Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qilk

Criando uma nova configuração do provedor de identidade

O Qlik Cloud fornece configuração do provedor de identidade (IdP) para login do usuário, acesso à API e configuração de múltiplas nuvens. Cada locatário do Qlik Cloud é compatível com um IdP interativo, como Qlik Account, Microsoft Entra ID (antigo Azure AD), OKTA, Auth0 ou outro IdP compatível com o OpenID Connect (OIDC) ou com o Security Assertion Markup Language (SAML).

Os administradores de locatários podem criar diversas configurações de IdP no Console de gerenciamento:

  • Para login do usuário, configure um IdP interativo. Escolha entre OIDC ou SAML, dependendo do padrão suportado pelo seu provedor de identidade.

    Nota informativaSomente um IdP interativo pode estar ativo por vez. Se você implementar seu IdP interativo personalizado, ele substituirá o fluxo de login do Qlik Account pelo processo de autenticação definido pelo IdP escolhido.

  • Para acesso à API, selecione autenticação Máquina a Máquina (M2M).

  • Para um gerenciamento de identidade de múltiplas nuvens contínuo, configure um IdP de Múltiplas nuvens com seu token de portador local.

Criando uma nova configuração de IdP OIDC interativo

Os administradores de locatários podem criar novas configurações de IdP. Você só pode ter um único IdP interativo por vez. Se você já possui um ativo, primeiro é necessário desativá-lo antes de ativar o novo. Para obter mais informações, consulte Alterando configurações de IdP corporativo.

Este tópico descreve como definir as configurações do provedor de identidade no Qlik Cloud. Você também precisa fazer configurações no lado do provedor de identidade. Para obter uma orientação passo a passo dessas configurações, consulte os recursos a seguir:

Faça o seguinte:

  1. No Console de gerenciamento, acesse Provedor de identidade e clique em Criar novo.

  2. Para Tipo, selecione OIDC.

  3. Em Provedor, selecione um provedor de identidade na lista ou escolha Genérico se seu provedor específico não estiver listado.

  4. Opcionalmente, insira uma descrição para a configuração de IdP.

  5. Em Credenciais do aplicativo, você pode inserir a URL de descoberta. Se uma URL de descoberta não estiver disponível ou não fornecer metadados adequados, você também terá a opção de inserir valores individuais manualmente. A configuração manual deve ser usada somente quando uma URL de descoberta não tiver sido inserida.

    Realize uma das seguintes ações:

    1. Insira a URL de descoberta. Esta é a URL para o terminal que fornece dados de configuração para os clientes OAuth interagirem com o IdP usando o protocolo OpenID Connect. As convenções de nomenclatura da URL de descoberta variam de acordo com o provedor escolhido:

      • ADFS: URL de descoberta do ADFS

      • Auth0: Configuração do OpenID

      • Keycloak: Configuração do terminal OpenID do Keycloak

      • Okta ou IdP genérico: URI de metadados do OpenID Connect

      • Salesforce: URL de descoberta do Salesforce

    ou

    1. Selecione Configuração manual.

    2. Insira os seguintes valores:

      • Endpoint de autorização: a URL para interação com o proprietário do recurso, em que você obtém autorização para acessar o recurso.

      • Endpoint final da sessão (opcional): a URL usada para acionar uma única saída.

      • Endpoint de introspecção (opcional): a URL para validar tokens de referência ou JWTs.

      • Emissor: a URL para o provedor de identidade.

      • URI do JWKS: o URI para o JSON Web Key Set que contém chaves públicas usadas para verificação de um JSON Web Token (JWT).

      • Endpoint do token: a URL para obter um token de acesso.

      • Endpoint de informações do usuário (opcional): a URL para obter informações do usuário.

    Configuração usando a URL de descoberta e configuração manual.

    Painéis de configuração mostrados com e sem o uso de uma URL de descoberta.

  6. Digite o ID do cliente: o ID do cliente configurado no IdP para autenticação interativa do usuário.

  7. Digite o segredo do cliente: o segredo do cliente configurado no IdP.

  8. Opcionalmente, insira um Realm. Este é o nome a ser associado ao IdP. É igual ao nome de domínio no Qlik Sense Enterprise on Windows e é usado para nomear consistência em múltiplas nuvens.

  9. Preencha os campos em Mapeamento de declarações.

    Declarações são instruções (pares nome/valor) sobre a entidade (em muitos casos, o usuário) e metadados sobre o serviço OpenID Connect. Os mapeamentos estão disponíveis para sub, name, groups, email, client_id, picture e email_verified (opcional).

    Nota informativa

    • Você pode inserir vários valores de pesquisa, separados por vírgula, nos campos de entrada. O primeiro valor não nulo encontrado será usado.

    • A declaração groups é necessária para receber grupos. Observe que grupos aninhados não são compatíveis no Microsoft Entra ID.

