Tworzenie nowej konfiguracji dostawcy tożsamości

Administrator dzierżawy może tworzyć nowe konfiguracje dostawcy tożsamości z konsoli Konsola zarządzania. Qlik Cloud zapewnia konfigurację IdP do logowania użytkownika, dostępu do interfejsu API i konfiguracji wielochmurowej.

W Qlik Cloud Qlik dokonuje automatycznej aprowizacji domyślnego dostawcy tożsamości (IdP) o nazwie Qlik Account, aby ułatwić rozpoczęcie korzystania z platformy (funkcja niedostępna w Qlik Cloud Government). Qlik Account to mechanizm uwierzytelniania dostarczany przez Qlik umożliwiający dostęp do adresów w domenach qlik.com i qlikcloud.com. Adres e-mail, na który nadszedł powitalny e-mail z Qlik Cloud, zwany także właścicielem konta usług, jest członkiem IdP Qlik Account, a w przypadku dzierżaw Qlik Cloud utworzonych za pośrednictwem My Qlik może natychmiast umożliwiać logowanie się w dzierżawie po jej utworzeniu.

Można także wybrać korzystanie z własnego IdP we wdrożeniu Qlik Cloud. Każda dzierżawa Qlik Cloud obsługuje jednego interaktywnego IdP, takiego jak Qlik Account, Azure AD, OKTA, Auth0 lub inny kompatybilny z Open ID Connect (OIDC) IdP. Jeżeli wdrożysz własnego interaktywnego IdP, zastąpi to proces logowania z Qlik Account procesem wybranego IdP.

Wykonaj następujące czynności:

1. W funkcji Konsola zarządzania otwórz sekcję Dostawca tożsamości.

2. Kliknij polecenie Utwórz nowe.

   Zostanie otwarta strona tworzenia konfiguracji IdP.

3. Wybierz typ IdP:

   • Interaktywny – logowanie użytkowników
   • Maszyna do maszyny – dostęp API
   • Multi-cloud – wprowadzanie lokalnego tokenu elementu nośnego w celu utworzenia konfiguracji dostawcy tożsamości, patrz MSC – Wdrożenia (tylko w języku angielskim)

4. Wybierz dostawcę IdP. Wybierz opcję Ogólny, jeśli dany IdP nie jest dostępny jako opcja.

5. Opcjonalnie wpisz opis.

6. Wypełnij pola w sekcji Poświadczenia aplikacji:

   1. Pierwsze pole to adres URL punktu końcowego, który zapewnia informacje o konfiguracji dla klientów OAuth w celu połączenia z IdP za pomocą protokołu OpenID Connect. Jest on różnie nazywany:

      • ADFS: ADFS – adres URL wykrywania
      • Auth0: Konfiguracja OpenID
      • Keycloak: Konfiguracja punktu końcowego OpenID Keycloak
      • Okta/Generic: Identyfikator URI metadanych połączenia OpenID
      • Salesforce: Salesforce – adres URL wykrywania

      Konfiguracja ręczna

      Niekiedy adres URL wykrywania nie jest dostępny lub nie zapewnia właściwych metadanych. Zamiast wpisywać adres URL punktu końcowego w celu pobrania metadanych, wystarczy wprowadzić odpowiednie dane w formularzu. Z konfiguracji ręcznej korzysta się tylko wtedy, gdy nie podano adresu URL wykrywania.

      Wykonaj następujące czynności:

      1. W panelu Utwórz konfigurację dostawcy tożsamości wybierz dostawcę.

      2. Włączyć opcję Konfiguracja ręczna.

         Aktywuje ona pole konfiguracji OpenID i pozwala na ręczne skonfigurowanie pól.

      3. Dodaj adres URL Wydawcy do dostawcy tożsamości.

      4. Dodaj adres URL Punktu końcowego autoryzacji do interakcji z właścicielem zasobów, gdzie można uzyskać autoryzację na dostęp do zasobów.

      5. Dodaj adres URL Punkt końcowego tokenu w celu uzyskania tokenu dostępowego.

      6. Dodaj adres URL Punktu końcowego informacji o użytkowniku w celu uzyskania informacji o użytkowniku.

      7. Dodaj adres JWKSURI do JSON Web Key Setzawierającego klucze publiczne używane do weryfikacji JSON Web Token (JWT).

      8. Opcjonalnie dodaj adres URL Punktu końcowego końca sesji używany do uruchomienia jednokrotnego logowania.

      9. Opcjonalnie dodaj adres URL Punkt końcowego introspekcji w celu uzyskania tokenów dostępowych lub JWT.

      10. Wypełnij pola w sekcji Mapowanie oświadczeń.

          Oświadczenia to instrukcje (para nazwa/wartość) dotyczące elementów (w wielu przypadkach użytkownika) oraz metadane dotyczące usługi OpenID Connect. Dla każdego oświadczenia można użyć wielu wartości oddzielonych przecinkami. Konkatenacja nie jest jednak wykonywana, jeśli pierwsza wartość jest null. Mapowanie przechodzi do drugiej wartości.

