Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

Een interactieve OIDC IdP-configuratie maken

In dit onderwerp wordt beschreven hoe u de instellingen van de identiteitsprovider configureert in Qlik Cloud.

Configuraties aan de kant van de identiteitsprovider

Naast de configuratie in Qlik Cloud, moet u ook configuraties uitvoeren aan de kant van de de identiteitsprovider. Raadpleeg de volgende bronnen voor een overzicht:

Configuratie in Qlik Cloud

Tenantbeheerders kunnen nieuwe IdP-configuraties maken.

InformatieU kunt slechts één interactieve IdP tegelijkertijd hebben. Als u al een actieve IdP hebt, moet u deze eerst deactiveren voordat u de nieuwe IdP kunt activeren. Ga voor meer informatie naar Zakelijke identiteitsprovider wijzigen.

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider en klikt u op Nieuwe maken.

  2. Voor Type selecteert u OIDC.

  3. Selecteer voor Provider een identiteitsprovider in de lijst of kies Algemeen als uw specifieke provider niet wordt weergegeven.

  4. Geef eventueel een beschrijving voor de IdP-configuratie op.

  5. Onder Applicatie-referenties kunt u de detectie-URL invoeren. Als een detectie-URL niet beschikbaar is of niet de juiste metagegevens geeft, hebt u ook de mogelijkheid om handmatig afzonderlijke waarden in te voeren. Gebruik de handmatige configuratie alleen als er geen detectie-URL is ingevoerd.

    Voer een van de volgende handelingen uit:

    1. Voer de detectie-URL in. Dit is de URL voor het eindpunt dat de configuratiegegevens voor de OAuth-clients levert voor interactie met de IdP met behulp van het OpenID Connect-protocol. De conventies voor de benaming van de detectie-URL zijn afhankelijk van uw gekozen provider:

      • ADFS: Detectie-URL voor ADFS

      • Auth0: OpenID-configuratie

      • Keycloak: OpenID-eindpuntconfiguratie voor Keycloak

      • Okta of Generic IdP: OpenID Connect-URI met metagegevens

      • Salesforce: Detectie-URL voor Salesforce

    of

    1. Selecteer Handmatige configuratie.

    2. Voer de volgende waarden in:

      • Autorisatie-eindpunt: de URL voor interactie met de resource-eigenaar waar u de autorisatie ontvangt voor toegang tot de resource.

      • Eindsessie-eindpunt (optioneel): de URL die wordt gebruikt om eenmalige afmelding te activeren.

      • Introspectie-eindpunt (optioneel): de URL om referentietokens of JWT's te valideren.

      • Verlener: de URL naar de identiteitsprovider.

      • JWKS URI: de URI naar de JSON Web Key Set die openbare sleutels bevat voor de verificatie van een JSON Web Token (JWT).

      • Token-eindpunt: de URL om een toegangstoken op te halen.

      • Gebruikersinfo-eindpunt: de URL om gebruikersgegevens op te halen.

    Configuratie met behulp van de detectie-URL en handmatige configuratie.

    Configuratiedeelvensters met en zonder het gebruik van de detectie-URL.

  6. Geef de client-id op: de id van de geconfigureerde client bij de IdP voor interactieve gebruikersauthenticatie.

  7. Geef het clientgeheim op: het geheim voor de client is geconfigureerd bij de IdP.

  8. Geef eventueel een Realm op. Dit is de naam die met de IdP moet worden gekoppeld. Deze is hetzelfde als de domeimnaam in Qlik Sense Enterprise on Windows en wordt gebruik voor consistentie bij de benaming in multi-cloud.

  9. Vul de velden onder Claims toewijzen in.

    Claims zijn beschrijvingen (naam-waardeparen) van de entiteit (veelal de gebruiker) en metagegevens over de OpenID Connect-service. Toewijzingen zijn beschikbaar voor sub, naam, groepen, e-mail, client_id, afbeeldingen en email_verified (optioneel).

    Informatie

    • In de invoervelden kunt u meerdere opzoekwaarden invoeren, van elkaar gescheiden door een komma. De eerst gevonden niet-nullwaarde wordt gebruikt.

