Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

Een nieuwe configuratie voor de identiteitsprovider maken

Qlik Cloud voorziet in identiteitsproviderconfiguratie (IdP voor gebruikerslogin, API-toegang en multi-cloudsetup. Elke Qlik Cloud-tenant biedt ondersteuning voor één interactieve IdP zoals Qlik Account, Microsoft Entra ID (voorheen Azure AD), OKTA, Auth0, of een andere IdP die compatibel is met OpenID Connect (OIDC) of Security Assertion Markup Language (SAML).

Tenantbeheerders kunnen verschillende IdP-configuraties maken vanuit de Beheerconsole:

  • Configureer een interactieve IdP voor gebruikersaanmelding. Kies tussen OIDC of SAML, afhankelijk van de ondersteunde standaard van uw identiteitsprovider.

    InformatieEr kan slechts één interactieve IdP tegelijkertijd actief zijn. Als u uw aangepaste interactieve IdP implementeert, vervangt deze het Qlik Account-aanmeldproces met het authenticatieproces dat door uw gekozen IdP is gedefinieerd.

  • Selecteer Machine-to-Machine (M2M) authenticatie voor API-toegang.

  • Voor het beheer van een naadloze multi-cloudidentiteit moet u een multi-cloud IdP configureren met uw lokale bearer-token.

Een nieuwe interactieve OIDC IdP-configuratie maken

Tenantbeheerders kunnen nieuwe IdP-configuraties maken. U kunt slechts één interactieve IdP tegelijkertijd hebben. Als u al een actieve IdP hebt, moet u deze eerst deactiveren voordat u de nieuwe IdP kunt activeren. Ga voor meer informatie naar Zakelijke IdP-configuraties wijzigen.

In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Cloud. U moet ook configuraties uitvoeren voor de identiteitsprovider. Raadpleeg de volgende bronnen voor een overzicht:

Doe het volgende:

  1. In de Beheerconsole gaat u naar Identiteitsprovider en vervolgens naar Nieuwe maken.

  2. Voor Type selecteert u OIDC.

  3. Selecteer voor Provider een identiteitsprovider in de lijst of kies Algemeen als uw specifieke provider niet wordt weergegeven.

  4. Geef eventueel een beschrijving voor de IdP-configuratie op.

  5. Onder Applicatie-referenties kunt u de detectie-URL invoeren. Als een detectie-URL niet beschikbaar is of niet de juiste metagegevens geeft, hebt u ook de mogelijkheid om handmatig afzonderlijke waarden in te voeren. Gebruik de handmatige configuratie alleen als er geen detectie-URL is ingevoerd.

    Voer een van de volgende handelingen uit:

    1. Voer de detectie-URL in. Dit is de URL voor het eindpunt dat de configuratiegegevens voor de OAuth-clients levert voor interactie met de IdP met behulp van het OpenID Connect-protocol. De conventies voor de benaming van de detectie-URL zijn afhankelijk van uw gekozen provider:

      • ADFS: Detectie-URL voor ADFS

      • Auth0: OpenID-configuratie

      • Keycloak: OpenID-eindpuntconfiguratie voor Keycloak

      • Okta of Generic IdP: OpenID Connect-URI met metagegevens

      • Salesforce: Detectie-URL voor Salesforce

    of

    1. Selecteer Handmatige configuratie.

    2. Voer de volgende waarden in:

      • Autorisatie-eindpunt: de URL voor interactie met de resource-eigenaar waar u de autorisatie ontvangt voor toegang tot de resource.

      • Eindsessie-eindpunt (optioneel): de URL die wordt gebruikt om eenmalige afmelding te activeren.

      • Introspectie-eindpunt (optioneel): de URL om referentietokens of JWT's te valideren.

      • Verlener: de URL naar de identiteitsprovider.

      • JWKS URI: de URI naar de JSON Web Key Set die openbare sleutels bevat voor de verificatie van een JSON Web Token (JWT).

      • Token-eindpunt: de URL om een toegangstoken op te halen.

      • Gebruikersinfo-eindpunt: de URL om gebruikersgegevens op te halen.

    Configuratie met behulp van de detectie-URL en handmatige configuratie.

    Configuratiedeelvensters met en zonder het gebruik van de detectie-URL.

