Ir para conteúdo principal Pular para conteúdo complementar

Criando uma nova configuração do provedor de identidade

O Qlik Cloud fornece configuração do provedor de identidade (IdP) para login do usuário, acesso à API e configuração de múltiplas nuvens. Cada locatário do Qlik Cloud é compatível com um IdP interativo, como Qlik Account, Microsoft Entra ID (antigo Azure AD), OKTA, Auth0 ou outro IdP compatível com o OpenID Connect (OIDC) ou com o Security Assertion Markup Language (SAML).

Os administradores de locatários podem criar diversas configurações de IdP no centro de atividades de Administração:

  • Para login do usuário, configure um IdP interativo. Escolha entre OIDC ou SAML, dependendo do padrão suportado pelo seu provedor de identidade.

    Nota informativa
    • Somente um IdP interativo pode estar ativo por vez. Se você implementar seu IdP interativo personalizado, ele substituirá o fluxo de login do Qlik Account pelo processo de autenticação definido pelo IdP escolhido.

    • O tratamento de falhas de SSO para seu IdP corporativo deve ser configurado por meio de seu provedor de identidade. O Qlik Cloud não oferece suporte à configuração de uma URL de redirecionamento substituta.

  • Para um gerenciamento de identidade de múltiplas nuvens contínuo, configure um IdP de Múltiplas nuvens com seu token de portador local.

Criando uma nova configuração de IdP OIDC interativo

Os administradores de locatários podem criar novas configurações de IdP. Você só pode ter um único IdP interativo por vez. Se você já possui um ativo, primeiro é necessário desativá-lo antes de ativar o novo. Para obter mais informações, consulte Alterando configurações de IdP corporativo.

Este tópico descreve como definir as configurações do provedor de identidade no Qlik Cloud. Você também precisa fazer configurações no lado do provedor de identidade. Para obter uma orientação passo a passo dessas configurações, consulte os recursos a seguir:

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Provedor de identidade e clique em Criar novo.

  2. Para Tipo, selecione OIDC.

  3. Em Provedor, selecione um provedor de identidade na lista ou escolha Genérico se seu provedor específico não estiver listado.

  4. Opcionalmente, insira uma descrição para a configuração de IdP.

  5. Em Credenciais do aplicativo, você pode inserir a URL de descoberta. Se uma URL de descoberta não estiver disponível ou não fornecer metadados adequados, você também terá a opção de inserir valores individuais manualmente. A configuração manual deve ser usada somente quando uma URL de descoberta não tiver sido inserida.

    Realize uma das seguintes ações:

    1. Insira a URL de descoberta. Esta é a URL para o terminal que fornece dados de configuração para os clientes OAuth interagirem com o IdP usando o protocolo OpenID Connect. As convenções de nomenclatura da URL de descoberta variam de acordo com o provedor escolhido:

      • ADFS: URL de descoberta do ADFS

      • Auth0: Configuração do OpenID

      • Keycloak: Configuração do terminal OpenID do Keycloak

      • Okta ou IdP genérico: URI de metadados do OpenID Connect

      • Salesforce: URL de descoberta do Salesforce

    ou

    1. Selecione Configuração manual.

    2. Insira os seguintes valores:

      • Endpoint de autorização: a URL para interação com o proprietário do recurso, em que você obtém autorização para acessar o recurso.

      • Endpoint final da sessão (opcional): a URL usada para acionar uma única saída.

      • Endpoint de introspecção (opcional): a URL para validar tokens de referência ou JWTs.

      • Emissor: a URL para o provedor de identidade.

      • URI do JWKS: o URI para o JSON Web Key Set que contém chaves públicas usadas para verificação de um JSON Web Token (JWT).

      • Endpoint do token: a URL para obter um token de acesso.

      • Endpoint de informações do usuário (opcional): a URL para obter informações do usuário.

    Configuração usando a URL de descoberta e configuração manual.

    Painéis de configuração mostrados com e sem o uso de uma URL de descoberta.
  6. Digite o ID do cliente: o ID do cliente configurado no IdP para autenticação interativa do usuário.

  7. Digite o segredo do cliente: o segredo do cliente configurado no IdP.

  8. Opcionalmente, insira um Realm. Este é o nome a ser associado ao IdP. É igual ao nome de domínio no Qlik Sense Enterprise on Windows e é usado para nomear consistência em múltiplas nuvens.

  9. Preencha os campos em Mapeamento de declarações.

    Declarações são instruções (pares nome/valor) sobre a entidade (em muitos casos, o usuário) e metadados sobre o serviço OpenID Connect. Os mapeamentos estão disponíveis para sub, name, groups, email, client_id, picture e email_verified (opcional).

    Nota informativa
    • Você pode inserir vários valores de pesquisa, separados por vírgula, nos campos de entrada. O primeiro valor não nulo encontrado será usado.

    • A declaração groups é necessária para receber grupos. Observe que grupos aninhados não são compatíveis no Microsoft Entra ID.

