Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik

Создание новой конфигурации поставщика удостоверений

Qlik Cloud предлагает конфигурацию поставщика удостоверений (IdP) для входа пользователей в систему, доступа к API, а также для настройки многооблачной инфраструктуры. Каждый клиент Qlik Cloud поддерживает одного интерактивного поставщика удостоверений, такого как Qlik Account, Microsoft Entra ID (ранее Azure AD), OKTA, Auth0 или другого поставщика удостоверений, совместимого с OpenID Connect (OIDC) или SAML (Security Assertion Markup Language ― язык разметки декларации безопасности).

Администраторы клиента могут создавать новые конфигурации IdP из Консоль управления.

  • Чтобы обеспечить вход пользователей в систему, настройте интерактивного поставщика удостоверений. Выберите OIDC или SAML, в зависимости от того, какой стандарт поддерживается поставщиком удостоверений.

    Примечание к информацииВ определенный момент времени может быть активен только один интерактивный поставщик удостоверений. Если выполняется развертывание пользовательского интерактивного поставщика удостоверений, процедура входа в Qlik Account будет заменена процессом аутентификации, определенным выбранным поставщиком удостоверений.

  • Для доступа к API выберите аутентификацию Машина-машина (M2M).

  • Для полностью интегрированного управления удостоверениям в многооблачной среде настройте многооблачного поставщика удостоверений с использованием локального токена носителя.

Создание новой конфигурации поставщика удостоверений OIDC

Администраторы клиента могут создавать новые конфигурации поставщиков удостоверений. В один момент времени может быть активным только один интерактивный поставщик удостоверений. Если один поставщик уже активен, его необходимо деактивировать, прежде чем активировать другого поставщика удостоверений. Для получения дополнительной информации см. Переключение корпоративных конфигураций IDP.

В этой теме описывается, как настроить поставщика удостоверений в Qlik Cloud. Также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения сведений об этой настройке см. следующие ресурсы:

Выполните следующие действия.

  1. В Консоль управления перейдите в раздел Поставщик удостоверений и выберите Создать.

  2. В поле Тип выберите OIDC.

  3. В поле Поставщик выберите поставщика из списка или укажите Общий, если не удается найти там нужного поставщика.

  4. Также можно ввести описание для конфигурации поставщика удостоверений.

  5. В поле Учетные данные приложения можно ввести URL обнаружения. Если URL обнаружения недоступен или не предоставляет необходимых метаданных, также можно ввести индивидуальные значения вручную. К ручной настройке конфигурации следует прибегать, только когда не введен URL обнаружения.

    Выполните одно из следующих действий:

    1. Введите URL обнаружения. Это URL конечной точки, которая предоставляет данные конфигурации для клиентов OAuth с целью взаимодействия с поставщиком удостоверений посредством протокола OpenID Connect. Правила именования для URL обнаружения варьируются в зависимости от выбранного поставщика:

      • ADFS: URL обнаружения ADFS

      • Auth0: Конфигурация OpenID

      • Keycloak: Конфигурация конечной точки Keycloak OpenID

      • Okta или общий поставщик удостоверений: URI метаданных OpenID Connect

      • Salesforce: URL-адрес обнаружения Salesforce

    или

    1. Выберите Ручная конфигурация.

    2. Введите следующие значения:

      • Конечная точка авторизации: URL для взаимодействия с владельцем ресурса, где осуществляется авторизация для доступа к ресурсу.

      • Конечная точка завершения сеанса (дополнительно): URL для инициирования единого выхода.

      • Конечная точка самоанализа (дополнительно): URL для проверки ссылочных токенов или токенов JWT.

      • Издатель: URL-ссылка на поставщика удостоверений.

      • URI JWKS: URI-ссылка на набор веб-ключей JSON, содержащий общедоступные ключи для верификации веб-токена JSON (JWT).

      • Конечная точка токена: URL для получения токена доступа.

      • Конечная точка информации о пользователе (дополнительно): URL для получения информации о пользователе.

    Конфигурация с использованием URL обнаружения и ручная конфигурация.

    Панели конфигурации, отображаемые с URL обнаружения и без него.

  6. Укажите идентификатор клиента: идентификатор настроенного клиента в поставщике удостоверений для интерактивной аутентификации пользователей.

  7. Укажите секрет клиента: секрет для клиента, настроенного в поставщике удостоверений.

  8. При желании укажите Область. Это имя, которое требуется связать с поставщиком удостоверений. Оно совпадает с именем домена в Qlik Sense Enterprise on Windows и используется для согласованности именования с многооблачной среде.

  9. Заполните поля в области Сопоставление утверждений.

    Утверждения представляют собой операторы (пары имя/значение), относящиеся к объекту (во многих случаях это пользователь), и метаданные, относящиеся к службе OpenID Connect. Сопоставления доступны для sub, name, groups, email, client_id, picture и email_verified (необязательно).

    Примечание к информации

    • В поля ввода можно ввести несколько искомых значений через запятую. Будет использовано первое найденное ненулевое значение.

    • Утверждение groups необходимо для получения групп. Обратите внимание, что вложенные группы не поддерживаются в Microsoft Entra ID.

  10. Дополнительно можно настроить расширенные параметры. Для получения дополнительных сведений см. раздел Расширенные параметры.

  11. Щелкните Создать.

    В окне подтверждения предлагается возможность проверить конфигурацию поставщика удостоверений.

    • Чтобы выполнить проверку сейчас, установите флажок Проверить IdP и нажмите кнопку Создать. Это инициирует процесс проверки. Следуйте инструкциям мастера проверки, чтобы выполнить вход и убедиться в правильности данных профиля пользователя.

    • Если требуется создать конфигурацию сейчас, а проверку выполнить позднее, снимите флажок Проверить IdP и нажмите кнопку Создать. Чтобы выполнить проверку позже, щелкните Дополнительно на конфигурации поставщика удостоверений и выберите Проверить.

    Проверка и создание конфигурации поставщиков удостоверений.

    Диалоговое окно подтверждения с установленным флажком «Проверить IdP»

Добавление URL-адреса клиента в список разрешений поставщика удостоверений

Поставщики удостоверений должны добавить URL-адрес клиента в список разрешений. Эта настройка может называться по-разному, например: «Разрешенные адреса возврата» (Allowed Callback URLs), «Адрес переадресации» (Redirect URI) или «Адрес переадресации входа» (Login redirect URI).

Когда добавляется URL-адрес, необходимо прибавить login/callback к адресу клиента, например https://<имя_клиента>/login/callback.

Примечание к информацииПри настройке URI-адреса переадресации используйте первоначальное имя сервера клиента, а не псевдоним имени сервера. Чтобы найти имя сервера, выберите Параметры > Клиент > Имя сервера в Консоль управления.

Расширенные параметры

Расширенные параметры обеспечивают дополнительные возможности для некоторых поставщиков удостоверений.

Переопределение «Электронная почта проверена»: используется в ADFS и в Microsoft Entra ID, чтобы адрес электронной почты пользователя можно было использовать для сопоставления удостоверений. Этот параметр полезен при переключении между поставщиками удостоверений, а также позволяет различать двух пользователей с одинаковыми именами в консоли управления.

Область: используется в спецификации OAuth 2.0 для указания привилегий доступа при выдаче токена доступа. Например, используйте этот параметр для добавления области групп, когда она необходима для того, чтобы поставщик удостоверений поддерживал группы пользователей.

URI для перенаправления после выхода: служит для переадресации пользователя на определенный URI после выхода. Для ознакомления с примером использования URI для перенаправления после выхода см. раздел Использование URI для перенаправления после выхода.

