Tworzenie interaktywnej konfiguracji dostawcy tożsamości SAML

W tym temacie opisano konfigurację ustawień dostawcy tożsamości w programie Qlik Cloud.

Konfiguracja po stronie dostawcy tożsamości.

Oprócz konfiguracji w Qlik Cloud należy również dokonać konfiguracji po stronie dostawcy tożsamości. Z procedurami tych konfiguracji można zapoznać się w poniższych tematach:

Konfiguracja w Qlik Cloud

Administratorzy dzierżawy mogą tworzyć nowe konfiguracje dostawcy tożsamości.

Wykonaj następujące czynności:

1. W centrum aktywności Administrowanie wybierz pozycję Dostawca tożsamości, a następnie Utwórz nowy.

2. Jako Typ wybierz SAML.

3. Jako Dostawcę wybierz dostawcę tożsamości z listy albo Ogólny, jeżeli na liście nie ma Twojego dostawcy.

4. Opcjonalnie możesz wprowadzić opis konfiguracji dostawcy tożsamości.

5. W obszarze Konfiguracja możesz przesłać metadane XML SAML od dostawcy tożsamości lub wprowadzić poszczególne wartości ręcznie.

   Wykonaj jedną z poniższych czynności:

   1. Wybierz Użyj metadanych dostawcy tożsamości.

   2. Kliknij opcję Prześlij plik w obszarze Metadane dostawcy tożsamości SAML i wybierz plik zawierający metadane od dostawcy tożsamości. Zamiast tego, jeśli metadane dostawcy tożsamości nie są dostępne w postaci pliku, możesz skopiować i wkleić metadane bezpośrednio w polu Metadane dostawcy tożsamości.

   lub

   1. Kliknij opcję Prześlij plik w obszarze Certyfikaty podpisywania, aby przesłać plik certyfikatu.
      Jest to certyfikat używany przez dostawcę tożsamości do podpisywania asercji SAML wysyłanych do Qlik Cloud.

   2. Wprowadź Identyfikator podmiotu dostawcy tożsamości.

   3. Wprowadź Adres URL logowania jednokrotnego.

      Jest to punkt końcowy, gdzie wysyłane są żądania uwierzytelnienia SAML. Jest to adres URL, do którego użytkownik jest przekierowywany w celu uwierzytelnienia się.

   4. Wybierz Format identyfikatora nazwy.

   

6. Opcjonalnie wybierz Włącz logowanie inicjowane przez dostawcę tożsamości.

   Domyślny proces logowania polega na tym, że użytkownik najpierw przechodzi do Qlik Cloud, a następnie jest przekierowywany do dostawcy tożsamości w celu uwierzytelnienia. Włącz logowanie inicjowane przez dostawcę tożsamości, jeśli chcesz, aby użytkownik najpierw logował się do dostawcy tożsamości, a następnie był przekierowywany do Qlik Cloud.

7. Zmodyfikuj pola w obszarze Mapowanie oświadczeń lub zachowaj wartości domyślne.

   Mapowania oświadczeń określają, jak atrybuty użytkownika od dostawcy tożsamości są powiązane z polami w modelu użytkownika Qlik Cloud. Mapowania są dostępne dla sub, name, email, groups i picture. Dostosuj wartości do potrzeb swojej organizacji i atrybutów dostawcy tożsamości.

   Informacja

   • W polach możesz wpisać kilka wartości do wyszukania rozdzielonych przecinkami. Zostanie użyta pierwsza wartość różna od null.

   • Oświadczenie grupowe jest potrzebne do otrzymania grup. Pamiętaj, że Microsoft Entra ID nie obsługuje grup zagnieżdżonych.

8. Opcjonalnie skonfiguruj Identyfikator URI przekierowania po wylogowaniu się w obszarze Opcje zaawansowane.

   Służy to do przekierowywania użytkownika do zdefiniowanego URI po wylogowaniu. Przykład użycia URI przekierowania po zalogowaniu można znaleźć w temacie Używanie URI przekierowania po wylogowaniu.

9. Kliknij polecenie Utwórz.

   Pojawi się okno dialogowe potwierdzenia z opcją sprawdzenia poprawności konfiguracji dostawcy tożsamości.

   Metadane i certyfikat podpisywania dostawcy usług SAML są dostępne dopiero po utworzeniu konfiguracji dostawcy tożsamości. Jeśli potrzebujesz tych informacji do skonfigurowania dostawcy tożsamości, możesz początkowo utworzyć dostawcę tożsamości bez sprawdzania poprawności, a poprawność zweryfikować po ukończeniu konfiguracji u dostawcy tożsamości.

   • Aby sprawdzić poprawność teraz, wybierz Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Zainicjuje to proces sprawdzania poprawności. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.

   • Jeżeli wolisz utworzyć konfigurację teraz, ale sprawdzić poprawność później, wyczyść pole wyboru Zweryfikuj dostawcę tożsamości i kliknij Utwórz. Poprawność możesz sprawdzić później, klikając w konfiguracji dostawcy tożsamości i wybierając Sprawdź poprawność.

   

Przesyłanie metadanych dostawcy usług do dostawcy tożsamości

Wykonaj następujące czynności:

1. W centrum aktywności Administrowanie, w nowo utworzonej konfiguracji dostawcy tożsamości kliknij i wybierz opcję Wyświetl konfigurację dostawcy.

   Okno dialogowe wyświetla metadane dostawcy usług i adres URL punktu końcowego metadanych.

   

2. W zależności od konfiguracji u dostawcy tożsamości pobierz plik metadanych lub skopiuj adres URL i zapisz je do późniejszego wykorzystania. W razie potrzeby pobierz plik certyfikatu podpisywania. Kliknij przycisk Gotowe.

3. U dostawcy tożsamości wprowadź metadane dostawcy usług. Pamiętaj o skonfigurowaniu następujących wymaganych ustawień:

   • Assertion Consumer Service (ACS) URL. Tutaj dostawca tożsamości przesyła asercje SAML po uwierzytelnieniu.

   • Identyfikator podmiotu dostawcy usług.

   • Certyfikat służący do sprawdzania poprawności żądań uwierzytelnienia. Jest to wykorzystywane przez dostawcę tożsamości do weryfikacji autentyczności dostawcy usług.

4. Po ukończeniu konfiguracji u dostawcy tożsamości możesz sprawdzić poprawność konfiguracji dostawcy tożsamości w centrum aktywności Administrowanie. Kliknij na swojej konfiguracji i wybierz Sprawdź poprawność. Wykonaj czynności w kreatorze sprawdzenia poprawności, aby się zalogować i zweryfikować, czy dane profilu użytkownika są prawidłowe.