Tworzenie klientów OAuth i zarządzanie nimi

OAuth to standardowy protokół zabezpieczeń na potrzeby autoryzacji i delegowania. Umożliwia aplikacjom innych firm dostęp do zasobów interfejsu API bez ujawniania poświadczeń użytkownika końcowego. Klient OAuth może uzyskać kod autoryzacyjny i wymienić go na token dostępu, którego można użyć do uzyskania dostępu do treści Qlik Cloud przez interfejsy API.

Klienty jawne i poufne

OAuth ma dwa typy klientów: publiczne i poufne, aby zabezpieczyć autoryzację między aplikacją (klientem) a serwerem autoryzacji (Qlik Cloud).

Klienty publiczne

Klienty publiczne to aplikacje, które nie używają klucza tajnego klienta, ponieważ nie mogą zachować poufności wymaganych poświadczeń. Klienty publiczne w Qlik Cloud to często aplikacje frontendowe, takie jak aplikacje jednostronicowe z wbudowanymi funkcjami analitycznymi lub niestandardowym rozszerzeniem wizualizacji w Qlik Sense, które wymagają informacji o użytkowniku końcowym w celu obsługi cyklu życia aplikacji.

Zobacz : RFC 6749 Section 2.1: OAuth 2.0 Client Types.

Qlik Cloud obsługuje poufne klienty na potrzeby tradycyjnych aplikacji internetowych (po stronie serwera) oraz klienty publiczne na potrzeby aplikacji natywnych i jednostronicowych przy użyciu określonych typów udzielania dostępu autoryzacji.

Klienty poufne

Klient poufny to aplikacja, która przechowuje identyfikator i klucz tajny klienta w bezpieczny sposób, nie narażając ich na dostęp niepowołanych osób. Klienty poufne mogą mieć dostęp do chronionych zasobów, ponieważ są w posiadaniu klucza tajnego klienta. Przykładem klienta poufnego jest aplikacja internetowa z bezpiecznym zapleczem wchodzącym w interakcję z interfejsami API Qlik Cloud w celu koordynowania zadań odświeżania danych lub zarządzania dostępem użytkowników do zawartości.

Typy nadawania autoryzacji

Qlik obsługuje dwa typy przyznawania autoryzacji, czyli przepływy: Authorization Code Flow oraz Authorization Code Flow with Proof Key for Code Exchange (PKCE). Te przepływy są bardzo podobne, ale są przeznaczone do różnych zastosowań.

Authorization Code Flow

Tradycyjne aplikacje internetowe to aplikacje po stronie serwera, których kod źródłowy nie jest publicznie udostępniany, dlatego mogą korzystać z metody Authorization Code Flow, która wymienia kod autoryzacyjny na token. Aplikacje internetowe korzystające z tej metody muszą działać po stronie serwera, ponieważ podczas wymiany tokena klucz tajny klienta aplikacji jest przekazywany do serwera autoryzacji.

Zobacz Authorization Code Flow, aby uzyskać więcej informacji.

Authorization Code Flow z Proof Key for Code Exchange (PKCE)

Aplikacje natywne i jednostronicowe nie mogą przechowywać klucza tajnego klienta, ponieważ ich kod źródłowy jest dostępny odpowiednio poprzez dekompilację aplikacji lub przeglądanie źródła aplikacji za pośrednictwem przeglądarki. PKCE dodaje kolejną warstwę ochrony na klientach publicznych, wymagając użycia weryfikatora kodu w celu uzyskania tokena dostępu.

Zobacz Authorization Code Flow with Proof Key for Code Exchange (PKCE), aby uzyskać więcej informacji.

Ograniczanie zakresów dostępnych dla klientów OAuth

Zakresy OAuth umożliwiają ograniczenie dostępu przyznawanego aplikacjom klienckim OAuth. Na przykład token dostępu wydany aplikacji klienckiej może uzyskać pełny dostęp do chronionych zasobów albo tylko dostęp do odczytu.

W Qlik Cloud zakresy umożliwiają kontrolowanie dostępu klientów do dostępnych funkcji i zasobów. Każdy zakres zapewnia inny poziom dostępu. Klienty bez zakresów nie będą mogły uzyskać dostępu do żadnych zasobów.

Tworzenie klienta OAuth

Klientami OAuth zarządzają administratorzy dzierżawy za pomocą funkcji Konsola zarządzania na stronie OAuth.

Klient OAuth umożliwia integrację aplikacji klienckiej z Qlik Cloud.