  10. Opcionalmente, configure as opções avançadas. Para obter mais detalhes, consulte Opções avançadas.

  11. Clique em Criar.

    Um diálogo de confirmação aparece com a opção de validar a configuração do IdP.

    • Para validar agora, selecione Validar IdP e clique em Criar. Isso iniciará o processo de validação. Siga as etapas do assistente de validação para realizar um login e verificar se os dados do perfil do usuário estão corretos.

    • Se preferir criar a configuração agora, mas validá-la mais tarde, desmarque a caixa de seleção Validar IdP e clique em Criar. Você pode validar mais tarde clicando em Mais na configuração do seu IdP e selecionando Validar.

    Validando e criando a configuração do IdP.

    Diálogo de confirmação com a opção Validar IdP selecionada

Adicionando a URL do locatário à lista de permissões do provedor de identidade

No seu provedor de identidade, adicione a URL do seu locatário à lista de permissões. Existem nomes diferentes para esta configuração, por exemplo, URLs de retorno de chamada permitidos, URI de redirecionamento ou URI de redirecionamento de login.

Ao adicionar a URL, você precisa anexar login/callback ao endereço do seu locatário, como em https://<nome do locatário>/login/callback.

Nota informativaUse o nome do host do locatário original e não o nome do host do alias ao configurar o URI de redirecionamento. Você encontra o nome do host do locatário no menu do perfil do usuário, na seção Sobre.

Opções avançadas

As opções avançadas fornecem recursos adicionais para determinados provedores de identidade.

Substituição de e-mail verificada

Habilite essa configuração para definir sempre a declaração email_verified como 'true'. Isso garante que os endereços de e-mail possam ser usados para mapeamento de identidade no ADFS e no Microsoft Entra ID. Isso é especialmente útil ao alternar IdPs e ajuda a diferenciar entre usuários com nomes idênticos no centro de atividades de Administração.

Escopo

Os escopos definem os privilégios de acesso que são solicitados ao emitir um token de acesso, de acordo com a especificação OAuth 2.0. Insira valores separados por espaços para especificar as permissões que você deseja solicitar do provedor de identidade. Por exemplo, inclua um escopo de grupos se o IdP exigir que ele suporte recursos de grupo de usuários.

Publicar URI de redireção de logout

Use este campo para especificar um URI para o qual os usuários serão redirecionados após o logout. Para obter instruções detalhadas, consulte Usando URI de redirecionamento após o logout.

Bloquear offline_access

Ao usar o Google Identity ou o OneLogin como o provedor de identidade, habilite esta configuração para bloquear a passagem do escopo offline_access para o provedor de identidade. Isso garante que a configuração funcione corretamente com os aplicativos Qlik Sense Mobile SaaS e OAuth 2.0.

Algoritmo de assinatura do token de ID

O algoritmo de assinatura RSA garante a autenticação e a integridade dos tokens de ID. O Qlik Cloud oferece duas opções:

  • RS256 (padrão)

  • RS512

Selecione o algoritmo com base em suas necessidades de segurança.

Verificação e descriptografia de assinatura de token

Gere pares de chaves para verificar assinaturas e descriptografar JSON Web Tokens (JWT) criptografados. Para obter instruções detalhadas, consulte Gerenciando pares de chaves para tokens de ID assinados e criptografados.

Criando uma nova configuração de IdP SAML interativo

Os administradores de locatários podem criar novas configurações de IdP. Você só pode ter um único IdP interativo por vez. Se você já possui um ativo, primeiro é necessário desativá-lo antes de ativar o novo. Para obter mais informações, consulte Alterando configurações de IdP corporativo.

Este tópico descreve como definir as configurações do provedor de identidade no Qlik Cloud. Você também precisa fazer configurações no lado do provedor de identidade. Para obter uma orientação passo a passo dessas configurações, consulte os tópicos a seguir:

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Provedor de identidade e clique em Criar novo.

  2. Para Tipo, selecione SAML.

  3. Em Provedor, selecione um provedor de identidade na lista ou escolha Genérico se seu provedor específico não estiver listado.

  4. Opcionalmente, insira uma descrição para a configuração de IdP.

  5. Em Configuração, você tem a opção de fazer upload dos metadados XML SAML do seu provedor de identidade ou inserir manualmente valores individuais.

    Realize uma das seguintes ações:

    1. Selecione Usar metadados do IdP.

    2. Clique em Carregar arquivo em Metadados do IdP SAML e escolha o arquivo que contém os metadados do seu provedor de identidade. Como alternativa, se os metadados do seu provedor de identidade não estiverem disponíveis como arquivo, você poderá copiar e colar os metadados diretamente no campo Metadados do IdP.

    ou

    1. Clique em Carregar arquivo em Certificados de assinatura para carregar o arquivo de certificado.
      Este é o certificado usado pelo provedor de identidade para assinar as asserções SAML enviadas para o Qlik Cloud.