          • sub, name, groups, email, client_id, picture, email_verified (opcjonalnie) do konfiguracji interaktywnej oraz sub i client_id do konfiguracji maszyna-maszyna.
            Oświadczenie grupowe jest potrzebne do otrzymania grup.
          InformacjaAzure AD nie obsługuje grup zagnieżdżonych.

      11. U dostawcy tożsamości dodaj adres URL dzierżawy do listy dozwolonych. To ustawienie ma różne nazwy, na przykład Dozwolone adresy wywołania zwrotnego, Identyfikator URI przekierowania lub Identyfikator URI przekierowania logowania.

          Podczas dodawania do listy dozwolonych należy dodać do adresu dzierżawy element login/callback. Przykład: https://<tenant name>/login/callback.

          InformacjaPodczas ustawiania identyfikatora URI przekierowania należy użyć pierwotnej nazwy hosta, a nie jej aliasu. Nazwę hosta można znaleźć, wybierając kolejno Ustawienia > Dzierżawa > Nazwa hosta.

   2. Identyfikator klienta (tylko wersja interaktywna): Identyfikator skonfigurowanego klienta w dostawcy tożsamości (IdP) na potrzeby interaktywnego uwierzytelniania użytkownika.

   3. Tajny klucz klienta (tylko wersja interaktywna): Tajny klucz dla klienta skonfigurowany w dostawcy tożsamości (IdP).

   4. Obszar (opcjonalnie): Nazwisko do powiązania z IdP. Jest taka sama jak nazwa domeny w Qlik Sense Enterprise on Windows i jest używana w celu zapewnienia spójności nazewnictwa w Multi-Cloud.

7. Wypełnij pola w sekcji Mapowanie oświadczeń.

   Oświadczenia to instrukcje (para nazwa/wartość) dotyczące elementów (w wielu przypadkach użytkownika) oraz metadane dotyczące usługi OpenID Connect. Dla każdego oświadczenia można użyć wielu wartości oddzielonych przecinkami. Konkatenacja nie jest jednak wykonywana, jeśli pierwsza wartość jest null. Mapowanie przechodzi do drugiej wartości.

   • sub, name, groups, email, client_id, picture, email_verified (opcjonalnie) do konfiguracji interaktywnej oraz sub i client_id do konfiguracji maszyna-maszyna.
     Oświadczenie grupowe jest potrzebne do otrzymania grup.
   InformacjaAzure AD nie obsługuje grup zagnieżdżonych.

8. U dostawcy tożsamości dodaj adres URL dzierżawy do listy dozwolonych. To ustawienie ma różne nazwy, na przykład Dozwolone adresy wywołania zwrotnego, Identyfikator URI przekierowania lub Identyfikator URI przekierowania logowania.

   Podczas dodawania do listy dozwolonych należy dodać do adresu dzierżawy element login/callback. Przykład: https://<tenant name>/login/callback.

   InformacjaPodczas ustawiania identyfikatora URI przekierowania należy użyć pierwotnej nazwy hosta, a nie jej aliasu. Nazwę hosta można znaleźć, wybierając kolejno Ustawienia > Dzierżawa > Nazwa hosta.

Opcje Zaawansowane

Opcje zaawansowane rozszerzają możliwości niektórych dostawców tożsamości.

Zastąpienie oświadczenia email_verified: Używane w ADFS i Azure AD w celu zapewnienia, że adres e-mail użytkownika może być używany do mapowania tożsamości. Ta opcja jest przydatna podczas przełączania dostawców tożsamości, ale także w Konsola zarządzania do rozróżniania dwóch użytkowników o tej samej nazwie.

Zakres: Używany w specyfikacji OAuth 2.0 w celu określenia uprawnień dostępu podczas wydawania tokenu dostępu. Przykładowo: za pomocą tej opcji można dodać zakres grup, jeśli w IdP wymagane są one do obsługi funkcji grup użytkowników.

Identyfikator URI przekierowania po wylogowaniu się (opcjonalne): Służy do przekierowywania użytkownika do zdefiniowanego identyfikatora URI po wylogowaniu.

Przykład stosowania URI przekierowania po wylogowaniu: Używanie URI przekierowania po wylogowaniu.

Zablokuj przekazywanie zakresu „offline_access” dostawcy tożsamości: Jeśli używasz Google Identity lub OneLogin jako dostawcy tożsamości, to ustawienie musi być włączone, aby konfiguracja działała z Qlik Sense Mobile SaaS i aplikacjami OAuth 2.0.