Criando uma configuração de IdP OIDC interativo

Este tópico descreve como definir as configurações do provedor de identidade no Qlik Cloud.

Configuração no lado do provedor de identidade

Além da configuração no Qlik Cloud, você também precisa fazer configurações no lado do provedor de identidade. Para obter uma orientação passo a passo dessas configurações, consulte os recursos a seguir:

Usando o Salesforce.com como IDP para o Qlik Sense Enterprise SaaS (autenticação OIDC)
Usando os Serviços de Federação do Active Directory como IDP para o Qlik Sense Enterprise SaaS
Como: Configurar o Qlik Sense Enterprise SaaS para usar o Azure AD como IdP

Configuração no Qlik Cloud

Os administradores de locatários podem criar novas configurações de IdP.

Você só pode ter um único IdP interativo por vez. Se você já possui um ativo, primeiro é necessário desativá-lo antes de ativar o novo. Para obter mais informações, consulte Mudando de provedores de identidade corporativos.

Faça o seguinte:

No centro de atividades de Administração, acesse Provedor de identidade e clique em Criar novo.
Para Tipo, selecione OIDC.
Em Provedor, selecione um provedor de identidade na lista ou escolha Genérico se seu provedor específico não estiver listado.
Opcionalmente, insira uma descrição para a configuração de IdP.
Em Credenciais do aplicativo, você pode inserir a URL de descoberta. Se uma URL de descoberta não estiver disponível ou não fornecer metadados adequados, você também terá a opção de inserir valores individuais manualmente. A configuração manual deve ser usada somente quando uma URL de descoberta não tiver sido inserida.

Realize uma das seguintes ações:
1. Insira a URL de descoberta. Esta é a URL para o terminal que fornece dados de configuração para os clientes OAuth interagirem com o IdP usando o protocolo OpenID Connect. As convenções de nomenclatura da URL de descoberta variam de acordo com o provedor escolhido:
  - ADFS: URL de descoberta do ADFS
  - Auth0: Configuração do OpenID
  - Keycloak: Configuração do terminal OpenID do Keycloak
  - Okta ou IdP genérico: URI de metadados do OpenID Connect
  - Salesforce: URL de descoberta do Salesforce
ou
1. Selecione Configuração manual.
2. Insira os seguintes valores:
  - Endpoint de autorização: a URL para interação com o proprietário do recurso, em que você obtém autorização para acessar o recurso.
  - Endpoint final da sessão (opcional): a URL usada para acionar uma única saída.
  - Endpoint de introspecção (opcional): a URL para validar tokens de referência ou JWTs.
  - Emissor: a URL para o provedor de identidade.
  - URI do JWKS: o URI para o JSON Web Key Set que contém chaves públicas usadas para verificação de um JSON Web Token (JWT).
  - Endpoint do token: a URL para obter um token de acesso.
  - Endpoint de informações do usuário (opcional): a URL para obter informações do usuário.
Configuração usando a URL de descoberta e configuração manual.
Digite o ID do cliente: o ID do cliente configurado no IdP para autenticação interativa do usuário.
Digite o segredo do cliente: o segredo do cliente configurado no IdP.
Opcionalmente, insira um Realm. Este é o nome a ser associado ao IdP. É igual ao nome de domínio no Qlik Sense Enterprise on Windows e é usado para nomear consistência em múltiplas nuvens.
Preencha os campos em Mapeamento de declarações.

Declarações são instruções (pares nome/valor) sobre a entidade (em muitos casos, o usuário) e metadados sobre o serviço OpenID Connect. Os mapeamentos estão disponíveis para sub, name, groups, email, client_id, picture e email_verified (opcional).
Nota informativa
- Você pode inserir vários valores de pesquisa, separados por vírgula, nos campos de entrada. O primeiro valor não nulo encontrado será usado.
- A declaração groups é necessária para receber grupos. Observe que grupos aninhados não são compatíveis no Microsoft Entra ID.
Opcionalmente, configure as opções avançadas. Para obter mais detalhes, consulte Opções avançadas.
Clique em Criar.

Um diálogo de confirmação aparece com a opção de validar a configuração do IdP.
- Para validar agora, selecione Validar IdP e clique em Criar. Isso iniciará o processo de validação. Siga as etapas do assistente de validação para realizar um login e verificar se os dados do perfil do usuário estão corretos.
- Se preferir criar a configuração agora, mas validá-la mais tarde, desmarque a caixa de seleção Validar IdP e clique em Criar. Você pode validar mais tarde clicando em na configuração do seu IdP e selecionando Validar.
Validando e criando a configuração do IdP.

Adicionando a URL do locatário à lista de permissões do provedor de identidade

No seu provedor de identidade, adicione a URL do seu locatário à lista de permissões. Existem nomes diferentes para esta configuração, por exemplo, URLs de retorno de chamada permitidos, URI de redirecionamento ou URI de redirecionamento de login.

Ao adicionar a URL, você precisa anexar login/callback ao endereço do seu locatário, como em https://<nome do locatário>/login/callback.

Use o nome do host do locatário original e não o nome do host do alias ao configurar o URI de redirecionamento. Você encontra o nome do host do locatário no menu do perfil do usuário, na seção Sobre.

Opções avançadas

As opções avançadas fornecem recursos adicionais para determinados provedores de identidade.

Substituição de e-mail verificada

Habilite essa configuração para definir sempre a declaração email_verified como 'true'. Isso garante que os endereços de e-mail possam ser usados para mapeamento de identidade no ADFS e no Microsoft Entra ID. Isso é especialmente útil ao alternar IdPs e ajuda a diferenciar entre usuários com nomes idênticos no centro de atividades de Administração.

Escopo

Os escopos definem os privilégios de acesso que são solicitados ao emitir um token de acesso, de acordo com a especificação OAuth 2.0. Insira valores separados por espaços para especificar as permissões que você deseja solicitar do provedor de identidade. Por exemplo, inclua um escopo de grupos se o IdP exigir que ele suporte recursos de grupo de usuários.

Publicar URI de redireção de logout

Use este campo para especificar um URI para o qual os usuários serão redirecionados após o logout. Para obter instruções detalhadas, consulte Usando URI de redirecionamento após o logout.

Bloquear offline_access

Ao usar o Google Identity ou o OneLogin como o provedor de identidade, habilite esta configuração para bloquear a passagem do escopo offline_access para o provedor de identidade. Isso garante que a configuração funcione corretamente com os aplicativos Qlik Sense Mobile SaaS e OAuth 2.0.

Algoritmo de assinatura do token de ID

O algoritmo de assinatura RSA garante a autenticação e a integridade dos tokens de ID. O Qlik Cloud oferece duas opções:

RS256 (padrão)
RS512

Selecione o algoritmo com base em suas necessidades de segurança.

Verificação e descriptografia de assinatura de token

Gere pares de chaves para verificar assinaturas e descriptografar JSON Web Tokens (JWT) criptografados. Para obter instruções detalhadas, consulte Gerenciando pares de chaves para tokens de ID assinados e criptografados.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Deixe seu feedback aqui