Перейти к основному содержимому

Управление поставщиками удостоверения

НА ЭТОЙ СТРАНИЦЕ

Управление поставщиками удостоверения

В Qlik Sense Enterprise SaaS можно воспользоваться уже существующим поставщиком удостоверений (IdP) при настройке развертывания. Кроме того, можно воспользоваться Qlik Account. В Qlik Sense Business можно использовать только Qlik Account.

Примечание: Обзор действий по настройке поставщика удостоверений см. в разделе Настройка поставщиков удостоверений.

В этой теме описывается, как настроить поставщика удостоверений в Qlik Sense Enterprise SaaS. Также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения сведений об этой настройке см. следующие ресурсы:

Использование сайта Salesforce.com в качестве IDP для SaaS-выпуска Qlik Sense Enterprise (проверка подлинности OIDC)

Использование службы федерации Active Directory в качестве IDP для SaaS-выпуска Qlik Sense Enterprise

Инструкции: Настройка SaaS-выпуска Qlik Sense Enterprise для использования Azure AD в качестве IdP

Создание новой конфигурации поставщика удостоверений

Выполните следующие действия.

  1. В Management Console откройте раздел Поставщик удостоверений.

  2. Щелкните команду Создать.

    Откроется страница для создания конфигурации IdP.

  3. Выберите тип IdP:

    • Интерактивный для входа пользователей
    • Машина-машина (M2M) для API доступа
    • Многооблачная инфраструктура для ввода локального токена-носителя с целью создания конфигурации поставщика удостоверений описана в разделе MSC — развертывания (только английский язык)

  4. Выберите своего поставщика IdP. Выберите вариант Общий, если определенный IdP не доступен для выбора.

  5. Добавьте описание (необязательно).

  6. Заполните поля в разделе Учетные данные приложения:

    1. Первое поле представляет собой URL-ссылку на конечную точку, которая предоставляет информацию о конфигурации для клиентов OAuth с целью взаимодействия с IdP, используя протокол OpenID Connect. Может быть под разными именами:

      • ADFS: ADFS URL обнаружения
      • Auth0: Конфигурация OpenID
      • Keycloak: Конфигурация конечной точки Keycloak OpenID
      • Okta/Generic: URI метаданных OpenID Connect
      • Salesforce: Salesforce URL обнаружения

      Ручная конфигурация

      Иногда URL-адрес обнаружения недоступен или не предоставляет правильные метаданные. В этом случае вместо ввода URL-адреса конечной точки для извлечения метаданных следует ввести соответствующие данные в форму. Ручная конфигурация используется только тогда, когда не указан URL обнаружения.

      Выполните следующие действия.

      1. На панели Создать конфигурацию поставщика удостоверений выберите поставщика.

      2. Включите Ручная конфигурация.

        Это действие отключает поле конфигурации OpenID и включает поля для выполнения конфигурации вручную.

      3. Добавьте издателя, URL-адрес для поставщика удостоверений.

      4. Добавьте конечную точку авторизации, URL-адрес для взаимодействия с владельцем ресурса, где пользователь получает авторизацию для доступа к ресурсу.

      5. Добавьте конечную точку токена, URL-адрес для получения токена доступа.

      6. Добавьте конечную точку информации о пользователе, URL-адрес для получения сведений о пользователе.

      7. Добавьте JWKS URI, URI в JSON Web Key Set с общедоступными ключами, используемыми для проверки JSON Web Token (JWT).

      8. Дополнительно добавьте конечную точку завершения сеанса, URL-адрес, используемый для запуска единого выхода.

      9. Дополнительно добавьте конечную точку самоанализа, URL-адрес для проверки ссылочных токенов или JWT.

      10. Заполните поля в разделе Сопоставление утверждений.

        Утверждения представляют собой операторы (пары имя/значение), относящиеся к сущности (во многих случаях это пользователь), и метаданные, относящиеся к службе OpenID Connect. Для каждого утверждения можно использовать несколько значений, разделенных запятыми.

        • sub, name, groups, email, client_id, picture, email_verified (дополнительно) для интерактивного взаимодействия и sub и client_id для взаимодействия типа машина-машина.
          Групповое утверждение необходимо для получения групп.

      11. Поставщики удостоверений должны добавить URL-адрес клиента в список разрешений. Эта настройка может называться по-разному, например: Разрешенные адреса возврата (Allowed Callback URLs), Адрес переадресации (Redirect URI) или Адрес переадресации входа (Login redirect URI).

        При включении адреса в список разрешений необходимо добавить к адресу клиента login/callback. Например: https://<tenant name>/login/callback.

        Примечание: При настройке адреса переадресации необходимо использовать исходное имя сервера, а не псевдоним имени сервера. Имя сервера находится здесь: Параметры > Клиент > Имя сервера.

    2. Идентификатор клиента (только для интерактивного): Идентификатор настроенного клиента в IdP для интерактивной проверки подлинности пользователя.

