Настройка Okta в качестве поставщика удостоверений SAML

В этом разделе описывается, как настроить Okta в качестве поставщика удостоверений для Qlik Cloud.

Настройка приложения SAML в Okta

В качестве первого шага необходимо настроить приложение SAML в Okta, чтобы сделать клиент Qlik Cloud доверенным поставщиком услуг (SP).

Выполните следующие действия.

1. В консоли администрирования Okta Admin Console выберите Applications (Приложения) > Applications (Приложения).

2. Щелкните Create App Integration (Создать интеграцию приложения).

3. В поле Sign-in method (Метод входа в систему) выберите SAML 2.0 и нажмите кнопку Next (Далее).

4. Введите общие сведения об интеграции на свое усмотрение, затем нажмите кнопку Next (Далее).

5. В области SAML Settings (Параметры SAML) введите следующую информацию:

   Параметр	Значение
   Single-sign on URL (URL единого входа)	Первоначальное имя хоста клиента, в конце которого добавлен путь /login/saml.
   Audience URI (SP Entity ID) (URI аудитории (ИД объекта поставщика услуг))	Первоначальное имя хоста клиента (без добавления пути и конечной косой черты)
   Формат идентификатора имени	UNSPECIFIED

   

6. В области Attribute Statements (Операторы атрибутов) добавьте операторы атрибутов для имени и адреса электронной почты.
   Введите следующую информацию:

   Имя	Формат имени	Значение
   имя	UNSPECIFIED	${user.firstName} ${user.lastName}
   email	UNSPECIFIED	user.email

   Примечание к подсказкеOkta поддерживает выражения в форматировании строки для интеграции нескольких значений в один атрибут. Рекомендованное здесь значение объединяет имя и фамилию в атрибут name.

   

7. В области Group Attribute Statements (Операторы атрибутов группы) добавьте оператор атрибутов для групп.
   Введите следующую информацию:

   Имя	Формат имени	Фильтр	Значение
   group	UNSPECIFIED	Matches regex	.+

   Примечание к подсказкеРекомендованные здесь фильтр и значение извлекают все группы пользователей. Фильтр можно настроить так, чтобы возвращались только специфические поднаборы групп на основе предпочтений.

   

8. Чтобы завершить настройку Okta, выберите I'm an Okta customer adding an internal app (Я пользователь Okta и добавляю внутреннее приложение) и This is an internal app that we have created (Это внутреннее приложение, созданное нами), затем нажмите кнопку Finish (Готово).

Когда приложение создано, необходимо выполнить еще два действия в Okta:

1. Загрузите метаданные поставщика удостоверений. Для этого должны предоставить URL метаданных. Если URL нет, его можно найти на вкладке Sign On (Вход) приложения. Скопируйте и откройте URL в браузере, затем сохраните страницу как файл для дальнейшего использования. (Если используется Chrome, щелкните правой кнопкой страницу и выберите Сохранить как.)

2. Добавьте пользователей и группы. На вкладке Assignments (Назначения) добавьте пользователей и группы, которым разрешено выполнять вход в клиент Qlik Cloud.

Создание конфигурации поставщика удостоверений в Qlik Cloud

Выполните вход в Qlik Cloud в качестве администратора клиента, чтобы настроить конфигурацию поставщика удостоверений.

Выполните следующие действия.

1. В Консоль управления перейдите в раздел Поставщик удостоверений и выберите Создать.

2. В поле Тип выберите SAML.

3. В поле Поставщик выберите Okta.

4. Также можно ввести описание для конфигурации поставщика удостоверений.

5. Установите флажок Использовать метаданные IdP.

6. В поле Метаданные SAML IdP щелкните Загрузить файл и выберите файл метаданных, загруженный при настройке Okta.

   

7. Щелкните Создать.

8. В диалоговом окне Создание интерактивного поставщика удостоверений снимите флажок Проверить IdP, затем нажмите кнопку Создать.
   Это создает конфигурацию поставщика удостоверений без немедленной проверки. Проверка будет выполняться на более позднем этапе.

   Примечание к информацииПри необходимости можно выполнить проверку сейчас. Однако рекомендуется сначала выполнить инструкции следующего раздела и загрузить файл сертификата в Okta.

Настройка проверки подписи запроса SAML

Загрузите сертификат подписи запроса SAML для Qlik Cloud и загрузите его в Okta.

Выполните следующие действия.

1. В консоли управления Qlik Cloud перейдите в раздел Поставщики удостоверений.

2. В конфигурации поставщика удостоверений SAML щелкните и выберите Просмотреть конфигурацию поставщика.

3. Выберите Загрузить сертификат подписи, затем нажмите кнопку Готово.

Вернитесь к приложению SAML в Okta.

Выполните следующие действия.

1. В Okta перейдите на вкладку General (Общие) приложения.

2. На панели SAML Settings (Параметры SAML) щелкните Edit (Редактировать).

3. Нажмите кнопку Next (Далее), чтобы открыть окно Configure SAML (Настройка SAML).

4. На панели SAML Settings (Параметры SAML) щелкните Show Advanced Settings (Показать расширенные параметры).

5. Рядом с элементом Signature Certificate (Сертификат подписи) щелкните Browse files (Обзор файлов) и загрузите сертификат подписи.

   После успешной загрузки Okta показывает подробные сведения о сертификате.

   

6. Рядом с элементом Signed Requests (Подписанные запросы) установите флажок Validate SAML requests with signature certificates (Проверять запросы SAML с сертификатами подписи).

7. Нажмите кнопку Next (Далее), чтобы продолжить процесс настройки Okta и сохранить изменения.

Служба Okta сейчас настроена для проверки подписей запросов SAML. Вернитесь в Qlik Cloud, чтобы начать проверку.

Проверка поставщика удостоверений в Qlik Cloud

После успешной настройки Okta можно выполнить проверку поставщика удостоверений в Qlik Cloud.

Выполните следующие действия.

1. В Консоль управления выберите Поставщики удостоверений.

2. Рядом с конфигурацией поставщика удостоверений SAML щелкните и выберите Проверить.

3. Следуйте инструкциям мастера проверки, чтобы выполнить вход в качестве пользователя, добавленного в приложение Okta. Проверьте правильность данных профиля пользователя.

   Будет предоставлена возможность повысить пользователя до администратора клиента Qlik Cloud и активировать поставщика удостоверений. Обратите внимание, что при активации поставщика удостоверений деактивируется ранее настроенный интерактивный поставщик удостоверений в клиенте.