Настройка Okta в качестве поставщика удостоверений SAML
В этом разделе описывается, как настроить Okta в качестве поставщика удостоверений для Qlik Cloud.
Настройка приложения SAML в Okta
В качестве первого шага необходимо настроить приложение SAML в Okta, чтобы сделать клиент Qlik Cloud доверенным поставщиком услуг (SP).
Выполните следующие действия.
-
В консоли администрирования Okta Admin Console выберите Applications (Приложения) > Applications (Приложения).
-
Щелкните Create App Integration (Создать интеграцию приложения).
-
В поле Sign-in method (Метод входа в систему) выберите SAML 2.0 и нажмите кнопку Next (Далее).
-
Введите общие сведения об интеграции на свое усмотрение, затем нажмите кнопку Next (Далее).
-
В области SAML Settings (Параметры SAML) введите следующую информацию:
Параметр Значение Single-sign on URL (URL единого входа) Первоначальное имя хоста клиента, в конце которого добавлен путь /login/saml. Audience URI (SP Entity ID) (URI аудитории (ИД объекта поставщика услуг)) Первоначальное имя хоста клиента (без добавления пути и конечной косой черты) Формат идентификатора имени UNSPECIFIED -
В области Attribute Statements (Операторы атрибутов) добавьте операторы атрибутов для имени и адреса электронной почты.
Введите следующую информацию:Имя Формат имени Значение имя UNSPECIFIED ${user.firstName} ${user.lastName}
email UNSPECIFIED user.email Примечание к подсказкеOkta поддерживает выражения в форматировании строки для интеграции нескольких значений в один атрибут. Рекомендованное здесь значение объединяет имя и фамилию в атрибут name. -
В области Group Attribute Statements (Операторы атрибутов группы) добавьте оператор атрибутов для групп.
Введите следующую информацию:Имя Формат имени Фильтр Значение group UNSPECIFIED Matches regex .+ Примечание к подсказкеРекомендованные здесь фильтр и значение извлекают все группы пользователей. Фильтр можно настроить так, чтобы возвращались только специфические поднаборы групп на основе предпочтений. -
Чтобы завершить настройку Okta, выберите I'm an Okta customer adding an internal app (Я пользователь Okta и добавляю внутреннее приложение) и This is an internal app that we have created (Это внутреннее приложение, созданное нами), затем нажмите кнопку Finish (Готово).
Когда приложение создано, необходимо выполнить еще два действия в Okta:
-
Загрузите метаданные поставщика удостоверений: для этого вам должны предоставить URL метаданных. Если URL нет, его можно найти на вкладке Sign On (Вход) приложения. Скопируйте и откройте URL в браузере, затем сохраните страницу как файл для дальнейшего использования. (Если используется Chrome, щелкните правой кнопкой страницу и выберите Сохранить как.)
-
Добавьте пользователей и группы: на вкладке Assignments (Назначения) добавьте пользователей и группы, которым разрешено выполнять вход в клиент Qlik Cloud.
Создание конфигурации поставщика удостоверений в Qlik Cloud
Выполните вход в Qlik Cloud в качестве администратора клиента, чтобы настроить конфигурацию поставщика удостоверений.
Выполните следующие действия.
-
В центре активности Qlik Cloud Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.
-
В поле Тип выберите SAML.
-
В поле Поставщик выберите Okta.
-
Также можно ввести описание для конфигурации поставщика удостоверений.
-
Установите флажок Использовать метаданные IdP.
-
В поле Метаданные SAML IdP щелкните Загрузить файл и выберите файл метаданных, загруженный при настройке Okta.
-
Щелкните Создать.
-
В диалоговом окне Создание интерактивного поставщика удостоверений снимите флажок Проверить IdP, затем нажмите кнопку Создать.
Это создает конфигурацию поставщика удостоверений без немедленной проверки. Проверка будет выполняться на более позднем этапе.Примечание к информацииПри необходимости можно выполнить проверку сейчас. Однако рекомендуется сначала выполнить инструкции следующего раздела и загрузить файл сертификата в Okta.
Настройка проверки подписи запроса SAML
Загрузите сертификат подписи запроса SAML для Qlik Cloud и загрузите его в Okta.
Выполните следующие действия.
-
В центре активности Qlik Cloud Администрирование перейдите в раздел Поставщики удостоверений.
-
В конфигурации поставщика удостоверений SAML щелкните и выберите Просмотреть конфигурацию поставщика.
-
Выберите Загрузить сертификат подписи, затем нажмите кнопку Готово.
Вернитесь к приложению SAML в Okta.
Выполните следующие действия.
-
В Okta перейдите на вкладку General (Общие) приложения.
-
На панели SAML Settings (Параметры SAML) щелкните Edit (Редактировать).
-
Нажмите кнопку Next (Далее), чтобы открыть окно Configure SAML (Настройка SAML).
-
На панели SAML Settings (Параметры SAML) щелкните Show Advanced Settings (Показать расширенные параметры).
-
Рядом с элементом Signature Certificate (Сертификат подписи) щелкните Browse files (Обзор файлов) и загрузите сертификат подписи.
После успешной загрузки Okta показывает подробные сведения о сертификате.
-
Рядом с элементом Signed Requests (Подписанные запросы) установите флажок Validate SAML requests with signature certificates (Проверять запросы SAML с сертификатами подписи).
-
Нажмите кнопку Next (Далее), чтобы продолжить процесс настройки Okta и сохранить изменения.
Служба Okta сейчас настроена для проверки подписей запросов SAML. Вернитесь в Qlik Cloud, чтобы начать проверку.
Проверка поставщика удостоверений в Qlik Cloud
После успешной настройки Okta можно выполнить проверку поставщика удостоверений в Qlik Cloud.
Выполните следующие действия.
-
В центре активности Qlik Cloud Администрирование перейдите в раздел Поставщики удостоверений.
-
Рядом с конфигурацией поставщика удостоверений SAML щелкните и выберите Проверить.
-
Следуйте инструкциям мастера проверки, чтобы выполнить вход в качестве пользователя, добавленного в приложение Okta. Проверьте правильность данных профиля пользователя.
Будет предоставлена возможность повысить пользователя до администратора клиента Qlik Cloud и активировать поставщика удостоверений. Обратите внимание, что при активации поставщика удостоверений деактивируется ранее настроенный интерактивный поставщик удостоверений в клиенте.