    3. Секрет клиента (только для интерактивного): Секрет клиента, настроенный в IdP.

    4. Область (дополнительно): Дайте имя, чтобы связать с IdP. Это то же самое, что и имя домена в Qlik Sense Enterprise on Windows, и оно используется для согласования имен в многооблачной инфраструктуре.

  7. Заполните поля в разделе Сопоставление утверждений.

    Утверждения представляют собой операторы (пары имя/значение), относящиеся к сущности (во многих случаях это пользователь), и метаданные, относящиеся к службе OpenID Connect. Для каждого утверждения можно использовать несколько значений, разделенных запятыми.

    • sub, name, groups, email, client_id, picture, email_verified (дополнительно) для интерактивного взаимодействия и sub и client_id для взаимодействия типа машина-машина.
      Групповое утверждение необходимо для получения групп.

  8. Поставщики удостоверений должны добавить URL-адрес клиента в список разрешений. Эта настройка может называться по-разному, например: Разрешенные адреса возврата (Allowed Callback URLs), Адрес переадресации (Redirect URI) или Адрес переадресации входа (Login redirect URI).

    При включении адреса в список разрешений необходимо добавить к адресу клиента login/callback. Например: https://<tenant name>/login/callback.

    Примечание: При настройке адреса переадресации необходимо использовать исходное имя сервера, а не псевдоним имени сервера. Имя сервера находится здесь: Параметры > Клиент > Имя сервера.

Расширенные параметры

Расширенные параметры увеличивают возможности некоторых поставщиков удостоверений (IdP).

Переопределение «Электронная почта проверена»: применяется в ADFS и Azure AD для проверки того, что адрес электронной почты пользователя может использоваться для сопоставления удостоверения. Этот параметр полезен при смене IdP, а также в Management Console для различения двух пользователей с одинаковым именем.

Область: используется в спецификации OAuth 2.0 для задания права доступа при формировании токена доступа. Например, используйте этот параметр для добавления пространства групп в случае, если IdP требует, чтобы поддерживалась функциональность групп пользователей.

URI для перенаправления после выхода (дополнительно): используется для перенаправления пользователя по определенному URI после выхода.

Пример использования URI для перенаправления после выхода см.: IdP: Использование URI для перенаправления после выхода.

Включение автоматического создания групп

Параметр Включить автоматическое создание групп можно включить на странице Параметры в Management Console.

Groups are used for access control of users, and can optionally be automatically created from idp-groups.

Enable auto-creation of groups property
Property Description
Enable auto-creation of groups

When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time.

It is required that you use single sign-on and have administrative access to your IdP to configure groups.

Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier.

Выполните следующие действия.

  1. В Management Console перейдите на страницу Параметры.
  2. В разделе Группы включите Включить автоматическое создание групп.

Внесение изменений в существующую конфигурацию IdP

Можно внести изменения в существующую конфигурацию IdP.

Выполните следующие действия.

  1. В Management Console откройте раздел Поставщик удостоверений.

  2. В таблице в правом углу щелкните ... для IdP, которого нужно изменить.

    Появится подменю с параметрами для активации/деактивации, проверки, изменения и удаления IdP.

Активация/деактивация IdP

Параллельно можно настроить несколько различных интерактивных IdP, но только один из них является активным. Других необходимо деактивировать или удалить. При деактивации интерактивного IdP вы автоматически вернетесь к использованию конфигурации Qlik Account. Для получения дополнительной информации см. Удаление IdP.

Проверка IdP

Проверка выполняется автоматически при сохранении интерактивного IdP, но в случае необходимости можно также инициировать ее вручную, например после изменения IdP. Выберите Проверить, затем вы перейдете к поставщику удостоверений для входа в систему и ряда других шагов по проверке.

Изменение IdP

Можно изменять IdP любого типа. По завершении изменений проверьте их, чтобы убедиться в том, что IdP работает правильно. Параметр Проверить недоступен в конфигурациях «машина-машина».

Удаление IdP

В Qlik Sense Enterprise SaaS IdP по умолчанию — Qlik Account. Можно перейти на корпоративного IdP по вашему выбору. Если позже удалить корпоративного IdP, необходимо помнить о последствиях.

Предупреждение: Удаление поставщика удостоверений может привести к недоступности клиента для пользователей.

Если удалить корпоративного IdP, клиент возвращается назад к Qlik Account. Пользователи, которые обращаются к клиенту через удаленного корпоративного IdP, больше не смогут ни входить в систему, ни получать доступ к созданному ими содержимому. Однако их содержимое могут просматривать администраторы клиента Qlik Account, которые могут настроить владение.

Кроме того, если те пользователи ранее использовали Qlik Account с тем же адресом электронной почты, что и корпоративный IdP, какое-либо содержимое, созданное в течение периода использования Qlik Account, будет сохранено.

Примечание: Вместо удаления IdP можно деактивировать IdP. Затем клиент вернется к использованию Qlik Account.