  6. Geef de client-id op: de id van de geconfigureerde client bij de IdP voor interactieve gebruikersauthenticatie.

  7. Geef het clientgeheim op: het geheim voor de client is geconfigureerd bij de IdP.

  8. Geef eventueel een Realm op. Dit is de naam die met de IdP moet worden gekoppeld. Deze is hetzelfde als de domeimnaam in Qlik Sense Enterprise on Windows en wordt gebruik voor consistentie bij de benaming in multi-cloud.

  9. Vul de velden onder Claims toewijzen in.

    Claims zijn beschrijvingen (naam-waardeparen) van de entiteit (veelal de gebruiker) en metagegevens over de OpenID Connect-service. Toewijzingen zijn beschikbaar voor sub, naam, groepen, e-mail, client_id, afbeeldingen en email_verified (optioneel).

    Informatie

    • In de invoervelden kunt u meerdere opzoekwaarden invoeren, van elkaar gescheiden door een komma. De eerst gevonden niet-nullwaarde wordt gebruikt.

    • De groepsclaim is nodig om groepen te kunnen ontvangen. Houd er rekening mee dat geneste groepen niet worden ondersteund in Microsoft Entra ID.

  10. U kunt desgewent de geavanceerde opties configureren. Zie Geavanceerde opties voor meer informatie.

  11. Klik op Maken.

    Er verschijnt een bevestigingsvenster met de optie om de IdP-configuratie te valideren.

    • Om het valideren nu uit te voeren, selecteert u IdP valideren en klikt u op Maken. Hierdoor wordt het validatieproces uitgevoerd. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te verifiëren dat de gegevens van het gebruikersprofiel juist zijn.

    • Als u er de voorkeur aan geeft om de configuratie te maken en later te valideren, schakelt u het selectievakje IdP valideren uit en klikt u op Maken. U kunt de validatie later uitvoeren door in uw IdP-configuratie te klikken op Meer en Valideren te selecteren.

    De IdP-configuratie valideren en maken.

    Besvestigingsvenster met optie IdP valideren geselecteerd

Uw tenant-URL toevoegen aan de acceptatielijst van uw identiteitsprovider

Plaats uw tenant-URL op een acceptatielijst van uw identiteitsprovider. Deze instelling kan verschillende namen hebben, bijvoorbeeld Allowed Callback URLs, Redirect URI of Login redirect URI.

Als u de URL toevoegt, moet u login/callback toevoegen aan uw tenantadres, dit resulteert in https://<tenant name>/login/callback.

InformatieGebruik de oorspronkelijke tenant-hostnaam en niet de alias van de hostnaam bij het instellen van de URI voor omleiding. U vindt de hostnaam onder Instellingen > Tenant > Hostnaam in de Beheerconsole.

Geavanceerde opties

De geavanceerde opties breiden de mogelijkheden van sommige IdP's uit.

E-mailadres geverifieerd overschrijven: wordt gebruikt in AD FS en in Microsoft Entra ID om te zorgen dat het e-mailadres van een gebruiker gebruikt kan worden voor het toewijzen van identiteiten. Deze optie is nuttig voor het schakelen tussen IdP's, maar ook in de Beheerconsole om onderscheid te maken tussen twee gebruikers met exact dezelfde naam.

Bereik: wordt gebruikt in de OAuth 2.0-specificatie voor het opgeven van de toegangsmachtigingen bij het verlenen van een toegangstoken. Gebruik deze optie bijvoorbeeld om een groepsbereik toe te voegen voor het geval de IdP dit vereist voor de ondersteuning van een gebruikersgroepkenmerk.

URI voor omleiding na afmelding: wordt gebruikt om een gebruiker na het afmelden om te leiden naar een gedefinieerde URI. Raadpleeg De URI voor omleiding na afmelding gebruiken voor een voorbeeld van het gebruik van de URI voor omleiding na afmelding.

Doorgeven van bereik 'offline_access' aan identiteitsprovider blokkeren: wanneer u Google Identity of OneLogin gebruikt als de identiteitsprovider, moet deze instelling zijn ingeschakeld om de configuratie te laten werken met toepassingen van Qlik Sense Mobile SaaS en OAuth 2.0.