    • De groepsclaim is nodig om groepen te kunnen ontvangen. Houd er rekening mee dat geneste groepen niet worden ondersteund in Microsoft Entra ID.

  10. U kunt desgewent de geavanceerde opties configureren. Zie Geavanceerde opties voor meer informatie.

  11. Klik op Maken.

    Er verschijnt een bevestigingsvenster met de optie om de IdP-configuratie te valideren.

    • Om het valideren nu uit te voeren, selecteert u IdP valideren en klikt u op Maken. Hierdoor wordt het validatieproces uitgevoerd. Volg de stappen in de validatiewizard om een aanmelding uit te voeren en te verifiëren dat de gegevens van het gebruikersprofiel juist zijn.

    • Als u er de voorkeur aan geeft om de configuratie te maken en later te valideren, schakelt u het selectievakje IdP valideren uit en klikt u op Maken. U kunt de validatie later uitvoeren door in uw IdP-configuratie te klikken op Meer en Valideren te selecteren.

    De IdP-configuratie valideren en maken.

    Besvestigingsvenster met optie IdP valideren geselecteerd

Uw tenant-URL toevoegen aan de acceptatielijst van uw identiteitsprovider

Plaats uw tenant-URL op een acceptatielijst van uw identiteitsprovider. Deze instelling kan verschillende namen hebben, bijvoorbeeld Allowed Callback URLs, Redirect URI of Login redirect URI.

Als u de URL toevoegt, moet u login/callback toevoegen aan uw tenantadres, dit resulteert in https://<tenant name>/login/callback.

InformatieGebruik de oorspronkelijke tenant-hostnaam en niet de alias van de hostnaam bij het instellen van de URI voor omleiding. U vindt de hostnaam van de tenant in het menu van uw gebruikersprofiel, in de sectie Over.

Geavanceerde opties

De geavanceerde opties bieden extra mogelijkheden voor bepaalde identiteitsproviders.

E-mailadres geverifieerd overschrijven

Schakel deze instelling in om de claim email_verified op 'waar' te zetten. Dit zorgt ervoor dat e-mailadressen kunnen worden gebruikt voor het toewijzen van identiteiten in ADFS en Microsoft Entra ID. Het is vooral handig bij het wisselen van IdP's en helpt onderscheid te maken tussen gebruikers met identieke namen in het Beheer-activiteitencentrum.

Bereik

Bereiken definiëren de teogangsmachtigingen die worden aangevraagd bij het verlenen van een toegangstoken op basis van de OAuth 2.0-specificatie. Voer waarden in gescheiden door spaties om de machtigingen op te geven die u wilt aanvragen bij de identiteitsprovider. Neem bijvoorbeeld een bereik voor groepen op als de IdP ondersteuning voor functies van gebruikersgroepen vereist.

URI voor omleiding na afmelding

Gebruik dit veld om een URI op te geven waar gebruikers na het afmelden naar gebruikers worden omgeleid. Zie De URI voor omleiding na afmelding gebruiken voor volledige instructies.

'offline_access' blokkeren

Als u Google Identity of OneLogin gebruikt als identiteitsprovider, schakelt u deze instelling in om het doorgeven van het bereik 'offline_access' aan de identiteitsprovider te blokkeren. Dit zorgt ervoor dat de configuratie correct werkt met Qlik Sense Mobile SaaS- en OAuth 2.0-applicaties.

Algoritme van handtekening voor id-token

Het RSA-handtekeningalgoritme garandeert de authenticiteit en integriteit van id-tokens. Qlik Cloud ondersteunt twee opties:

  • RS256 (standaardwaarde)

  • RS512

Selecteer een algoritme op basis van uw beveiligingsbehoeften.

Verificatie en ontsleuteling van tokenhandtekening

Genereer sleutelparen om handtekeningen te verifiëren en versleutelde JSON Web Tokens (JWT) te ontsleutelen. Zie Sleutelparen beheren voor ondertekende en versleutelde id-tokens voor volledige instructies.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback