Tworzenie nowej konfiguracji dostawcy tożsamości
Qlik Cloud zapewnia konfigurację dostawcy tożsamości (IdP) do logowania użytkownika, dostępu do interfejsu API i konfiguracji wielochmurowej. Każda dzierżawa Qlik Cloud obsługuje jednego interaktywnego dostawcę tożsamości, takiego jak Konto Qlik Account, Microsoft Entra ID (poprzednio Azure AD), OKTA, Auth0 lub inny dostawca tożsamości zgodny ze standardem OpenID Connect (OIDC) lub Security Assertion Markup Language (SAML).
Administratorzy dzierżawy mogą tworzyć różne konfiguracje dostawcy tożsamości z centrum aktywności Administrowanie:
-
W przypadku logowania użytkownika skonfiguruj interaktywnego dostawcę tożsamości. Wybierz OIDC lub SAML w zależności od obsługiwanego standardu Twojego dostawcy tożsamości.
Informacja-
W danym momencie może być aktywny tylko jeden interaktywny dostawca tożsamości. Jeśli wdrożysz niestandardowego interaktywnego dostawcę tożsamości, zastąpi on proces logowania na konto Konto Qlik Account procesem uwierzytelniania zdefiniowanym przez wybranego dostawcę tożsamości.
-
Obsługa błędów logowania jednokrotnego dla firmowego dostawcy tożsamości musi zostać skonfigurowana za pośrednictwem dostawcy tożsamości. Qlik Cloud nie obsługuje konfigurowania zastępczego adresu URL przekierowania.
-
-
Aby bezproblemowo zarządzać tożsamością w różnych chmurach, skonfiguruj dostawcę tożsamości Multi-Cloud za pomocą lokalnego tokena okaziciela.
Tworzenie nowej konfiguracji interaktywnego dostawcy tożsamości OIDC
Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości. Jednocześnie można mieć tylko jednego interaktywnego dostawcę tożsamości. Jeżeli masz już aktywnego dostawcę tożsamości, najpierw go zdezaktywuj, zanim będzie można aktywować nowego. Więcej informacji można znaleźć w temacie Zmienianie konfiguracji Dostawca tożsamości firmowych.
W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud. Należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych zasobach:
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.
-
W polu Typ wybierz OIDC.
-
Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.
-
Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.
-
W obszarze Poświadczenia aplikacji możesz wprowadzić adres URL wykrywania. Jeśli adres URL wykrywania nie jest dostępny lub nie zawiera prawidłowych metadanych, możesz też ręcznie wprowadzić poszczególne wartości. Konfiguracji ręcznej należy używać tylko wtedy, gdy nie wprowadzono adresu URL wykrywania.
Wykonaj jedną z poniższych czynności:
-
Wprowadź adres URL wykrywania. Jest to adres URL punktu końcowego, który udostępnia dane konfiguracyjne klientom OAuth w celu połączenia się z dostawcą tożsamości przy użyciu protokołu OpenID Connect. Konwencje nazewnictwa adresu URL wykrywania różnią się w zależności od wybranego dostawcy:
-
AFDS: adres URL wykrywania ADFS
-
Auth0: konfiguracja OpenID
-
Keycloak: konfiguracja punktu końcowego OpenID Keycloak
-
Okta lub ogólny dostawca tożsamości: identyfikator URI metadanych OpenID Connect
-
Salesforce: adres URL wykrywania Salesforce
-
lub
-
Wybierz Konfiguracja ręczna.
-
Wprowadź następujące wartości:
-
Punkt końcowy autoryzacji: adres URL interakcji z właścicielem zasobu, pod którym można uzyskać autoryzację dostępu do zasobu.
-
Punkt końcowy końca sesji (opcjonalnie): adres URL używany do wyzwalania pojedynczego wylogowania.
-
Punkt końcowy introspekcji (opcjonalnie): adres URL służący do sprawdzania tokenów referencyjnych lub tokenów JWT.
-
Wystawca: adres URL dostawcy tożsamości.
-
Identyfikator URI JWKS: identyfikator URI zestawu kluczy internetowych JSON zawierający klucze publiczne używane do weryfikacji tokenu internetowego JSON (JWT).
-
Punkt końcowy tokenu: adres URL, pod którym można uzyskać token dostępu.
-
Punkt końcowy informacji o użytkowniku (opcjonalnie): adres URL, pod którym można uzyskać informacje o użytkowniku.
-
-
-
Wprowadź Identyfikator klienta: identyfikator skonfigurowanego klienta u dostawcy tożsamości na potrzeby interaktywnego uwierzytelniania użytkownika.
-
Wprowadź Klucz tajny klienta: klucz tajny klienta skonfigurowany u dostawcy tożsamości.
-
Opcjonalnie wybierz Obszar. To jest nazwa, którą należy powiązać z dostawcą tożsamości. Jest taka sama jak nazwa domeny w Qlik Sense Enterprise on Windows i służy do zapewnienia spójności nazewnictwa w różnych chmurach.
-
Wypełnij pola w obszarze Mapowanie oświadczeń.
Oświadczenia to instrukcje (para nazwa/wartość) dotyczące podmiotu (w wielu przypadkach użytkownika) oraz metadane dotyczące usługi OpenID Connect. Mapowania są dostępne dla sub, name, groups, email, client_id, picture i email_verified (opcjonalnie).
Informacja-
W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.
-
Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.
-
-
Opcjonalnie skonfiguruj opcje zaawansowane. Więcej informacji zawiera temat Opcje zaawansowane.
-
Kliknij polecenie Utwórz.
Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.
-
Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.
-
Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.
-
Dodaj adres URL dzierżawy do listy dozwolonych dostawcy tożsamości.
U dostawcy tożsamości dodaj adres URL dzierżawy do listy dozwolonych. To ustawienie ma różne nazwy, na przykład Dozwolone adresy wywołania zwrotnego, Identyfikator URI przekierowania lub Identyfikator URI przekierowania logowania.
Po dodaniu adresu URL musisz dołączyć login/callback do adresu dzierżawy, np. https://<nazwa dzierżawy>/login/callback.
Opcje zaawansowane
Opcje zaawansowane zapewniają dodatkowe możliwości dla niektórych dostawców tożsamości.
Zastąpienie oświadczenia email_verified
Włączone ustawienie powoduje, że oświadczenie email_verified jest zawsze ustawione na wartość „prawda”. Dzięki temu adresy e-mail mogą być używane do mapowania tożsamości w ADFS oraz Microsoft Entra ID. Jest to szczególnie przydatne podczas przełączania dostawców tożsamości i pomaga rozróżnić użytkowników o identycznych nazwach w centrum aktywności Administrowanie.
Zasięg
Zakresy definiują uprawnienia dostępu wymagane podczas wydawania tokena dostępu, zgodnie ze specyfikacją OAuth 2.0. Wprowadź wartości oddzielone spacjami, aby określić uprawnienia, o które chcesz poprosić dostawcę tożsamości. Uwzględnij na przykład zakres grup, jeśli dostawca tożsamości wymaga go do obsługi funkcji grup użytkowników.
Identyfikator URI przekierowania po wylogowaniu się
Użyj tego pola, aby określić URI, do którego użytkownicy będą przekierowywani po wylogowaniu się. Szczegółową instrukcję zawiera temat Używanie URI przekierowania po wylogowaniu.
Blokuj offline_access
W przypadku korzystania z Google Identity lub OneLogin jako dostawcy tożsamości włącz to ustawienie, aby zablokować przekazywanie zakresu offline_access dostawcy tożsamości. Zapewnia to poprawną współpracę konfiguracji z aplikacjami Qlik Sense Mobile SaaS oraz OAuth 2.0.
Algorytm podpisu tokenu identyfikatora
Algorytm podpisu RSA zapewnia autentyczność oraz integralność tokenów ID. Qlik Cloud obsługuje dwie opcje:
-
RS256 (domyślnie)
-
RS512
Wybierz algorytm w zależności od potrzeb w zakresie bezpieczeństwa.
Weryfikacja i odszyfrowanie podpisu tokena
Wygeneruj pary kluczy, aby zweryfikować podpisy oraz odszyfrować zaszyfrowane tokeny JSON Web Tokens (JWT). Szczegółową instrukcję zawiera temat Zarządzanie parami kluczy dla podpisanych i zaszyfrowanych tokenów identyfikatorów..
Tworzenie nowej interaktywnej konfiguracji dostawcy tożsamości SAML
Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości. Jednocześnie można mieć tylko jednego interaktywnego dostawcę tożsamości. Jeżeli masz już aktywnego dostawcę tożsamości, najpierw go zdezaktywuj, zanim będzie można aktywować nowego. Więcej informacji można znaleźć w temacie Zmienianie konfiguracji Dostawca tożsamości firmowych.
W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud. Należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych tematach:
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.
-
Jako Typ wybierz SAML.
-
Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.
-
Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.
-
W obszarze Konfiguracja możesz przesłać metadane XML SAML od dostawcy tożsamości lub wprowadzić poszczególne wartości ręcznie.
Wykonaj jedną z poniższych czynności:
-
Wybierz Użyj metadanych dostawcy tożsamości.
-
Kliknij opcję Prześlij plik w obszarze Metadane dostawcy tożsamości SAML i wybierz plik zawierający metadane od dostawcy tożsamości. Zamiast tego, jeśli metadane dostawcy tożsamości nie są dostępne w postaci pliku, możesz skopiować i wkleić metadane bezpośrednio w polu Metadane dostawcy tożsamości.
lub
-
Kliknij opcję Prześlij plik w obszarze Certyfikaty podpisywania, aby przesłać plik certyfikatu.
Jest to certyfikat używany przez dostawcę tożsamości do podpisywania asercji SAML wysyłanych do Qlik Cloud. -
Wprowadź Identyfikator podmiotu dostawcy tożsamości.
-
Wprowadź Adres URL logowania jednokrotnego.
Jest to punkt końcowy, gdzie wysyłane są żądania uwierzytelnienia SAML. Jest to adres URL, do którego użytkownik jest przekierowywany w celu uwierzytelnienia się.
-
Wybierz Format identyfikatora nazwy.
-
-
Opcjonalnie wybierz Włącz logowanie inicjowane przez dostawcę tożsamości.
Domyślny proces logowania polega na tym, że użytkownik najpierw przechodzi do Qlik Cloud, a następnie jest przekierowywany do dostawcy tożsamości w celu uwierzytelnienia. Włącz logowanie inicjowane przez dostawcę tożsamości, jeśli chcesz, aby użytkownik najpierw logował się do dostawcy tożsamości, a następnie był przekierowywany do Qlik Cloud.
-
Zmodyfikuj pola w obszarze Mapowanie oświadczeń lub zachowaj wartości domyślne.
Mapowania oświadczeń określają, jak atrybuty użytkownika od dostawcy tożsamości są powiązane z polami w modelu użytkownika Qlik Cloud. Mapowania są dostępne dla sub, name, email, groups i picture. Dostosuj wartości do potrzeb swojej organizacji i atrybutów dostawcy tożsamości.
Informacja-
W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.
-
Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.
-
-
Opcjonalnie skonfiguruj Identyfikator URI przekierowania po wylogowaniu się w obszarze Opcje zaawansowane.
Służy to do przekierowywania użytkownika do zdefiniowanego URI po wylogowaniu. Przykład użycia URI przekierowania po zalogowaniu można znaleźć w temacie Używanie URI przekierowania po wylogowaniu.
-
Kliknij polecenie Utwórz.
Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.
Metadane i certyfikat podpisywania dostawcy usług SAML są dostępne dopiero po utworzeniu konfiguracji dostawcy tożsamości. Jeśli potrzebujesz tych informacji do skonfigurowania dostawcy tożsamości, możesz początkowo utworzyć dostawcę tożsamości bez sprawdzania poprawności, a poprawność zweryfikować po ukończeniu konfiguracji u dostawcy tożsamości.
-
Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.
-
Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.
-
Przesyłanie metadanych dostawcy usług do dostawcy tożsamości
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie, w nowo utworzonej konfiguracji dostawcy tożsamości kliknij i wybierz opcję Wyświetl konfigurację dostawcy.
Okno dialogowe wyświetla metadane dostawcy usług i adres URL punktu końcowego metadanych.
-
W zależności od konfiguracji u dostawcy tożsamości pobierz plik metadanych lub skopiuj adres URL i zapisz je do późniejszego wykorzystania. W razie potrzeby pobierz plik certyfikatu podpisywania. Kliknij przycisk Gotowe.
-
U dostawcy tożsamości wprowadź metadane dostawcy usług. Pamiętaj o skonfigurowaniu następujących wymaganych ustawień:
-
Assertion Consumer Service (ACS) URL. Tutaj dostawca tożsamości przesyła asercje SAML po uwierzytelnieniu.
-
Identyfikator podmiotu dostawcy usług.
-
Certyfikat służący do sprawdzania poprawności żądań uwierzytelnienia. Jest to wykorzystywane przez dostawcę tożsamości do weryfikacji autentyczności dostawcy usług.
-
-
Po ukończeniu konfiguracji u dostawcy tożsamości możesz sprawdzić poprawność konfiguracji dostawcy tożsamości w centrum aktywności Administrowanie. Kliknij na swojej konfiguracji i wybierz Sprawdź poprawność. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.
Włączanie automatycznego tworzenia grup
Grupy są wykorzystywane do kontroli dostępu użytkowników i mogą być tworzone automatycznie z grup Dostawca tożsamości. Włączenie automatycznego tworzenia grup powoduje dziedziczenie grup od dostawcy tożsamości, co pozwala na udzielanie dostępu tym samym grupom użytkowników, które istnieją w Dostawca tożsamości. To upraszcza zarządzanie dostępem w porównaniu do udzielania dostępu tylko jednemu użytkownikowi w danej chwili.
Gdy użytkownicy się logują, nowe grupy dostawców tożsamości pojawiają się dynamicznie w Qlik Cloud. Grupy te nie są importowane jednocześnie — zamiast tego grupy Dostawca tożsamości są wykrywane podczas logowania. Dostępne są tylko grupy powiązane z użytkownikami Qlik Cloud.
W celu konfigurowania grup wymagane jest stosowanie jednokrotnego logowania i posiadanie dostępu administracyjnego do Dostawca tożsamości.
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie przejdź do strony Ustawienia.
- W obszarze Sterowanie funkcją wybierz opcję Tworzenie grup.