Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik

Tworzenie nowej konfiguracji dostawcy tożsamości

Qlik Cloud zapewnia konfigurację dostawcy tożsamości (IdP) do logowania użytkownika, dostępu do interfejsu API i konfiguracji wielochmurowej. Każda dzierżawa Qlik Cloud obsługuje jednego interaktywnego dostawcę tożsamości, takiego jak Konto Qlik Account, Microsoft Entra ID (poprzednio Azure AD), OKTA, Auth0 lub inny dostawca tożsamości zgodny ze standardem OpenID Connect (OIDC) lub Security Assertion Markup Language (SAML).

Administratorzy dzierżawy mogą tworzyć różne konfiguracje dostawcy tożsamości z konsoli Konsola zarządzania:

  • W przypadku logowania użytkownika skonfiguruj interaktywnego dostawcę tożsamości. Wybierz OIDC lub SAML w zależności od obsługiwanego standardu Twojego dostawcy tożsamości.

    InformacjaW danym momencie może być aktywny tylko jeden interaktywny dostawca tożsamości. Jeśli wdrożysz niestandardowego interaktywnego dostawcę tożsamości, zastąpi on proces logowania na konto Konto Qlik Account procesem uwierzytelniania zdefiniowanym przez wybranego dostawcę tożsamości.

  • Aby uzyskać dostęp do interfejsu API, wybierz uwierzytelnianie Maszyna-maszyna (M2M).

  • Aby bezproblemowo zarządzać tożsamością w różnych chmurach, skonfiguruj dostawcę tożsamości Multi-Cloud za pomocą lokalnego tokena okaziciela.

Tworzenie nowej konfiguracji interaktywnego dostawcy tożsamości OIDC

Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości. Jednocześnie można mieć tylko jednego interaktywnego dostawcę tożsamości. Jeżeli masz już aktywnego dostawcę tożsamości, najpierw go zdezaktywuj, zanim będzie można aktywować nowego. Więcej informacji można znaleźć w temacie Zmienianie konfiguracji Dostawca tożsamości firmowych.

W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud. Należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych zasobach:

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.

  2. W polu Typ wybierz OIDC.

  3. Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.

  4. Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.

  5. W obszarze Poświadczenia aplikacji możesz wprowadzić adres URL wykrywania. Jeśli adres URL wykrywania nie jest dostępny lub nie zawiera prawidłowych metadanych, możesz też ręcznie wprowadzić poszczególne wartości. Konfiguracji ręcznej należy używać tylko wtedy, gdy nie wprowadzono adresu URL wykrywania.

    Wykonaj jedną z poniższych czynności:

    1. Wprowadź adres URL wykrywania. Jest to adres URL punktu końcowego, który udostępnia dane konfiguracyjne klientom OAuth w celu połączenia się z dostawcą tożsamości przy użyciu protokołu OpenID Connect. Konwencje nazewnictwa adresu URL wykrywania różnią się w zależności od wybranego dostawcy:

      • ADFS: Adres URL wykrywania ADFS

      • Auth0: Konfiguracja OpenID

      • Keycloak: Konfiguracja punktu końcowego OpenID Keycloak

      • Okta lub ogólny dostawca tożsamości: Identyfikator URI metadanych OpenID Connect

      • Salesforce: Adres URL wykrywania Salesforce

    lub

    1. Wybierz Konfiguracja ręczna.

    2. Wprowadź następujące wartości:

      • Punkt końcowy autoryzacji: Adres URL interakcji z właścicielem zasobu, pod którym można uzyskać autoryzację dostępu do zasobu.

      • Punkt końcowy końca sesji (opcjonalnie): Adres URL używany do wyzwalania pojedynczego wylogowania.

      • Punkt końcowy introspekcji (opcjonalnie): Adres URL służący do sprawdzania tokenów referencyjnych lub tokenów JWT.

      • Wystawca: Adres URL dostawcy tożsamości.