  10. Opcionalmente, configure as opções avançadas. Para obter mais detalhes, consulte Opções avançadas.

  11. Clique em Criar.

    Um diálogo de confirmação aparece com a opção de validar a configuração do IdP.

    • Para validar agora, selecione Validar IdP e clique em Criar. Isso iniciará o processo de validação. Siga as etapas do assistente de validação para realizar um login e verificar se os dados do perfil do usuário estão corretos.

    • Se preferir criar a configuração agora, mas validá-la mais tarde, desmarque a caixa de seleção Validar IdP e clique em Criar. Você pode validar mais tarde clicando em Mais na configuração do seu IdP e selecionando Validar.

    Validando e criando a configuração do IdP.

    Diálogo de confirmação com a opção Validar IdP selecionada

Adicionando a URL do locatário à lista de permissões do provedor de identidade

No seu provedor de identidade, adicione a URL do seu locatário à lista de permissões. Existem nomes diferentes para esta configuração, por exemplo, URLs de retorno de chamada permitidos, URI de redirecionamento ou URI de redirecionamento de login.

Ao adicionar a URL, você precisa anexar login/callback ao endereço do seu locatário, como em https://<nome do locatário>/login/callback.

Nota informativaUse o nome do host do locatário original e não o nome do host do alias ao configurar o URI de redirecionamento. Você encontra o nome do host em Configurações > Locatário > Nome do host no Console de gerenciamento.

Opções avançadas

As opções avançadas ampliam os recursos de alguns IdPs.

Substituição de e-mail verificada: usado em ADFS e no Microsoft Entra ID para garantir que o endereço de e-mail de um usuário possa ser usado para mapeamento de identidade. Esta opção é útil ao alternar IdPs, mas também no Console de Gerenciamento para distinguir dois usuários com exatamente o mesmo nome.

Escopo: usado na especificação OAuth 2.0 para especificar os privilégios de acesso ao emitir um token de acesso. Por exemplo, use esta opção para adicionar um escopo de grupos caso o IdP exija isso para oferecer suporte a um recurso de grupos de usuários.

Publicar URI de redireção de logout: usado para redirecionar um usuário para um URI definido após o logout. Para obter um exemplo de como usar o URI de redirecionamento pós-logout, consulte Usando URI de redirecionamento após o logout.

Bloquear a passagem do escopo 'offline_access' para o provedor de identidade: ao usar o Google Identity ou o OneLogin como provedor de identidade, essa opção deve estar ativada para que a configuração funcione com os aplicativos Qlik Sense Mobile SaaS e OAuth 2.0.

Criando uma nova configuração de IdP SAML interativo

Os administradores de locatários podem criar novas configurações de IdP. Você só pode ter um único IdP interativo por vez. Se você já possui um ativo, primeiro é necessário desativá-lo antes de ativar o novo. Para obter mais informações, consulte Alterando configurações de IdP corporativo.

Este tópico descreve como definir as configurações do provedor de identidade no Qlik Cloud. Você também precisa fazer configurações no lado do provedor de identidade. Para obter uma orientação passo a passo dessas configurações, consulte os tópicos a seguir:

Faça o seguinte:

  1. No Console de gerenciamento, acesse Provedor de identidade e clique em Criar novo.

  2. Para Tipo, selecione SAML.

  3. Em Provedor, selecione um provedor de identidade na lista ou escolha Genérico se seu provedor específico não estiver listado.

  4. Opcionalmente, insira uma descrição para a configuração de IdP.

  5. Em Configuração, você tem a opção de fazer upload dos metadados XML SAML do seu provedor de identidade ou inserir manualmente valores individuais.

    Realize uma das seguintes ações:

    1. Selecione Usar metadados do IdP.

    2. Clique em Carregar arquivo em Metadados do IdP SAML e escolha o arquivo que contém os metadados do seu provedor de identidade. Como alternativa, se os metadados do seu provedor de identidade não estiverem disponíveis como arquivo, você poderá copiar e colar os metadados diretamente no campo Metadados do IdP.

    ou

    1. Clique em Carregar arquivo em Certificados de assinatura para carregar o arquivo de certificado.
      Este é o certificado usado pelo provedor de identidade para assinar as asserções SAML enviadas para o Qlik Cloud.

    2. Insira o ID da entidade do seu provedor de identidade.

    3. Insira a URL de login único.

      Este é o terminal para onde as solicitações de autenticação SAML são enviadas. É a URL para a qual o usuário é redirecionado para autenticação.

    4. Selecione um Formato de ID de nome.

    Configuração usando metadados e configuração manual.

    Painéis de configuração mostrados com e sem o uso de metadados IdP

  6. Opcionalmente, selecione Habilitar login iniciado pelo IdP.

    O fluxo de login padrão é que o usuário primeiro acessa ao Qlik Cloud e depois é redirecionado para o IdP para autenticação. Habilite o login iniciado pelo IdP se desejar que o usuário primeiro faça login no provedor de identidade e depois seja redirecionado para o Qlik Cloud.