Блокировать передачу области 'offline_access' поставщику удостоверений: При использовании поставщика удостоверений Google Identity или OneLogin необходимо включить этот параметр, чтобы обеспечить работу конфигурации с приложениями Qlik Sense Mobile SaaS и OAuth 2.0.

Создание новой конфигурации интерактивного поставщика удостоверений SAML

Администраторы клиента могут создавать новые конфигурации поставщиков удостоверений. В один момент времени может быть активным только один интерактивный поставщик удостоверений. Если один поставщик уже активен, его необходимо деактивировать, прежде чем активировать другого поставщика удостоверений. Для получения дополнительной информации см. Переключение корпоративных конфигураций IDP.

В этой теме описывается, как настроить поставщика удостоверений в Qlik Cloud. Также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения пошаговых инструкций по настройке см. следующие ресурсы:

Выполните следующие действия.

  1. В Консоль управления перейдите в раздел Поставщик удостоверений и выберите Создать.

  2. В поле Тип выберите SAML.

  3. В поле Поставщик выберите поставщика из списка или укажите Общий, если не удается найти там нужного поставщика.

  4. Также можно ввести описание для конфигурации поставщика удостоверений.

  5. В области Конфигурация предоставляется возможность загрузить метаданные SAML в формате XML от поставщика удостоверений (IdP) или вручную ввести индивидуальные значения.

    Выполните одно из следующих действий:

    1. Установите флажок Использовать метаданные IdP.

    2. Нажмите кнопку Загрузить файл в области Метаданные SAML IdP и выберите файл, содержащий метаданные от поставщика удостоверений. В качестве альтернативы, если метаданные поставщика удостоверений недоступны как файл, можно скопировать и вставить метаданные непосредственно в поле Метаданные IdP.

    или

    1. Нажмите кнопку Загрузить файл в области Сертификаты подписи, чтобы загрузить файл сертификата.
      Этот сертификат используется поставщиком удостоверений для подписи заявлений SAML, отправляемых в Qlik Cloud.

    2. Введите Идентификатор объекта поставщика удостоверений.

    3. URL единого входа:

      это конечная точка, куда отправляются запросы на аутентификацию SAML. Это URL-адрес, на который пользователь перенаправляется для аутентификации.

    4. Выберите Формат идентификатора имени.

    Конфигурация с использованием метаданных и ручной конфигурации.

    Панели конфигурации, отображаемые с метаданными поставщика удостоверений и без них.

  6. При необходимости установите флажок Включить вход в систему, инициированный IdP.

    Согласно стандартной процедуре входа в систему, пользователь сначала переходит на страницу Qlik Cloud, после чего перенаправляется на страницу поставщика удостоверений для аутентификации. Включите вход в систему, инициированный поставщиком удостоверений, если требуется, чтобы пользователь сначала выполнял вход в систему поставщика удостоверений, а затем перенаправлялся в Qlik Cloud.

  7. Измените поля в разделе Сопоставление утверждений или оставьте значения по умолчанию.

    Сопоставления утверждений определяют, как атрибуты пользователя от поставщика удостоверений связаны с полями в модели пользователей Qlik Cloud. Сопоставления доступны для sub, name, email, groups и picture. Скорректируйте значения в соответствии с потребностями организации и атрибутами от поставщика удостоверений.

    Примечание к информации

    • В поля ввода можно ввести несколько искомых значений через запятую. Будет использовано первое найденное ненулевое значение.

    • Утверждение groups необходимо для получения групп. Обратите внимание, что вложенные группы не поддерживаются в Microsoft Entra ID.

  8. Также можно настроить URI для перенаправления после выхода в разделе Расширенные параметры.

    Этот параметр служит для переадресации пользователя на определенный URI после выхода из системы. Для ознакомления с примером использования URI для перенаправления после выхода см. раздел Использование URI для перенаправления после выхода.

  9. Щелкните Создать.

    В окне подтверждения предлагается возможность проверить конфигурацию поставщика удостоверений.

    Метаданные поставщика услуг SAML и сертификат подписи доступны только после создания конфигурации поставщика удостоверений. Если эта информация требуется для настройки поставщика удостоверений, можно завершить его создание без первичной проверки, и в дальнейшем выполнить проверку по окончании настройки конфигурации поставщика.

    • Чтобы выполнить проверку сейчас, установите флажок Проверить IdP и нажмите кнопку Создать. Это инициирует процесс проверки. Следуйте инструкциям мастера проверки, чтобы выполнить вход и подтвердить правильность данных профиля пользователя.

    • Если требуется создать конфигурацию сейчас, а проверку выполнить позднее, снимите флажок Проверить IdP и нажмите кнопку Создать. Чтобы выполнить проверку позже, щелкните Дополнительно на конфигурации поставщика удостоверений и выберите Проверить.

    Проверка и создание конфигурации поставщиков удостоверений.

    Диалоговое окно подтверждения с установленным флажком «Проверить IdP»

Загрузка метаданных поставщика услуг в службу поставщика удостоверений

Выполните следующие действия.

  1. В Консоль управления для только что созданной конфигурации поставщика удостоверений щелкните Дополнительно и выберите Просмотреть конфигурацию поставщика.

    В диалоговом окне отображаются метаданные поставщика услуг и URL конечной точки метаданных.

    Метаданные поставщика услуг.

    Диалоговое окно подтверждения с установленным флажком «Проверить IdP»

  2. В зависимости от конфигурации поставщика удостоверений скопируйте метаданные или URL и сохраните их для дальнейшего использования. При необходимости загрузите файл сертификата подписи. Нажмите Готово.

  3. На странице поставщика удостоверений введите метаданные поставщика услуг. Обязательно настройте следующие обязательные настройки:

    • URL потребительской службы заявлений. По этому адресу поставщик удостоверений отправляет заявления SAML после аутентификации.

    • Идентификатор объекта поставщика услуг.

    • Сертификат для проверки запросов на аутентификацию. Поставщик удостоверений использует его для проверки подлинности поставщика услуг.

  4. Когда настройка конфигурации поставщика удостоверений завершена, можно проверить ее правильность в Консоль управления. Рядом с конфигурацией щелкните Дополнительно и выберите Проверить. Следуйте инструкциям мастера проверки, чтобы выполнить вход и убедиться в правильности данных профиля пользователя.

Создание новой конфигурации поставщика удостоверений типа «машина-машина»

Чтобы настроить удостоверение поставщика типа «машина-машина», следуйте инструкциям в разделе Создание новой конфигурации поставщика удостоверений OIDC, но выберите тип поставщика Машина-машина (M2M).

Несколько настроек отличаются по сравнению с интерактивной конфигурацией OIDC: поля Идентификатор клиента и Секрет клиента неприменимы в этом контексте, и в разделе Сопоставление утверждений будут отображаться сопоставления только для sub и client_id.

Включение автоматического создания групп

Группы служат для управления доступом пользователей, их можно автоматически создать из групп IDP. Если включено автоматическое создание групп, они наследуются от поставщика удостоверений. Поэтому доступ может быть предоставлен тем же группам пользователей, которые существуют в IDP. В результате этого упрощается управление доступом по сравнению с предоставлением доступа одному пользователю за раз.

Когда пользователь выполняет вход группы поставщика удостоверений динамически отображаются в Qlik Cloud. Импорт всех этих групп происходит не одновременно. Вместо этого, группы IDP обнаруживаются в процессе входа. Доступны только группы, связанные с пользователями Qlik Cloud.

Чтобы настроить группы, необходимо использовать систему единого входа и иметь административный доступ к IDP.

Выполните следующие действия.

  1. В Консоль управления перейдите на страницу Параметры.
  2. В разделе Контроль функции установите флажок Создание групп.
СОПУТСТВУЮЩИЕ УЧЕБНЫЕ МАТЕРИАЛЫ:

Подробнее

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!

Оставьте свой отзыв здесь