      • Identyfikator URI JWKS: Identyfikator URI zestawu kluczy internetowych JSON zawierający klucze publiczne używane do weryfikacji tokenu internetowego JSON (JWT).

      • Punkt końcowy tokenu: Adres URL, pod którym można uzyskać token dostępu.

      • Punkt końcowy informacji o użytkowniku (opcjonalny): Adres URL, pod którym można uzyskać informacje o użytkowniku.

    Konfiguracja przy użyciu adresu URL wykrywania i konfiguracja ręczna.

    Panele konfiguracji pokazane z użyciem adresu URL wykrywania i bez niego.

  6. Wprowadź Identyfikator klienta: Identyfikator skonfigurowanego klienta u dostawcy tożsamości na potrzeby interaktywnego uwierzytelniania użytkownika.

  7. Wprowadź Klucz tajny klienta: Klucz tajny klienta skonfigurowany u dostawcy tożsamości.

  8. Opcjonalnie wybierz Obszar. To jest nazwa, którą należy powiązać z dostawcą tożsamości. Jest taka sama jak nazwa domeny w Qlik Sense Enterprise on Windows i służy do zapewnienia spójności nazewnictwa w różnych chmurach.

  9. Wypełnij pola w obszarze Mapowanie oświadczeń.

    Oświadczenia to instrukcje (para nazwa/wartość) dotyczące podmiotu (w wielu przypadkach użytkownika) oraz metadane dotyczące usługi OpenID Connect. Mapowania są dostępne dla sub, name, groups, email, client_id, picture i email_verified (opcjonalnie).

    Informacja

    • W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.

    • Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.

  10. Opcjonalnie skonfiguruj opcje zaawansowane. Więcej informacji zawiera temat Opcje zaawansowane.

  11. Kliknij polecenie Utwórz.

    Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.

    • Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.

    • Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając Więcej w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.

    Tworzenie konfiguracji dostawcy tożsamości i sprawdzanie poprawności.

    Potwierdzenie z zaznaczoną opcją Zweryfikuj dostawcę tożsamości

Dodaj adres URL dzierżawy do listy dozwolonych dostawcy tożsamości.

U dostawcy tożsamości dodaj adres URL dzierżawy do listy dozwolonych. To ustawienie ma różne nazwy, na przykład Dozwolone adresy wywołania zwrotnego, Identyfikator URI przekierowania lub Identyfikator URI przekierowania logowania.

Po dodaniu adresu URL musisz dołączyć login/callback do adresu dzierżawy, np. https://<nazwa dzierżawy>/login/callback.

InformacjaPodczas ustawiania identyfikatora URI przekierowania użyj pierwotnej nazwy hosta, a nie jej aliasu. Nazwę hosta można znaleźć, wybierając kolejno Ustawienia > Dzierżawa > Nazwa hosta w funkcji Konsola zarządzania.

Opcje zaawansowane

Opcje zaawansowane rozszerzają możliwości niektórych dostawców tożsamości.

Zastąpienie oświadczenia email_verified: Używane w ADFS i Microsoft Entra ID w celu umożliwienia wykorzystania adresu e-mail użytkownika do mapowania tożsamości. Opcja ta jest przydatna podczas zmiany dostawców tożsamości, ale także w Konsoli zarządzania, aby rozróżniać dwóch użytkowników o dokładnie tej samej nazwie.

Zasięg: Używany w specyfikacji OAuth 2.0 do określania uprawnień dostępu podczas wystawiania tokenu dostępu. Na przykład użyj tej opcji, aby dodać zasięg grup na wypadek, gdyby dostawca tożsamości wymagał tego do obsługi funkcji grup użytkowników.

Identyfikator URI przekierowania po wylogowaniu się: Służy do przekierowania użytkownika do zdefiniowanego URI po wylogowaniu. Przykład użycia URI przekierowania po zalogowaniu można znaleźć w temacie Używanie URI przekierowania po wylogowaniu.