Informacje o tym, jak utworzyć klienta OAuth do wdrożenia i instalacji dodatku Qlik do programu Microsoft Excel, zawiera temat Tworzenie klienta OAuth dla dodatku Qlik do programu Microsoft Excel.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania przejdź do pozycji OAuth.

2. Kliknij polecenie Utwórz nowe.

3. Wybierz typ klienta.

   Użyj opcji Internet dla klientów poufnych lub Aplikacja jednostronicowa albo Natywny dla klientów publicznych.

4. W oknie dialogowym nadaj nazwę klientowi OAuth.

5. Opcjonalnie dodaj opis.

6. Wybierz dowolny z dostępnych zakresów, przewijając lub korzystając z pola wyszukiwania.

   Zasięg	Uprawnienie
   user_default	Pełny dostęp do konta i jego zawartości
   admin_classic	Pełny dostęp administracyjny do dzierżawy Zob. także: Wdrażanie rozwiązania Qlik Cloud i administrowanie nim InformacjaNieobsługiwane w przypadku klientów typu aplikacja jednostronicowa i natywnych.
   admin.apps	Odczyt wszystkich aplikacji w dzierżawie i zarządzanie nimi. Zob. także: Zarządzanie aplikacjami
   admin.apps:export	Eksport wszystkich aplikacji w dzierżawie Zob. także: Eksportowanie aplikacji
   admin.apps:read	Odczyt wszystkich aplikacji w dzierżawie
   admin.automations	Odczyt wszystkich automatyzacji w dzierżawie i zarządzanie nimi Zob. także: Zarządzanie automatyzacjami
   admin.automations:read	Odczyt wszystkich automatyzacji w dzierżawie
   admin.spaces	Odczyt wszystkich przestrzeni w dzierżawie i zarządzanie nimi Zob. także: Zarządzanie przestrzeniami
   admin.spaces:read	Odczyt wszystkich przestrzeni w dzierżawie
   aplikacje	Odczyt aplikacji i zarządzanie nimi Zob. także: Zarządzanie aplikacjami
   apps:export	Eksport aplikacji Zob. także: Eksportowanie aplikacji
   apps:read	Odczyt aplikacji
   Automatyzacje:	Odczyt automatyzacji i zarządzanie nimi Zob. także: Zarządzanie automatyzacjami
   automations:read	Odczyt automatyzacji
   automl-experiments	Odczyt eksperymentów uczenia maszynowego i zarządzanie nimi
   automl-deployments	Odczyt wdrożeń uczenia maszynowego i zarządzanie nimi
   identity.email:read	Odczyt adresu e-mail Zob. także: Dostawcy tożsamości
   identity.name:read	Odczyt imienia i nazwiska
   identity.picture:read	Odczyt zdjęcia profilowego Zob. także: Dostawcy tożsamości
   identity.subject:read	Odczyt identyfikatora podmiotu użytkownika
   spaces.data	Odczyt przestrzeni danych i zarządzanie nimi Zob. także: Zarządzanie przestrzeniami
   spaces.data:read	Odczyt przestrzeni danych
   spaces.managed	Odczyt przestrzeni zarządzanych i zarządzanie nimi Zob. także: Zarządzanie przestrzeniami
   spaces.managed:read	Odczyt przestrzeni zarządzanych
   spaces.shared	Odczyt przestrzeni udostępnionych i zarządzanie nimi Zob. także: Zarządzanie przestrzeniami
   spaces.shared:read	Odczyt przestrzeni udostępnionych
   offline_access	Dostęp do zasobów w trybie offline InformacjaNieobsługiwane w przypadku klientów typu aplikacja jednostronicowa.

   InformacjaMożesz użyć przycisków Wszystkie i Wybrane nad listą, aby wyświetlić wszystkie lub tylko wybrane zakresy.
   InformacjaPowyższa lista odzwierciedla zakresy obsługiwane w wydaniu początkowym. Pełną listę zakresów — łącznie ze wszystkimi zakresami dodanymi po wydaniu początkowym — można znaleźć w Portalu dla developerów Qlik.

7. Wprowadź jeden lub więcej adresów URL przekierowania aplikacji klienckiej OAuth.

   WskazówkaAdres URL przekierowania to adres URL, pod który serwer autoryzacji kieruje przeglądarkę użytkownika po pomyślnym uwierzytelnieniu i przyznaniu uprawnień aplikacji klienckiej. Na przykład https://www.przykladowaaplikacja.com/oauth/callback, gdzie /oauth/callback obsługuje wywołania zwrotne uwierzytelniania od dostawcy OAuth.