Een nieuwe interactieve SAML IdP-configuratie maken

Tenantbeheerders kunnen nieuwe IdP-configuraties maken. U kunt slechts één interactieve IdP tegelijkertijd hebben. Als u al een actieve IdP hebt, moet u deze eerst deactiveren voordat u de nieuwe IdP kunt activeren. Ga voor meer informatie naar Zakelijke IdP-configuraties wijzigen.

In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Cloud. U moet ook configuraties uitvoeren voor de identiteitsprovider. Raadpleeg de volgende onderwerpen voor een overzicht:

Doe het volgende:

  1. In de Beheerconsole gaat u naar Identiteitsprovider en vervolgens naar Nieuwe maken.

  2. Voor Type selecteert u SAML.

  3. Selecteer voor Provider een identiteitsprovider in de lijst of kies Algemeen als uw specifieke provider niet wordt weergegeven.

  4. Geef eventueel een beschrijving voor de IdP-configuratie op.

  5. Onder Configuratie hebt u de optie om de SAML XML-metagegevens te uploaden vanuit uw identiteitsprovider of om handmatig de afzonderlijke waarden in te voeren.

    Voer een van de volgende handelingen uit:

    1. Selecteer IdP-metagegevens gebruiken.

    2. Klik op Bestand uploaden onder SAML IdP-metagegevens en kies het bestand dat de metagegevens van uw identiteitsprovider bevat. Als de metagegevens van uw identiteitsprovider niet beschikbaar zijn als bestand, kunt u de metagegevens direct kopiëren en plakken in het veld IdP-metagegevens.

    of

    1. Klik op Bestand uploaden onder Handtekeningcertificaten om het certificaatbestand te uploaden.
      Dit is het certificaat dat door de identiteitsprovider wordt gebruikt om de SAML-asserties te verzenden naar Qlik Cloud.

    2. Geef de entiteits-id van uw identiteitsprovider op.

    3. Geef de URL voor eenmalige aanmelding op.

      Dit is het eindpunt waar de aanvragen voor SAML-authenticatie naartoe worden gezonden. Het is de URL waarnaar de gebruiker wordt omgeleid voor authenticatie.

    4. Selecteer een Indeling naam id.

    Configuratie met behulp van metagegevens en handmatige configuratie.

    Configuratiedeelvensters met en zonder het gebruik van IdP-metagegevens.

  6. Selecteer optioneel IdP geïnitieerde aanmelding inschakelen.

    De standaard aanmeldprocedure is dat de gebruiker eerst naar Qlik Cloud gaat en vervolgens wordt omgeleid naar de IdP voor authenticatie. Schakel IdP geïnitieerde aanmelding in als u wilt dat de gebruiker zich eerst aanmeldt bij de indentiteitsprovider en vervolgens wordt omgeleid naar Qlik Cloud.

  7. Wijzig de velden onder Claimstoewijzing of behoud de standaardwaarden.

    Claimstoewijzingen definiëren hoe gebruikerskenmerken van uw identiteitsprovider worden gekoppeld aan velden in het Qlik Cloud-gebruikersmodel. Toewijzingen zijn beschikbaar voor sub, naam, e-mail, groepen, en afbeeldingen. Wijzig de waarden op basis van de behoefte van uw organistie en de kenmerken van uw identiteitsprovider.

    Informatie

    • In de invoervelden kunt u meerdere opzoekwaarden invoeren, van elkaar gescheiden door een komma. De eerst gevonden niet-nullwaarde wordt gebruikt.

    • De groepsclaim is nodig om groepen te kunnen ontvangen. Houd er rekening mee dat geneste groepen niet worden ondersteund in Microsoft Entra ID.

  8. Configureer optioneel URI voor omleiding na afmelding onder Geavanceerde opties.

    Dit wordt gebruikt om een gebruiker na het afmelden om te leiden naar een gedefinieerde URI. Raadpleeg De URI voor omleiding na afmelding gebruiken voor een voorbeeld van het gebruik van de URI voor omleiding na afmelding.

  9. Klik op Maken.

    Er verschijnt een bevestigingsvenster met de optie om de IdP-configuratie te valideren.

