Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik

Tworzenie konfiguracji interaktywnego dostawcy tożsamości OIDC

W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud.

Konfiguracja po stronie dostawcy tożsamości.

Oprócz konfiguracji w Qlik Cloud należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych zasobach:

Konfiguracja w Qlik Cloud

Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości.

InformacjaJednocześnie można mieć tylko jednego interaktywnego dostawcę tożsamości. Jeżeli masz już aktywnego dostawcę tożsamości, najpierw go zdezaktywuj, zanim będzie można aktywować nowego. Więcej informacji zawiera temat Zmiana firmowego dostawcy tożsamości.

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.

  2. W polu Typ wybierz OIDC.

  3. Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.

  4. Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.

  5. W obszarze Poświadczenia aplikacji możesz wprowadzić adres URL wykrywania. Jeśli adres URL wykrywania nie jest dostępny lub nie zawiera prawidłowych metadanych, możesz też ręcznie wprowadzić poszczególne wartości. Konfiguracji ręcznej należy używać tylko wtedy, gdy nie wprowadzono adresu URL wykrywania.

    Wykonaj jedną z poniższych czynności:

    1. Wprowadź adres URL wykrywania. Jest to adres URL punktu końcowego, który udostępnia dane konfiguracyjne klientom OAuth w celu połączenia się z dostawcą tożsamości przy użyciu protokołu OpenID Connect. Konwencje nazewnictwa adresu URL wykrywania różnią się w zależności od wybranego dostawcy:

      • AFDS: adres URL wykrywania ADFS

      • Auth0: konfiguracja OpenID

      • Keycloak: konfiguracja punktu końcowego OpenID Keycloak

      • Okta lub ogólny dostawca tożsamości: identyfikator URI metadanych OpenID Connect

      • Salesforce: adres URL wykrywania Salesforce

    lub

    1. Wybierz Konfiguracja ręczna.

    2. Wprowadź następujące wartości:

      • Punkt końcowy autoryzacji: adres URL interakcji z właścicielem zasobu, pod którym można uzyskać autoryzację dostępu do zasobu.

      • Punkt końcowy końca sesji (opcjonalnie): adres URL używany do wyzwalania pojedynczego wylogowania.

      • Punkt końcowy introspekcji (opcjonalnie): adres URL służący do sprawdzania tokenów referencyjnych lub tokenów JWT.

      • Wystawca: adres URL dostawcy tożsamości.

      • Identyfikator URI JWKS: identyfikator URI zestawu kluczy internetowych JSON zawierający klucze publiczne używane do weryfikacji tokenu internetowego JSON (JWT).

      • Punkt końcowy tokenu: adres URL, pod którym można uzyskać token dostępu.

      • Punkt końcowy informacji o użytkowniku (opcjonalnie): adres URL, pod którym można uzyskać informacje o użytkowniku.

    Konfiguracja przy użyciu adresu URL wykrywania i konfiguracja ręczna.

    Panele konfiguracji pokazane z użyciem adresu URL wykrywania i bez niego.

  6. Wprowadź Identyfikator klienta: identyfikator skonfigurowanego klienta u dostawcy tożsamości na potrzeby interaktywnego uwierzytelniania użytkownika.

  7. Wprowadź Klucz tajny klienta: klucz tajny klienta skonfigurowany u dostawcy tożsamości.

  8. Opcjonalnie wybierz Obszar. To jest nazwa, którą należy powiązać z dostawcą tożsamości. Jest taka sama jak nazwa domeny w Qlik Sense Enterprise on Windows i służy do zapewnienia spójności nazewnictwa w różnych chmurach.

  9. Wypełnij pola w obszarze Mapowanie oświadczeń.

    Oświadczenia to instrukcje (para nazwa/wartość) dotyczące podmiotu (w wielu przypadkach użytkownika) oraz metadane dotyczące usługi OpenID Connect. Mapowania są dostępne dla sub, name, groups, email, client_id, picture i email_verified (opcjonalnie).

    Informacja

    • W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.

    • Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.

  10. Opcjonalnie skonfiguruj opcje zaawansowane. Więcej informacji zawiera temat Opcje zaawansowane.

  11. Kliknij polecenie Utwórz.

    Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.

    • Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.

    • Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając Więcej w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.

    Tworzenie konfiguracji dostawcy tożsamości i sprawdzanie poprawności.

    Potwierdzenie z zaznaczoną opcją Zweryfikuj dostawcę tożsamości

Dodaj adres URL dzierżawy do listy dozwolonych dostawcy tożsamości.

U dostawcy tożsamości dodaj adres URL dzierżawy do listy dozwolonych. To ustawienie ma różne nazwy, na przykład Dozwolone adresy wywołania zwrotnego, Identyfikator URI przekierowania lub Identyfikator URI przekierowania logowania.

Po dodaniu adresu URL musisz dołączyć login/callback do adresu dzierżawy, np. https://<nazwa dzierżawy>/login/callback.

InformacjaPodczas ustawiania identyfikatora URI przekierowania użyj pierwotnej nazwy hosta, a nie jej aliasu. Nazwę hosta dzierżawy można znaleźć w swoim profilu użytkownika w sekcji Informacje.

Opcje zaawansowane

Opcje zaawansowane zapewniają dodatkowe możliwości dla niektórych dostawców tożsamości.

Zastąpienie oświadczenia email_verified

Włączone ustawienie powoduje, że oświadczenie email_verified jest zawsze ustawione na wartość „prawda”. Dzięki temu adresy e-mail mogą być używane do mapowania tożsamości w ADFS oraz Microsoft Entra ID. Jest to szczególnie przydatne podczas przełączania dostawców tożsamości i pomaga rozróżnić użytkowników o identycznych nazwach w centrum aktywności Administrowanie.

Zasięg

Zakresy definiują uprawnienia dostępu wymagane podczas wydawania tokena dostępu, zgodnie ze specyfikacją OAuth 2.0. Wprowadź wartości oddzielone spacjami, aby określić uprawnienia, o które chcesz poprosić dostawcę tożsamości. Uwzględnij na przykład zakres grup, jeśli dostawca tożsamości wymaga go do obsługi funkcji grup użytkowników.

Identyfikator URI przekierowania po wylogowaniu się

Użyj tego pola, aby określić URI, do którego użytkownicy będą przekierowywani po wylogowaniu się. Szczegółową instrukcję zawiera temat Używanie URI przekierowania po wylogowaniu.

Blokuj offline_access

W przypadku korzystania z Google Identity lub OneLogin jako dostawcy tożsamości włącz to ustawienie, aby zablokować przekazywanie zakresu offline_access dostawcy tożsamości. Zapewnia to poprawną współpracę konfiguracji z aplikacjami Qlik Sense Mobile SaaS oraz OAuth 2.0.

Algorytm podpisu tokenu identyfikatora

Algorytm podpisu RSA zapewnia autentyczność oraz integralność tokenów ID. Qlik Cloud obsługuje dwie opcje:

  • RS256 (domyślnie)

  • RS512

Wybierz algorytm w zależności od potrzeb w zakresie bezpieczeństwa.

Weryfikacja i odszyfrowanie podpisu tokena

Wygeneruj pary kluczy, aby zweryfikować podpisy oraz odszyfrować zaszyfrowane tokeny JSON Web Tokens (JWT). Szczegółową instrukcję zawiera temat Zarządzanie parami kluczy dla podpisanych i zaszyfrowanych tokenów identyfikatorów..

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!

Przekaż tu opinię