   Qlik Cloud przekieruje użytkownika z powrotem do aplikacji po pomyślnej autoryzacji tylko wtedy, gdy adres URL będzie znajdować się na liście dozwolonych adresów URL przekierowania. Adresy URL muszą zaczynać się od https://, chyba że domeną jest localhost — w takim przypadku może zaczynać się od http://. Aplikacje natywne mogą również używać formatu łącza specyficznego dla aplikacji, na przykład przykladowaaplikacja://.

   Kliknij przycisk Dodaj, aby dodać adres URL przekierowania do listy dozwolonych.

8. W przypadku klienta typu Web lub Aplikacja jednostronicowa określ jedno lub więcej dozwolonych źródeł. Dostęp do aplikacji zostanie przyznany tylko wtedy, gdy adres URL zostanie dodany do listy dozwolonych źródeł.

9. W przypadku klienta typu Web można włączyć opcję Zezwól na dostęp Maszyna-maszyna (M2M) lub Zezwól na personifikację użytkowników w interakcjach M2M, aby uzyskać automatyczny dostęp do systemu bez interakcji użytkownika. Personifikacja użytkowników w interakcjach M2M umożliwia aplikacjom działanie w imieniu użytkowników podczas uwierzytelniania.

10. Kliknij polecenie Utwórz.

11. Kliknij Kopiuj do schowka, aby zapisać identyfikator klienta i klucz tajny klienta do późniejszego wykorzystania. Przechowuj tajny klucz klienta w bezpiecznej lokalizacji. Kliknij przycisk Gotowe.

    InformacjaKlienty publiczne nie będą mieć żadnych kluczy tajnych klienta.

Tworzenie klienta OAuth dla dodatku Qlik do programu Microsoft Excel

Do zainstalowania dodatku Qlik do programu Microsoft Excel wymagana jest konfiguracja klienta OAuth. Dodatek jest używany przez twórców raportów do przygotowywania szablonów raportów, które kontrolują wyniki raportów tabelarycznych z aplikacji Qlik Sense.

Aby protokół OAuth działał w dodatku, klient OAuth musi być skonfigurowany dokładnie tak, jak pokazano poniżej.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania w Qlik Cloud przejdź do pozycji OAuth.

2. Kliknij polecenie Utwórz nowe.

3. Z menu rozwijanego Typ klienta wybierz opcję Aplikacja jednostronicowa. Pojawi się więcej pól.

4. Wstaw Nazwę. Opis jest opcjonalny.

5. Zaznacz co najmniej pole wyboru, aby uwzględnić zakres user_default. Można też uwzględnić inne zakresy w konfiguracji, ale bez user_default instalacja nie będzie działać.

   Pełny opis każdego dostępnego zakresu zawiera temat Tworzenie klienta OAuth.

6. W polu Dodaj adresy URL przekierowania wstaw adres URL swojej dzierżawy, a następnie stały ciąg znaków: /office-add-ins/oAuthLoginSuccess.html

   Rezultat powinien wyglądać następująco: https://YourServer/office-add-ins/oAuthLoginSuccess.html

7. Kliknij Dodaj.

8. W polu Dodaj dozwolone pochodzenia wpisz adres URL dzierżawy i kliknij przycisk Dodaj.

9. Kliknij polecenie Utwórz.

10. Pojawi się okno Skopiuj identyfikator klienta. Możesz skopiować identyfikator klienta do schowka lub kliknąć Gotowe, aby zamknąć okno.

Po utworzeniu klienta OAuth uzyskaj łącze do zaktualizowanego pliku manifestu XML z funkcji Konsola zarządzania. Przejdź do strony Ustawienia i pozycji Sterowanie funkcją > Excel dodatek w funkcji Konsola zarządzania. Użyj tego łącza, aby wdrożyć i zainstalować dodatek.

Więcej informacji na temat generowania pliku manifestu, a także wdrażania i instalowania dodatku, zawiera temat:

• Wdrażanie i instalowanie dodatku Qlik do programu Microsoft Excel

• Zarządzanie manifestami instalacji dodatku Qlik do Microsoft Excel

Edytowanie klienta OAuth

Możesz zmienić nazwę klienta OAuth, zaktualizować opis lub zarządzać adresami URL przekierowania.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania przejdź do pozycji OAuth.
2. Wybierz klienta OAuth do edycji. Kliknij ..., a następnie wybierz Edytuj.
3. W oknie dialogowym odpowiednio zmień opcje klienta OAuth.
4. Kliknij przycisk Zapisz.

Publikowanie klienta OAuth

Utworzone klienty OAuth są automatycznie powiązane z dzierżawą, która je utworzyła. Klienta OAuth można skonfigurować tak, aby był udostępniany i dostępny dla wszystkich innych dzierżaw w regionie. Aplikacje innych producentów łączące się z Qlik Cloud mogą wtedy mieć ten sam identyfikator klienta dla wszystkich dzierżaw Qlik Cloud. Właściciel aplikacji może używać kluczy tajnych rotacyjnie i aktualizować konfigurację bez interakcji z administratorem dzierżawy. Administratorzy dzierżawy nie muszą zarządzać poświadczeniami ani znać żadnych szczegółów konfiguracji.

Aby umożliwić innym dzierżawom łączenie się z klientem OAuth, należy go opublikować.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania przejdź do pozycji OAuth.
2. Wybierz klienta OAuth do publikacji. Kliknij ..., a następnie wybierz Opublikuj.
3. Kliknij polecenie Opublikuj.

Gdy użytkownik przejdzie do zewnętrznej witryny internetowej korzystającej z Qlik OAuth, zostanie poproszony o podanie nazwy hosta dzierżawy, a następnie również o poświadczenia użytkownika, chyba że użytkownik ma już aktywną sesję SaaS. Pierwsze logowanie za pomocą zewnętrznego klienta OAuth wymaga zgody administratora dzierżawy. Po zatwierdzeniu nowy klient OAuth jest wyświetlany w Konsola zarządzania.

Sposób udzielenia zgody

Istnieją dwie opcje wyrażenia zgody: wymaganie i zaufanie. Jeśli zgoda będzie wymagana, autoryzacja przy użyciu klienta OAuth będzie prosić o nią za każdym razem, gdy użytkownik zażąda nowego zakresu. W przypadku opcji zaufania użytkownik nie jest monitowany. Opcji zaufania można używać tylko w przypadku nieopublikowanych klientów. W przypadku opublikowanych klientów metoda wyrażania zgody jest zawsze wymagana.

Przeglądanie i kopiowanie konfiguracji OAuth

W sekcji OAuth programu Konsola zarządzania wybierz opcję Wyświetl konfigurację OAuth, aby wyświetlić konfigurację jako fragment kodu i adres URL do skopiowania.

Usuwanie klienta OAuth

Możesz usunąć klienta OAuth, gdy nie jest już potrzebny lub aby odebrać dostęp.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania przejdź do pozycji OAuth.

2. Wybierz klienta Oauth do usunięcia, a następnie kliknij Usuń.

   InformacjaMożna usunąć więcej niż jednego klienta OAuth jednocześnie.
3. Potwierdź, że chcesz usunąć tego klienta OAuth.

Zarządzanie kluczami tajnymi klienta

Dodanie lub usunięcie klucza tajnego klienta może okazać się potrzebne, jeśli na przykład jego bezpieczeństwo zostanie naruszone lub polityka bezpieczeństwa wymaga okresowego aktualizowania klucza tajnego klienta. Aby zapobiec przestojom w aplikacji, można również dodać wiele kluczy tajnych klienta. Na przykład możesz utworzyć drugi klucz tajny, wdrożyć nowy klucz tajny w aplikacji klienckiej, a następnie usunąć stary klucz tajny.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania przejdź do pozycji OAuth.
2. Wybierz klienta Oauth, którym chcesz zarządzać. Kliknij ..., a następnie wybierz Zarządzaj kluczami tajnymi.
3. W oknie dialogowym wykonaj jedną z następujących czynności:
   • Aby dodać nowy klucz tajny klienta, kliknij Utwórz nowy klucz tajny klienta.
   • Aby usunąć klucz tajny klienta, kliknij obok niego.
4. Kliknij polecenie Zamknij.

Tworzenie aplikacji klienckiej Oauth w celu uzyskiwania dostępu do Qlik Cloud

Po zarejestrowaniu klienta OAuth w Qlik Cloud możesz używać powiązanego identyfikatora klienta i klucza tajnego klienta we własnej aplikacji klienckiej OAuth. W sekcji OAuth Portalu dla deweloperów znajdują się kursy tworzenia aplikacji klienckich przy użyciu wybranych najpopularniejszych języków kodowania.