    De metagegevens en het handtekeningcertificaat van de SAML-serviceprovider zijn pas beschikbaar na het maken van de IdP-configuratie. Als u deze gegevens nodig hebt voor het instellen van de identiteitsprovider, kunt u de IdP eerst maken zonder te valideren en de validatie pas uitvoeren nadat de configuratie van uw identiteitsprovider is voltooid.

    • Om het valideren nu uit te voeren, selecteert u IdP valideren en klikt u op Maken. Hierdoor wordt het validatieproces uitgevoerd. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te bevestigen dat de gegevens van het gebruikersprofiel geldig zijn.

    • Als u er de voorkeur aan geeft om de configuratie te maken en later te valideren, schakelt u het selectievakje IdP valideren uit en klikt u op Maken. U kunt de validatie later uitvoeren door in uw IdP-configuratie te klikken op Meer en Valideren te selecteren.

    De IdP-configuratie valideren en maken.

    Besvestigingsvenster met optie IdP valideren geselecteerd

De metagegevens van de serviceprovider uploaden naar uw identiteitsprovider.

Doe het volgende:

  1. Klik in de Beheerconsole van uw nieuw gemaakt IdP-configuratie op Meer en selecteer Providerconfiguratie weergeven.

    Een dialoogvenster toont de metagegevens van de serviceprovider en de URL naar het metagegevens-eindpunt.

    Metagegevens van serviceprovider.

    Besvestigingsvenster met optie IdP valideren geselecteerd

  2. Afhankelijk van de setup van uw identiteitsprovider kopieert u de metagegevens of de URL en bewaart u deze voor later gebruik. Download indien nodig het handtekeningcertificaatbestand. Klik op Gereed.

  3. Geef in uw identiteitsprovider de metagegevens van de serviceprovider op. Zorg dat u de volgende vereiste instellingen configureert:

    • De URL van de Assertion Consumer Service (ACS). Dit is waar de identiteitsprovider de SAML-asserties na de authenticatie naartoe verzendt.

    • Entiteits-id van de serviceprovider.

    • Het certificaat voor het valideren van authenticatie-aanvragen. Dit wordt gebruikt door de identiteitsprovider om de authenticiteit van de serviceprovider te verifiëren.

  4. Nadat de configuratie van uw identiteitsprovider is voltooid, kunt u uw IdP-configuratie valideren in de Beheerconsole. Klik in uw configuratie op Meer en selecteer Valideren. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te verifiëren dat de gegevens van het gebruikersprofiel juist zijn.

Een nieuwe machine-to-machine IdP-configuratie maken

Om een nieuwe machine-to-machine IdP te configureren, volgt u de instructie voor Een nieuwe interactieve OIDC IdP-configuratie maken maar selecteert u Machine-to-Machine (M2M) als het IdP-type.

Enkele instellingen wijken af van de interactieve OIDC-configuratie: de velden Client-id en Clientgeheim zijn niet van toepassing in deze context en onder Claimstoewijzing ziet u alleen toewijzingen voor sub en client_id.

Automatisch maken van groepen inschakelen

Groepen worden gebruikt om gebruikerstoegang te beheren en kunnen automatisch worden gemaakt op basis van IdP-groepen. Als het automatisch maken van groepen is ingeschakeld, worden groepen overgenomen van de identiteitsprovider, zodat toegang kan worden verleend aan dezelfde groepen gebruikers die in de IdP bestaan. Dit vereenvoudigt de toegangsbeheer in vergelijking met het verlenen van toegang aan één gebruiker tegelijk.

Wanneer gebruikers zich aanmelden, verschijnen er dynamisch nieuwe IdP-groepen in Qlik Cloud. Deze groepen worden niet allemaal tegelijk geïmporteerd. In plaats daarvan worden IdP-groepen ontdekt tijdens het aanmeldproces. Alleen de groepen die zijn gekoppeld met Qlik Cloud-gebruikers zijn beschikbaar.

U moet gebruik maken van eenmalige aanmelding en beheerderstoegang hebben tot uw IdP om groepen te kunnen configureren.

Doe het volgende:

  1. Ga in de Beheerconsole naar de pagina Instellingen.
  2. Selecteer Maken van groepen bij Functiebeheer.
GERELATEERD LESMATERIAAL:

Meer informatie

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback