Konfigurowanie usług Active Directory Federation Services jako dostawcy tożsamości SAML
W tym temacie opisano sposób konfigurowania usług Active Directory Federation Services (AD FS) jako dostawcy tożsamości dla Qlik Cloud.
Wymagania wstępne
Wymagana jest w pełni funkcjonalna instalacja usług Active Directory Federation Services (AD FS) i zestaw użytkowników w ramach usługi Active Directory (AD).
Pobieranie metadanych serwera AD FS
Pobierz metadane serwera AD FS, ponieważ będą one potrzebne do późniejszej konfiguracji w Qlik Cloud.
Pobierz plik metadanych, korzystając z następującego adresu URL:
Tworzenie konfiguracji dostawcy tożsamości w Qlik Cloud
Zaloguj się do Qlik Cloud jako administrator dzierżawy, aby utworzyć konfigurację dostawcy tożsamości.
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.
-
Jako Typ wybierz SAML.
-
W polu Dostawca wybierz ADFS.
-
Opcjonalnie możesz dodać opis konfiguracji dostawcy tożsamości.
-
Wybierz Użyj metadanych dostawcy tożsamości.
-
W obszarze Metadane dostawcy tożsamości SAML kliknij opcję Prześlij plik i wybierz plik metadanych pobrany z usług AD FS.
-
Kliknij polecenie Utwórz.
-
W oknie dialogowym Utwórz interaktywnego dostawcę tożsamości wyczyść pole wyboru Zweryfikuj dostawcę tożsamości, a następnie kliknij Utwórz.
Spowoduje to utworzenie konfiguracji dostawcy tożsamości bez natychmiastowego sprawdzenia poprawności. Poprawność zostanie sprawdzona na późniejszym etapie. -
Znajdź właśnie utworzoną konfigurację dostawcy tożsamości, kliknij i wybierz opcję Wyświetl konfigurację dostawcy.
Wyświetlone zostaną metadane usługodawcy.
-
Kliknij opcję Pobierz metadane, aby pobrać plik metadanych Qlik Cloud.
-
Kliknij Pobierz certyfikat podpisywania, aby pobrać certyfikat podpisywania Qlik Cloud.
Konfiguracja aplikacji SAML w usługach AD FS
Skonfiguruj aplikację SAML w usługach AD FS, aby ustanowić zaufanie w relacji z dzierżawą Qlik Cloud jako dostawcą usług (SP).
Wykonaj następujące czynności:
-
Zaloguj się do serwera Windows hostującego AD FS przy użyciu poświadczeń administratora.
-
Otwórz aplikację AD FS Management (Zarządzanie AD FS).
-
Kliknij prawym przyciskiem myszy Relying Party Trusts (Zaufania strony uzależnionej) i wybierz opcję Add Relying Party Trust (Dodaj zaufanie strony uzależnionej).
-
W Add Relying Party Trust Wizard (Kreator dodawania zaufania strony uzależnionej) wybierz opcję Claims aware (Obsługuje oświadczenia) i kliknij przycisk Start (Rozpocznij).
-
Wybierz opcję Import data about the relying party from a file (Importuj dane o stronie uzależnionej z pliku). Przejdź do zapisanego wcześniej pliku metadanych Qlik Cloud, a następnie kliknij przycisk Next (Dalej).
-
Wprowadź Display name (Nazwę wyświetlaną), np. Qlik Cloud i kliknij Next (Dalej), aby kontynuować.
-
Wybierz odpowiednie zasady kontroli dostępu i kliknij Next (Dalej). Kliknij ponownie przycisk Next (Dalej), aby potwierdzić konfigurację.
-
Wybierz opcję Configure claims issuance policy for this application (Konfiguruj zasady wystawiania oświadczeń dla tej aplikacji) i kliknij przycisk Close (Zamknij).
-
W oknie dialogowym Edit Claim Rules (Edytowanie reguł oświadczenia) kliknij Add Rule (Dodaj regułę).
-
Wybierz opcję Send LDAP Attributes as Claims (Wysyłaj atrybuty LDAP jako oświadczenia) i kliknij Next (Dalej).
-
Podaj Claim rule name (Nazwę reguły roszczenia) i wybierz z listy Attribute store (Magazyn atrybutów), na przykład Active Directory.
-
Skonfiguruj następujące mapowania (lub dostosuj je w oparciu o specyficzne wymagania swojej organizacji):
-
SAM-Account-Name na Name ID
-
Display-Name na Name
-
E-Mail-Addresses na E-Mail Address
-
Token-Groups - Unqualified Names na groups
-
-
Zapisz zmiany.
-
Przejdź do Properties (Właściwości) strony uzależnionej Qlik Cloud i wybierz kartę Signature (Podpis).
-
Kliknij przycisk Add (Dodaj), a następnie znajdź pobrany wcześniej certyfikat podpisywania Qlik Cloud.
-
Zapisz zmiany.
Usługi AD FS są teraz skonfigurowane do sprawdzania poprawności podpisów żądań SAML. Wróć do Qlik Cloud, aby rozpocząć proces sprawdzania poprawności.
Sprawdzanie poprawności dostawcy tożsamości w Qlik Cloud
Po pomyślnym skonfigurowaniu usług AD FS możesz sprawdzić poprawność konfiguracji dostawcy tożsamości w Qlik Cloud.
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie wybierz pozycję Dostawcy tożsamości.
-
W konfiguracji dostawcy tożsamości AD FS kliknij i wybierz Sprawdź poprawność.
-
Postępuj zgodnie z instrukcjami kreatora sprawdzania poprawności, aby zalogować się jako użytkownik dodany do aplikacji AD FS. Sprawdź poprawność danych profilu użytkownika.
Można będzie skorzystać z opcji promowania użytkownika do roli administratora dzierżawy Qlik Cloud i aktywacji dostawcy tożsamości. Pamiętaj, że aktywacja dostawcy tożsamości spowoduje dezaktywację poprzednio skonfigurowanego dostawcy tożsamości w dzierżawie.