Настройка служб федерации Active Directory в качестве поставщика удостоверений SAML
В этом разделе описано, как настроить службы федерации Active Directory (AD FS) в качестве поставщика удостоверений для Qlik Cloud.
Условия
Убедитесь, что установленные службы федерации Active Directory (AD FS) функционируют в полном объеме и в Active Directory (AD) создана группа пользователей.
Загрузка метаданных сервера AD FS
Получите метаданные для сервера AD FS, так как они потребуются позднее для настройки конфигурации в Qlik Cloud.
Загрузите файл метаданных по следующему URL-адресу:
Создание конфигурации поставщика удостоверений в Qlik Cloud
Выполните вход в Qlik Cloud в качестве администратора клиента, чтобы настроить конфигурацию поставщика удостоверений.
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.
-
В поле Тип выберите SAML.
-
В поле Поставщик выберите AD FS.
-
Также можно добавить описание для конфигурации поставщика удостоверений.
-
Установите флажок Использовать метаданные IdP.
-
В поле Метаданные SAML IdP щелкните Загрузить файл и выберите файл метаданных, загруженный из AD FS.
-
Щелкните Создать.
-
В диалоговом окне Создание интерактивного поставщика удостоверений снимите флажок Проверить IdP, затем нажмите кнопку Создать.
Это создает конфигурацию поставщика удостоверений без немедленной проверки. Проверка будет выполняться на более позднем этапе. -
Найдите файл только что созданной конфигурации поставщика удостоверений, щелкните и выберите Просмотреть конфигурацию поставщика.
Отображаются метаданные поставщика услуг.
-
Щелкните Загрузить метаданные, чтобы загрузить файл метаданных Qlik Cloud.
-
Щелкните Загрузить сертификат подписи, чтобы загрузить сертификат подписи Qlik Cloud.
Настройка приложения SAML в AD FS
Настройте приложение SAML в AD FS, чтобы сделать клиент Qlik Cloud доверенным поставщиком услуг (SP).
Выполните следующие действия.
-
Выполните вход на сервер Windows, где размещены службы AD FS, в учетную запись администратора.
-
Откройте приложение AD FS Management (Управление службами федерации AD).
-
Правой кнопкой щелкните Relying Party Trusts (Отношения доверия с проверяющей стороной) и выберите Add Relying Party Trust (Добавить отношение доверия с проверяющей стороной).
-
В окне Add Relying Party Trust Wizard (Мастер добавления отношений доверия с проверяющей стороной) выберите Claims aware (С учетом утверждений) и нажмите кнопку Start (Начать).
-
Установите флажок Import data about the relying party from a file (Импортировать данные о проверяющей стороне из файла). Укажите путь к файлу метаданных Qlik Cloud, сохраненному ранее, а затем нажмите кнопку Next (Далее).
-
Заполните поле Display name (Отображаемое имя), например Qlik Cloud, и нажмите кнопку Next (Далее), чтобы продолжить.
-
Выберите соответствующую политику управления доступом и нажмите кнопку Next (Далее). Нажмите кнопку Next (Далее), чтобы подтвердить конфигурацию.
-
Установите флажок Configure claims issuance policy for this application (Настроить политику выпуска утверждений для данного приложения) и нажмите кнопку Close (Закрыть).
-
В диалоговом окне Edit Claim Rules (Редактирование правил утверждения) щелкните Add Rule (Добавить правило).
-
Установите флажок Send LDAP Attributes as Claims (Отправлять атрибуты LDAP как утверждения) и нажмите кнопку Next.
-
Заполните поле Claim rule name (Имя правила утверждения) и выберите нужный вариант Attribute store (Хранилище атрибутов) в списке, например Active Directory.
-
Настройте следующие сопоставления (или персонализируйте их на основе специфических требований организации):
-
SAM-Account-Name ― Name ID (ИД имени)
-
Display-Name ― Name (Имя)
-
E-Mail-Addresses ― E-Mail Address (Адрес электронной почты)
-
Token-Groups - Unqualified Names (неквалифицированные имена) ― groups (группы)
-
-
Сохраните изменения.
-
Откройте Properties (Свойства) для проверяющей стороны Qlik Cloud и перейдите на вкладку Signature (Подпись).
-
Щелкните Add (Добавить), затем укажите путь к сертификату подписи Qlik Cloud, загруженному ранее.
-
Сохраните изменения.
Службы федерации AD FS сейчас настроены для проверки подписей запросов SAML. Вернитесь в Qlik Cloud, чтобы инициировать процесс проверки.
Проверка поставщика удостоверений в Qlik Cloud
После успешной настройки AD FS можно выполнить проверку поставщика удостоверений в Qlik Cloud.
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщики удостоверений.
-
Рядом с конфигурацией поставщика удостоверений AD FS щелкните и выберите Проверить.
-
Следуйте инструкциям мастера проверки, чтобы выполнить вход в качестве пользователя, добавленного в приложение AD FS. Проверьте правильность данных профиля пользователя.
Будет предоставлена возможность повысить пользователя до администратора клиента Qlik Cloud и активировать поставщика удостоверений. Обратите внимание, что при активации поставщика удостоверений деактивируется ранее настроенный интерактивный поставщик удостоверений в клиенте.