    2. Insira o ID da entidade do seu provedor de identidade.

    3. Insira a URL de login único.

      Este é o terminal para onde as solicitações de autenticação SAML são enviadas. É a URL para a qual o usuário é redirecionado para autenticação.

    4. Selecione um Formato de ID de nome.

    Configuração usando metadados e configuração manual.

    Painéis de configuração mostrados com e sem o uso de metadados IdP
  6. Opcionalmente, selecione Habilitar login iniciado pelo IdP.

    O fluxo de login padrão é que o usuário primeiro acessa ao Qlik Cloud e depois é redirecionado para o IdP para autenticação. Habilite o login iniciado pelo IdP se desejar que o usuário primeiro faça login no provedor de identidade e depois seja redirecionado para o Qlik Cloud.

  7. Modifique os campos em Mapeamento de declarações ou mantenha os valores padrão.

    Os mapeamentos de declarações definem como os atributos do usuário do seu provedor de identidade são associados aos campos no modelo de usuário do Qlik Cloud. Os mapeamentos estão disponíveis para sub, name, email, groups e picture. Ajuste os valores para atender às necessidades da sua organização e aos atributos do seu provedor de identidade.

    Nota informativa
    • Você pode inserir vários valores de pesquisa, separados por vírgula, nos campos de entrada. O primeiro valor não nulo encontrado será usado.

    • A declaração groups é necessária para receber grupos. Observe que grupos aninhados não são compatíveis no Microsoft Entra ID.

  8. Opcionalmente, configure o URI de redirecionamento pós-logout em Opções avançadas.

    Isso é usado para redirecionar um usuário para um URI definido após o logout. Para obter um exemplo de como usar o URI de redirecionamento pós-logout, consulte Usando URI de redirecionamento após o logout.

  9. Clique em Criar.

    Um diálogo de confirmação aparece com a opção de validar a configuração do IdP.

    Os metadados do provedor de serviços SAML e o certificado de assinatura estarão disponíveis somente após a criação da configuração do IdP. Se precisar dessas informações para configurar o provedor de identidade, você poderá criar o IdP sem validação inicialmente e validá-lo quando a configuração no seu provedor de identidade for concluída.

    • Para validar agora, selecione Validar IdP e clique em Criar. Isso iniciará o processo de validação. Siga as etapas do assistente de validação para realizar um login e confirmar se os dados do perfil do usuário são válidos.

    • Se preferir criar a configuração agora, mas validá-la mais tarde, desmarque a caixa de seleção Validar IdP e clique em Criar. Você pode validar mais tarde clicando em Mais na configuração do seu IdP e selecionando Validar.

    Validando e criando a configuração do IdP.

    Diálogo de confirmação com a opção Validar IdP selecionada

Carregando os metadados do provedor de serviços para seu provedor de identidade

Faça o seguinte:

  1. No centro de atividades de Administração, na configuração do IdP recém-criada, clique em Mais e selecione Exibir configuração do provedor.

    Um diálogo mostra os metadados do provedor de serviços e a URL para o terminal de metadados.

    Metadados do provedor de serviços.

    Diálogo de confirmação com a opção Validar IdP selecionada
  2. Dependendo da configuração do seu provedor de identidade, baixe o arquivo de metadados ou copie a URL e salve-a para uso posterior. Baixe o arquivo do certificado de assinatura, se necessário. Clique em Concluído.

  3. No seu provedor de identidade, insira os metadados do provedor de serviços. Certifique-se de definir as seguintes configurações necessárias:

    • URL do serviço do consumidor de declaração (ACS). É aqui que o provedor de identidade envia as asserções SAML após a autenticação.

    • ID da entidade do provedor de serviços.

    • O certificado para validar solicitações de autenticação. Isso é usado pelo provedor de identidade para verificar a autenticidade do provedor de serviços.

  4. Depois que a configuração no seu provedor de identidade for concluída, você poderá validar a configuração do seu IdP no centro de atividades de Administração. Clique em Mais na sua configuração e selecione Validar. Siga as etapas do assistente de validação para realizar um login e verificar se os dados do perfil do usuário estão corretos.

Habilitar criação automática de grupos

Os grupos são usados para controlar o acesso do usuário e podem ser criados automaticamente a partir de grupos IdP. Quando a criação automática de grupos está habilitada, os grupos são herdados do provedor de identidade para que o acesso possa ser concedido aos mesmos grupos de usuários que existem no IdP. Isso simplifica a administração de acesso em comparação à concessão de acesso a um usuário por vez.

À medida que os usuários fazem login, novos grupos de IdP aparecem dinamicamente no Qlik Cloud. Esses grupos não são importados todos ao mesmo tempo; em vez disso, os grupos IdP são descobertos durante o processo de login. Somente os grupos associados a usuários do Qlik Cloud estão disponíveis.

Para configurar grupos, você deve usar logon único e ter acesso administrativo ao seu IdP.

Faça o seguinte:

  1. No centro de atividades de Administração, acesse a página Configurações.
  2. Em Controle de recursos, selecione Criação de grupos.

Saiba mais

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!