Klik op Bestand uploaden onder Handtekeningcertificaten om het certificaatbestand te uploaden.
      Dit is het certificaat dat door de identiteitsprovider wordt gebruikt om de SAML-asserties te verzenden naar Qlik Cloud.

    2. Geef de entiteits-id van uw identiteitsprovider op.

    3. Geef de URL voor eenmalige aanmelding op.

      Dit is het eindpunt waar de aanvragen voor SAML-authenticatie naartoe worden gezonden. Het is de URL waarnaar de gebruiker wordt omgeleid voor authenticatie.

    4. Selecteer een Indeling naam id.

    Configuratie met behulp van metagegevens en handmatige configuratie.

    Configuratiedeelvensters met en zonder het gebruik van IdP-metagegevens.

  6. Selecteer optioneel IdP geïnitieerde aanmelding inschakelen.

    De standaard aanmeldprocedure is dat de gebruiker eerst naar Qlik Cloud gaat en vervolgens wordt omgeleid naar de IdP voor authenticatie. Schakel IdP geïnitieerde aanmelding in als u wilt dat de gebruiker zich eerst aanmeldt bij de indentiteitsprovider en vervolgens wordt omgeleid naar Qlik Cloud.

  7. Wijzig de velden onder Claimstoewijzing of behoud de standaardwaarden.

    Claimstoewijzingen definiëren hoe gebruikerskenmerken van uw identiteitsprovider worden gekoppeld aan velden in het Qlik Cloud-gebruikersmodel. Toewijzingen zijn beschikbaar voor sub, naam, e-mail, groepen, en afbeeldingen. Wijzig de waarden op basis van de behoefte van uw organistie en de kenmerken van uw identiteitsprovider.

    Informatie

    • In de invoervelden kunt u meerdere opzoekwaarden invoeren, van elkaar gescheiden door een komma. De eerst gevonden niet-nullwaarde wordt gebruikt.

    • De groepsclaim is nodig om groepen te kunnen ontvangen. Houd er rekening mee dat geneste groepen niet worden ondersteund in Microsoft Entra ID.

  8. Configureer optioneel URI voor omleiding na afmelding onder Geavanceerde opties.

    Dit wordt gebruikt om een gebruiker na het afmelden om te leiden naar een gedefinieerde URI. Raadpleeg De URI voor omleiding na afmelding gebruiken voor een voorbeeld van het gebruik van de URI voor omleiding na afmelding.

  9. Klik op Maken.

    Er verschijnt een bevestigingsvenster met de optie om de IdP-configuratie te valideren.

    De metagegevens en het handtekeningcertificaat van de SAML-serviceprovider zijn pas beschikbaar na het maken van de IdP-configuratie. Als u deze gegevens nodig hebt voor het instellen van de identiteitsprovider, kunt u de IdP eerst maken zonder te valideren en de validatie pas uitvoeren nadat de configuratie van uw identiteitsprovider is voltooid.

    • Om het valideren nu uit te voeren, selecteert u IdP valideren en klikt u op Maken. Hierdoor wordt het validatieproces uitgevoerd. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te bevestigen dat de gegevens van het gebruikersprofiel geldig zijn.

    • Als u er de voorkeur aan geeft om de configuratie te maken en later te valideren, schakelt u het selectievakje IdP valideren uit en klikt u op Maken. U kunt de validatie later uitvoeren door in uw IdP-configuratie te klikken op Meer en Valideren te selecteren.

    De IdP-configuratie valideren en maken.

    Besvestigingsvenster met optie IdP valideren geselecteerd

De metagegevens van de serviceprovider uploaden naar uw identiteitsprovider.

Doe het volgende:

  1. Klik in het Beheer-activiteitencentrum van uw nieuw gemaakt IdP-configuratie op Meer en selecteer Providerconfiguratie weergeven.

    Een dialoogvenster toont de metagegevens van de serviceprovider en de URL naar het metagegevens-eindpunt.

    Metagegevens van serviceprovider.

    Besvestigingsvenster met optie IdP valideren geselecteerd

  2. Afhankelijk van de setup van uw identiteitsprovider downloadt u de metagegevens of kopieert u de URL en bewaart u deze voor later gebruik. Download indien nodig het handtekeningcertificaatbestand. Klik op Gereed.

  3. Geef in uw identiteitsprovider de metagegevens van de serviceprovider op. Zorg dat u de volgende vereiste instellingen configureert:

    • De URL van de Assertion Consumer Service (ACS). Dit is waar de identiteitsprovider de SAML-asserties na de authenticatie naartoe verzendt.

    • Entiteits-id van de serviceprovider.

    • Het certificaat voor het valideren van authenticatie-aanvragen. Dit wordt gebruikt door de identiteitsprovider om de authenticiteit van de serviceprovider te verifiëren.

  4. Nadat de configuratie van uw identiteitsprovider is voltooid, kunt u uw IdP-configuratie valideren in het Beheer-activiteitencentrum. Klik in uw configuratie op Meer en selecteer Valideren. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te verifiëren dat de gegevens van het gebruikersprofiel juist zijn.

Automatisch maken van groepen inschakelen

Groepen worden gebruikt om gebruikerstoegang te beheren en kunnen automatisch worden gemaakt op basis van IdP-groepen. Als het automatisch maken van groepen is ingeschakeld, worden groepen overgenomen van de identiteitsprovider, zodat toegang kan worden verleend aan dezelfde groepen gebruikers die in de IdP bestaan. Dit vereenvoudigt de toegangsbeheer in vergelijking met het verlenen van toegang aan één gebruiker tegelijk.

Wanneer gebruikers zich aanmelden, verschijnen er dynamisch nieuwe IdP-groepen in Qlik Cloud. Deze groepen worden niet allemaal tegelijk geïmporteerd. In plaats daarvan worden IdP-groepen ontdekt tijdens het aanmeldproces. Alleen de groepen die zijn gekoppeld met Qlik Cloud-gebruikers zijn beschikbaar.

U moet gebruik maken van eenmalige aanmelding en beheerderstoegang hebben tot uw IdP om groepen te kunnen configureren.

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Instellingen.
  2. Selecteer Maken van groepen bij Functiebeheer.
GERELATEERD LESMATERIAAL:

Meer informatie

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback