Создание новой конфигурации поставщика удостоверений
Qlik Cloud предлагает конфигурацию поставщика удостоверений (IdP) для входа пользователей в систему, доступа к API, а также для настройки многооблачной инфраструктуры. Каждый клиент Qlik Cloud поддерживает одного интерактивного поставщика удостоверений, такого как Qlik Account, Microsoft Entra ID (ранее Azure AD), OKTA, Auth0 или другого поставщика удостоверений, совместимого с OpenID Connect (OIDC) или SAML (Security Assertion Markup Language ― язык разметки декларации безопасности).
Администраторы клиента могут создавать новые конфигурации IdP в центре активности Администрирование.
-
Чтобы обеспечить вход пользователей в систему, настройте интерактивного поставщика удостоверений. Выберите OIDC или SAML, в зависимости от того, какой стандарт поддерживается поставщиком удостоверений.
Примечание к информации-
В определенный момент времени может быть активен только один интерактивный поставщик удостоверений. Если выполняется развертывание пользовательского интерактивного поставщика удостоверений, процедура входа в Qlik Account будет заменена процессом аутентификации, определенным выбранным поставщиком удостоверений.
-
Обработку ошибок единого входа (SSO) для корпоративного IdP необходимо настроить через поставщика удостоверений. Qlik Cloud не поддерживает настройку резервного URL-адреса для перенаправления.
-
-
Для полностью интегрированного управления удостоверениям в многооблачной среде настройте многооблачного поставщика удостоверений с использованием локального токена носителя.
Создание новой конфигурации поставщика удостоверений OIDC
Администраторы клиента могут создавать новые конфигурации поставщиков удостоверений. В один момент времени может быть активным только один интерактивный поставщик удостоверений. Если один поставщик уже активен, его необходимо деактивировать, прежде чем активировать другого поставщика удостоверений. Для получения дополнительной информации см. Переключение корпоративных конфигураций IDP.
В этой теме описывается, как настроить поставщика удостоверений в Qlik Cloud. Также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения сведений об этой настройке см. следующие ресурсы:
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.
-
В поле Тип выберите OIDC.
-
В поле Поставщик выберите поставщика из списка или укажите Общий, если не удается найти там нужного поставщика.
-
Также можно ввести описание для конфигурации поставщика удостоверений.
-
В поле Учетные данные приложения можно ввести URL обнаружения. Если URL обнаружения недоступен или не предоставляет необходимых метаданных, также можно ввести индивидуальные значения вручную. К ручной настройке конфигурации следует прибегать, только когда не введен URL обнаружения.
Выполните одно из следующих действий:
-
Введите URL обнаружения. Это URL конечной точки, которая предоставляет данные конфигурации для клиентов OAuth с целью взаимодействия с поставщиком удостоверений посредством протокола OpenID Connect. Правила именования для URL обнаружения варьируются в зависимости от выбранного поставщика:
-
ADFS: URL обнаружения ADFS
-
Auth0: конфигурация OpenID
-
Keycloak: конфигурация конечной точки Keycloak OpenID
-
Okta или общий поставщик удостоверений: URI метаданных OpenID Connect
-
Salesforce: URL-адрес обнаружения Salesforce
-
или
-
Выберите Ручная конфигурация.
-
Введите следующие значения:
-
Конечная точка авторизации: URL для взаимодействия с владельцем ресурса, где осуществляется авторизация для доступа к ресурсу.
-
Конечная точка завершения сеанса (дополнительно): URL для инициирования единого выхода.
-
Конечная точка самоанализа (дополнительно): URL для проверки ссылочных токенов или токенов JWT.
-
Издатель: URL-ссылка на поставщика удостоверений.
-
URI JWKS: URI-ссылка на набор веб-ключей JSON, содержащий общедоступные ключи для верификации веб-токена JSON (JWT).
-
Конечная точка токена: URL для получения токена доступа.
-
Конечная точка информации о пользователе (дополнительно): URL для получения информации о пользователе.
-
-
-
Укажите идентификатор клиента: идентификатор настроенного клиента в поставщике удостоверений для интерактивной аутентификации пользователей.
-
Укажите секрет клиента: секрет для клиента, настроенного в поставщике удостоверений.
-
При желании укажите Область. Это имя, которое требуется связать с поставщиком удостоверений. Оно совпадает с именем домена в Qlik Sense Enterprise on Windows и используется для согласованности именования с многооблачной среде.
-
Заполните поля в области Сопоставление утверждений.
Утверждения представляют собой операторы (пары имя/значение), относящиеся к объекту (во многих случаях это пользователь), и метаданные, относящиеся к службе OpenID Connect. Сопоставления доступны для sub, name, groups, email, client_id, picture и email_verified (необязательно).
Примечание к информации-
В поля ввода можно ввести несколько искомых значений через запятую. Будет использовано первое найденное ненулевое значение.