  7. Modifique os campos em Mapeamento de declarações ou mantenha os valores padrão.

    Os mapeamentos de declarações definem como os atributos do usuário do seu provedor de identidade são associados aos campos no modelo de usuário do Qlik Cloud. Os mapeamentos estão disponíveis para sub, name, email, groups e picture. Ajuste os valores para atender às necessidades da sua organização e aos atributos do seu provedor de identidade.

    Nota informativa

    • Você pode inserir vários valores de pesquisa, separados por vírgula, nos campos de entrada. O primeiro valor não nulo encontrado será usado.

    • A declaração groups é necessária para receber grupos. Observe que grupos aninhados não são compatíveis no Microsoft Entra ID.

  8. Opcionalmente, configure o URI de redirecionamento pós-logout em Opções avançadas.

    Isso é usado para redirecionar um usuário para um URI definido após o logout. Para obter um exemplo de como usar o URI de redirecionamento pós-logout, consulte Usando URI de redirecionamento após o logout.

  9. Clique em Criar.

    Um diálogo de confirmação aparece com a opção de validar a configuração do IdP.

    Os metadados do provedor de serviços SAML e o certificado de assinatura estarão disponíveis somente após a criação da configuração do IdP. Se precisar dessas informações para configurar o provedor de identidade, você poderá criar o IdP sem validação inicialmente e validá-lo quando a configuração no seu provedor de identidade for concluída.

    • Para validar agora, selecione Validar IdP e clique em Criar. Isso iniciará o processo de validação. Siga as etapas do assistente de validação para realizar um login e confirmar se os dados do perfil do usuário são válidos.

    • Se preferir criar a configuração agora, mas validá-la mais tarde, desmarque a caixa de seleção Validar IdP e clique em Criar. Você pode validar mais tarde clicando em Mais na configuração do seu IdP e selecionando Validar.

    Validando e criando a configuração do IdP.

    Diálogo de confirmação com a opção Validar IdP selecionada

Carregando os metadados do provedor de serviços para seu provedor de identidade

Faça o seguinte:

  1. No Console de gerenciamento, na configuração do IdP recém-criada, clique em Mais e selecione Exibir configuração do provedor.

    Um diálogo mostra os metadados do provedor de serviços e a URL para o terminal de metadados.

    Metadados do provedor de serviços.

    Diálogo de confirmação com a opção Validar IdP selecionada

  2. Dependendo da configuração do seu provedor de identidade, copie os metadados ou a URL e salve-os para uso posterior. Baixe o arquivo do certificado de assinatura, se necessário. Clique em Concluído.

  3. No seu provedor de identidade, insira os metadados do provedor de serviços. Certifique-se de definir as seguintes configurações necessárias:

    • URL do serviço do consumidor de declaração (ACS). É aqui que o provedor de identidade envia as asserções SAML após a autenticação.

    • ID da entidade do provedor de serviços.

    • O certificado para validar solicitações de autenticação. Isso é usado pelo provedor de identidade para verificar a autenticidade do provedor de serviços.

  4. Depois que a configuração no seu provedor de identidade for concluída, você poderá validar a configuração do seu IdP no Console de gerenciamento. Clique em Mais na sua configuração e selecione Validar. Siga as etapas do assistente de validação para realizar um login e verificar se os dados do perfil do usuário estão corretos.

Criando uma nova configuração de IdP máquina a máquina

Para configurar um IdP máquina a máquina, siga as instruções para Criando uma nova configuração de IdP OIDC interativo, mas selecione Máquina a Máquina (M2M) como o tipo de IdP.

Algumas das configurações diferem em comparação com a configuração interativa do OIDC: os campos ID do cliente e Segredo do cliente não são aplicáveis neste contexto e em Mapeamento de declarações, você terá apenas mapeamentos para sub e client_id.

Habilitar criação automática de grupos

Os grupos são usados para controlar o acesso do usuário e podem ser criados automaticamente a partir de grupos IdP. Quando a criação automática de grupos está habilitada, os grupos são herdados do provedor de identidade para que o acesso possa ser concedido aos mesmos grupos de usuários que existem no IdP. Isso simplifica a administração de acesso em comparação à concessão de acesso a um usuário por vez.

À medida que os usuários fazem login, novos grupos de IdP aparecem dinamicamente no Qlik Cloud. Esses grupos não são importados todos ao mesmo tempo; em vez disso, os grupos IdP são descobertos durante o processo de login. Somente os grupos associados a usuários do Qlik Cloud estão disponíveis.

Para configurar grupos, você deve usar logon único e ter acesso administrativo ao seu IdP.

Faça o seguinte:

  1. No Console de gerenciamento, acesse a página Configurações.
  2. Em Controle de recursos, selecione Criação de grupos.
APRENDIZADO RELACIONADO:

Saiba mais

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Deixe seu feedback aqui