Перейти к основному содержимому Перейти к дополнительному содержимому

SAML для интеграции с поставщиками удостоверений

Язык разметки заявлений безопасности (Security Assertion Markup Language, SAML) ― это открытый стандарт на основе XML для аутентификации и авторизации. Одно из основных преимуществ SAML заключается в том, что он обеспечивает возможность единого входа (SSO) и, тем самым, сводит к минимуму количество выполняемых пользователем входов в облачные приложения и веб-сайты.

В процессе аутентификации участвуют три объекта:

  • Пользователь инициирует доступ к приложению или службе.

  • Поставщик удостоверений (IdP) ― это доверенная система для аутентификации пользователей, например Microsoft Entra ID или Okta.

  • Поставщик услуг (SP) ― это приложение или служба, куда пытается выполнить вход пользователь, например Qlik Cloud.

Поставщик удостоверений выполняет аутентификацию пользователя и подтверждает его подлинность для поставщика услуг. Это осуществляется путем обмена документами XML с цифровой подписью, которые называются заявлениями SAML. Эти заявления содержат информацию о пользователе, его состоянии аутентификации, а также могут содержать дополнительные атрибуты. Затем поставщик услуг предоставляет пользователю доступ к своим услугам. Когда у поставщика удостоверений включен единый вход (SSO), пользователь может заходить на несколько сайтов поставщика услуг и в несколько приложений, не выполняя вход каждый раз.

Примечание о Qlik Cloud для правительстваПоставщики удостоверений на базе SAML не поддерживаются в Qlik Cloud для правительства.

Единый вход, инициированный поставщиком услуг и поставщиком удостоверений

SAML поддерживает процедуры входа в систему, инициированные поставщиком услуг (SP) или поставщиком удостоверений (IdP).

Когда единый вход инициируется поставщиком услуг, пользователь начинает процесс на сайте поставщика услуг, но вместо входа на самом сайте инициируется аутентификация SSO поставщиком удостоверений. Например, когда пользователь выполняет вход в Qlik Cloud (поставщик услуг), запрос на вход передается поставщику удостоверений, который фактически осуществляет аутентификацию SSO.

Когда единый вход инициируется поставщиком удостоверений, пользователь выполняет вход непосредственно в систему поставщика удостоверений и выбирает приложение, которое инициирует проверку подлинности SSO на сайте поставщика услуг.

Заявления

Заявления ― это операторы на основе XML, содержащие информацию об аутентификации и авторизации в стандартизированном формате. Они генерируются поставщиком удостоверений и проверяются поставщиком услуг.

При интеграции поставщик удостоверений должен настроить ваше приложение для безопасного обмена заявлениями SAML. Это подразумевает установление отношений доверия, URL конечных точек и обмен сертификатами.

Утверждения

Утверждения ― это фрагменты информации о пользователе, которые поставщик удостоверений включает в заявление и отправляет поставщику услуг в процессе аутентификации. SAML определяет набор стандартных утверждений, включая атрибуты пользователей, такие как имя и адрес электронной почты. Сопоставление утверждений можно изменять в зависимости от потребностей приложения.

Метаданные

Обмен метаданными между поставщиком удостоверений (IdP) и поставщиком услуг (SP) играет важную роль в установлении отношений доверия и обеспечения правильной работы протокола SAML.

Метаданные IdP

Для настройки поставщика услуг требуются метаданные поставщика удостоверений. В Qlik Cloud можно загрузить эту информацию в виде файлов метаданных поставщика удостоверений через центр активности Администрирование.

Метаданные поставщика удостоверений включают следующие сведения:

  • Идентификатор объекта поставщика удостоверений.

  • URL для единого входа. Это конечная точка, куда поставщик удостоверений отправляет запросы на аутентификацию SAML поставщику услуг. Это URL-адрес, на который пользователь перенаправляется для аутентификации.

  • Сертификат подписи используется поставщиком удостоверений для подписи заявлений SAML, отправляемых поставщику услуг.

Метаданные SP

Для настройки конфигурации на стороне поставщика удостоверений требуются метаданные поставщика услуг. Эту информацию можно получить через центр активности Администрирование в Qlik Cloud.

Метаданные поставщика услуг включают следующие сведения:

  • Идентификатор объекта поставщика услуг.

  • URL потребительской службы заявлений (Assertion Consumer Service, ACS). По этому адресу поставщик удостоверений отправляет заявления SAML после аутентификации.

  • Сертификат подписи используется поставщиком услуг для подписи запросов на аутентификацию, отправляемых поставщику удостоверений.

Подробнее

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!