-
Утверждение groups необходимо для получения групп. Обратите внимание, что вложенные группы не поддерживаются в Microsoft Entra ID.
-
-
Дополнительно можно настроить расширенные параметры. Для получения дополнительных сведений см. раздел Расширенные параметры.
-
Щелкните Создать.
В окне подтверждения предлагается возможность проверить конфигурацию поставщика удостоверений.
-
Чтобы выполнить проверку сейчас, установите флажок Проверить IdP и нажмите кнопку Создать. Это инициирует процесс проверки. Следуйте инструкциям мастера проверки, чтобы выполнить вход и убедиться в правильности данных профиля пользователя.
-
Если требуется создать конфигурацию сейчас, а проверку выполнить позднее, снимите флажок Проверить IdP и нажмите кнопку Создать. Чтобы выполнить проверку позже, щелкните на конфигурации поставщика удостоверений и выберите Проверить.
-
Добавление URL-адреса клиента в список разрешений поставщика удостоверений
Поставщики удостоверений должны добавить URL-адрес клиента в список разрешений. Эта настройка может называться по-разному, например: «Разрешенные адреса возврата» (Allowed Callback URLs), «Адрес переадресации» (Redirect URI) или «Адрес переадресации входа» (Login redirect URI).
Когда добавляется URL-адрес, необходимо прибавить login/callback к адресу клиента, например https://<имя_клиента>/login/callback.
Расширенные параметры
Расширенные параметры предоставляют дополнительные возможности для определенных поставщиков удостоверений.
Переопределение "Электронная почта проверена"
Включите этот параметр, чтобы всегда устанавливать для утверждения email_verified значение «истина». Это гарантирует, что адреса электронной почты могут быть использованы для сопоставления удостоверений в ADFS и Microsoft Entra ID. Это особенно полезно при переключении поставщиков удостоверений и помогает различать пользователей с одинаковыми именами в центре активности Администрирование.
Область
Области определяют привилегии доступа, которые запрашиваются при выдаче токена доступа, в соответствии со спецификацией OAuth 2.0. Введите значения, разделенные пробелами, чтобы указать разрешения, которые необходимо запросить у поставщика удостоверений. Например, включите область группы, если IdP требует, чтобы она поддерживала функциональность групп пользователей.
URI для перенаправления после выхода
Используйте это поле, чтобы указать URI, на который будут перенаправлены пользователи после выхода из системы. Для получения подробных инструкций см. раздел Использование URI для перенаправления после выхода.
Блокировать offline_access
При использовании Google Identity или OneLogin в качестве поставщика удостоверений включите этот параметр, чтобы блокировать передачу области offline_access поставщику удостоверений. Это гарантирует, что конфигурация будет корректно работать с Qlik Sense Mobile SaaS и приложениями OAuth 2.0.
Алгоритм подписи токена идентификатора
Алгоритм подписи RSA обеспечивает подлинность и целостность токенов идентификации. Qlik Cloud поддерживает два варианта:
-
RS256 (по умолчанию)
-
RS512
Выберите алгоритм, исходя из потребностей в безопасности.
Проверка и расшифровка подписи токена
Создайте пары ключей для проверки подписей и расшифровки зашифрованных веб-токенов JSON (JWT). Для получения подробных инструкций см. раздел Управление парами ключей для подписанных и зашифрованных токенов идентификации.
Создание новой конфигурации интерактивного поставщика удостоверений SAML
Администраторы клиента могут создавать новые конфигурации поставщиков удостоверений. В один момент времени может быть активным только один интерактивный поставщик удостоверений. Если один поставщик уже активен, его необходимо деактивировать, прежде чем активировать другого поставщика удостоверений. Для получения дополнительной информации см. Переключение корпоративных конфигураций IDP.
В этой теме описывается, как настроить поставщика удостоверений в Qlik Cloud. Также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения пошаговых инструкций по настройке см. следующие ресурсы:
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.
-
В поле Тип выберите SAML.
-
В поле Поставщик выберите поставщика из списка или укажите Общий, если не удается найти там нужного поставщика.
-
Также можно ввести описание для конфигурации поставщика удостоверений.
-
В области Конфигурация предоставляется возможность загрузить метаданные SAML в формате XML от поставщика удостоверений (IdP) или вручную ввести индивидуальные значения.
Выполните одно из следующих действий:
-
Установите флажок Использовать метаданные IdP.
-
Нажмите кнопку Загрузить файл в области Метаданные SAML IdP и выберите файл, содержащий метаданные от поставщика удостоверений. В качестве альтернативы, если метаданные поставщика удостоверений недоступны как файл, можно скопировать и вставить метаданные непосредственно в поле Метаданные IdP.
или
-
Нажмите кнопку Загрузить файл в области Сертификаты подписи, чтобы загрузить файл сертификата.
Этот сертификат используется поставщиком удостоверений для подписи заявлений SAML, отправляемых в Qlik Cloud. -
Введите Идентификатор объекта поставщика удостоверений.
-
URL единого входа:
это конечная точка, куда отправляются запросы на аутентификацию SAML. Это URL-адрес, на который пользователь перенаправляется для аутентификации.
-
Выберите Формат идентификатора имени.
-
-
При необходимости установите флажок Включить вход в систему, инициированный IdP.
Согласно стандартной процедуре входа в систему, пользователь сначала переходит на страницу Qlik Cloud, после чего перенаправляется на страницу поставщика удостоверений для аутентификации. Включите вход в систему, инициированный поставщиком удостоверений, если требуется, чтобы пользователь сначала выполнял вход в систему поставщика удостоверений, а затем перенаправлялся в Qlik Cloud.
-
Измените поля в разделе Сопоставление утверждений или оставьте значения по умолчанию.
Сопоставления утверждений определяют, как атрибуты пользователя от поставщика удостоверений связаны с полями в модели пользователей Qlik Cloud. Сопоставления доступны для sub, name, email, groups и picture. Скорректируйте значения в соответствии с потребностями организации и атрибутами от поставщика удостоверений.
Примечание к информации-
В поля ввода можно ввести несколько искомых значений через запятую. Будет использовано первое найденное ненулевое значение.
-
Утверждение groups необходимо для получения групп. Обратите внимание, что вложенные группы не поддерживаются в Microsoft Entra ID.
-
-
Также можно настроить URI для перенаправления после выхода в разделе Расширенные параметры.
Этот параметр служит для переадресации пользователя на определенный URI после выхода из системы. Для ознакомления с примером использования URI для перенаправления после выхода см. раздел Использование URI для перенаправления после выхода.
-
Щелкните Создать.
В окне подтверждения предлагается возможность проверить конфигурацию поставщика удостоверений.
Метаданные поставщика услуг SAML и сертификат подписи доступны только после создания конфигурации поставщика удостоверений. Если эта информация требуется для настройки поставщика удостоверений, можно завершить его создание без первичной проверки, и в дальнейшем выполнить проверку по окончании настройки конфигурации поставщика.
-
Чтобы выполнить проверку сейчас, установите флажок Проверить IdP и нажмите кнопку Создать. Это инициирует процесс проверки. Следуйте инструкциям мастера проверки, чтобы выполнить вход и подтвердить правильность данных профиля пользователя.
-
Если требуется создать конфигурацию сейчас, а проверку выполнить позднее, снимите флажок Проверить IdP и нажмите кнопку Создать. Чтобы выполнить проверку позже, щелкните на конфигурации поставщика удостоверений и выберите Проверить.
-
Загрузка метаданных поставщика услуг в службу поставщика удостоверений
Выполните следующие действия.
-
В центре активности Администрирование для только что созданной конфигурации поставщика удостоверений щелкните и выберите Просмотреть конфигурацию поставщика.
В диалоговом окне отображаются метаданные поставщика услуг и URL конечной точки метаданных.
-
В зависимости от конфигурации поставщика удостоверений загрузите метаданные или скопируйте URL-адрес и сохраните его для дальнейшего использования. При необходимости загрузите файл сертификата подписи. Щелкните Готово.
-
На странице поставщика удостоверений введите метаданные поставщика услуг. Обязательно настройте следующие обязательные настройки:
-
URL потребительской службы заявлений. По этому адресу поставщик удостоверений отправляет заявления SAML после аутентификации.
-
Идентификатор объекта поставщика услуг.
-
Сертификат для проверки запросов на аутентификацию. Поставщик удостоверений использует его для проверки подлинности поставщика услуг.
-
-
Когда настройка конфигурации поставщика удостоверений завершена, можно проверить ее правильность в центре активности Администрирование. Рядом с конфигурацией щелкните и выберите Проверить. Следуйте инструкциям мастера проверки, чтобы выполнить вход и убедиться в правильности данных профиля пользователя.
Включение автоматического создания групп
Группы служат для управления доступом пользователей, их можно автоматически создать из групп IDP. Если включено автоматическое создание групп, они наследуются от поставщика удостоверений. Поэтому доступ может быть предоставлен тем же группам пользователей, которые существуют в IDP. В результате этого упрощается управление доступом по сравнению с предоставлением доступа одному пользователю за раз.
Когда пользователь выполняет вход группы поставщика удостоверений динамически отображаются в Qlik Cloud. Импорт всех этих групп происходит не одновременно. Вместо этого, группы IDP обнаруживаются в процессе входа. Доступны только группы, связанные с пользователями Qlik Cloud.
Чтобы настроить группы, необходимо использовать систему единого входа и иметь административный доступ к IDP.
Выполните следующие действия.
- В центре активности Администрирование перейдите на страницу Параметры.
- В разделе Контроль функции установите флажок Создание групп.