Zablokuj przekazywanie zakresu „offline_access” dostawcy tożsamości: Jeśli używasz Google Identity lub OneLogin jako dostawcy tożsamości, to ustawienie musi być włączone, aby konfiguracja działała z Qlik Sense Mobile SaaS i aplikacjami OAuth 2.0.

Tworzenie nowej interaktywnej konfiguracji dostawcy tożsamości SAML

Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości. Jednocześnie można mieć tylko jednego interaktywnego dostawcę tożsamości. Jeżeli masz już aktywnego dostawcę tożsamości, najpierw go zdezaktywuj, zanim będzie można aktywować nowego. Więcej informacji można znaleźć w temacie Zmienianie konfiguracji Dostawca tożsamości firmowych.

W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud. Należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych tematach:

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.

  2. Jako Typ wybierz SAML.

  3. Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.

  4. Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.

  5. W obszarze Konfiguracja możesz przesłać metadane XML SAML od dostawcy tożsamości lub wprowadzić poszczególne wartości ręcznie.

    Wykonaj jedną z poniższych czynności:

    1. Wybierz Użyj metadanych dostawcy tożsamości.

    2. Kliknij opcję Prześlij plik w obszarze Metadane dostawcy tożsamości SAML i wybierz plik zawierający metadane od dostawcy tożsamości. Zamiast tego, jeśli metadane dostawcy tożsamości nie są dostępne w postaci pliku, możesz skopiować i wkleić metadane bezpośrednio w polu Metadane dostawcy tożsamości.

    lub

    1. Kliknij opcję Prześlij plik w obszarze Certyfikaty podpisywania, aby przesłać plik certyfikatu.
      Jest to certyfikat używany przez dostawcę tożsamości do podpisywania asercji SAML wysyłanych do Qlik Cloud.

    2. Wprowadź Identyfikator podmiotu dostawcy tożsamości.

    3. Wprowadź Adres URL logowania jednokrotnego.

      Jest to punkt końcowy, gdzie wysyłane są żądania uwierzytelnienia SAML. Jest to adres URL, do którego użytkownik jest przekierowywany w celu uwierzytelnienia się.

    4. Wybierz Format identyfikatora nazwy.

    Konfiguracja z wykorzystaniem metadanych i konfiguracja ręczna.

    Panele konfiguracji pokazane z metadanymi dostawcy tożsamości i bez nich

  6. Opcjonalnie wybierz Włącz logowanie inicjowane przez dostawcę tożsamości.

    Domyślny proces logowania polega na tym, że użytkownik najpierw przechodzi do Qlik Cloud, a następnie jest przekierowywany do dostawcy tożsamości w celu uwierzytelnienia. Włącz logowanie inicjowane przez dostawcę tożsamości, jeśli chcesz, aby użytkownik najpierw logował się do dostawcy tożsamości, a następnie był przekierowywany do Qlik Cloud.

  7. Zmodyfikuj pola w obszarze Mapowanie oświadczeń lub zachowaj wartości domyślne.

    Mapowania oświadczeń określają, jak atrybuty użytkownika od dostawcy tożsamości są powiązane z polami w modelu użytkownika Qlik Cloud. Mapowania są dostępne dla sub, name, email, groups i picture. Dostosuj wartości do potrzeb swojej organizacji i atrybutów dostawcy tożsamości.

    Informacja

    • W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.

    • Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.

  8. Opcjonalnie skonfiguruj Identyfikator URI przekierowania po wylogowaniu się w obszarze Opcje zaawansowane.

    Służy to do przekierowywania użytkownika do zdefiniowanego URI po wylogowaniu. Przykład użycia URI przekierowania po zalogowaniu można znaleźć w temacie Używanie URI przekierowania po wylogowaniu.

  9. Kliknij polecenie Utwórz.

    Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.

    Metadane i certyfikat podpisywania dostawcy usług SAML są dostępne dopiero po utworzeniu konfiguracji dostawcy tożsamości. Jeśli potrzebujesz tych informacji do skonfigurowania dostawcy tożsamości, możesz początkowo utworzyć dostawcę tożsamości bez sprawdzania poprawności, a poprawność zweryfikować po ukończeniu konfiguracji u dostawcy tożsamości.

    • Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.

    • Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając Więcej w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.

    Tworzenie konfiguracji dostawcy tożsamości i sprawdzanie poprawności.

    Potwierdzenie z zaznaczoną opcją Zweryfikuj dostawcę tożsamości

Przesyłanie metadanych dostawcy usług do dostawcy tożsamości

Wykonaj następujące czynności:

  1. W Konsola zarządzania, w nowo utworzonej konfiguracji dostawcy tożsamości kliknij Więcej i wybierz opcję Wyświetl konfigurację dostawcy.

    Okno dialogowe wyświetla metadane dostawcy usług i adres URL punktu końcowego metadanych.

    Metadane dostawcy usług.

    Potwierdzenie z zaznaczoną opcją Zweryfikuj dostawcę tożsamości

  2. W zależności od konfiguracji u dostawcy tożsamości skopiuj metadane lub adres URL i zapisz je do późniejszego wykorzystania. W razie potrzeby pobierz plik certyfikatu podpisywania. Kliknij przycisk Gotowe.

  3. U dostawcy tożsamości wprowadź metadane dostawcy usług. Pamiętaj o skonfigurowaniu następujących wymaganych ustawień:

    • Assertion Consumer Service (ACS) URL. Tutaj dostawca tożsamości przesyła asercje SAML po uwierzytelnieniu.

    • Identyfikator podmiotu dostawcy usług.

    • Certyfikat służący do sprawdzania poprawności żądań uwierzytelnienia. Jest to wykorzystywane przez dostawcę tożsamości do weryfikacji autentyczności dostawcy usług.

  4. Po ukończeniu konfiguracji u dostawcy tożsamości możesz sprawdzić poprawność konfiguracji dostawcy tożsamości w funkcji Konsola zarządzania. Kliknij Więcej na swojej konfiguracji i wybierz Sprawdź poprawność. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.

Tworzenie nowej konfiguracji dostawcy tożsamości w trybie maszyna-maszyna

Aby skonfigurować dostawcę tożsamości w trybie maszyna-maszyna, postępuj zgodnie z instrukcją Tworzenie nowej konfiguracji interaktywnego dostawcy tożsamości OIDC, ale jako typ dostawcy tożsamości wybierz opcję Maszyna-maszyna (M2M).

Kilka ustawień różni się od interaktywnej konfiguracji OIDC: Pola Identyfikator klienta i Klucz tajny klienta nie mają zastosowania w tym kontekście, a w obszarze Mapowanie oświadczeń dostępne będą tylko mapowania dla sub i client_id.

Włączanie automatycznego tworzenia grup

Grupy są wykorzystywane do kontroli dostępu użytkowników i mogą być tworzone automatycznie z grup Dostawca tożsamości. Włączenie automatycznego tworzenia grup powoduje dziedziczenie grup od dostawcy tożsamości, co pozwala na udzielanie dostępu tym samym grupom użytkowników, które istnieją w Dostawca tożsamości. To upraszcza zarządzanie dostępem w porównaniu do udzielania dostępu tylko jednemu użytkownikowi w danej chwili.

Gdy użytkownicy się logują, nowe grupy dostawców tożsamości pojawiają się dynamicznie w Qlik Cloud. Grupy te nie są importowane jednocześnie — zamiast tego grupy Dostawca tożsamości są wykrywane podczas logowania. Dostępne są tylko grupy powiązane z użytkownikami Qlik Cloud.

W celu konfigurowania grup wymagane jest stosowanie jednokrotnego logowania i posiadanie dostępu administracyjnego do Dostawca tożsamości.

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do strony Ustawienia.
  2. W obszarze Sterowanie funkcją wybierz opcję Tworzenie grup.
POWIĄZANE MATERIAŁY EDUKACYJNE:

Dowiedz się więcej

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!

Przekaż tu opinię