Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik

Создание новой конфигурации поставщика удостоверений OIDC

В этой теме описывается, как настроить поставщика удостоверений в Qlik Cloud.

Настройка на стороне поставщика удостоверений

Помимо настройки параметров в Qlik Cloud, также необходимо выполнить настройку на стороне поставщика удостоверений. Для получения сведений об этой настройке см. следующие ресурсы:

Конфигурация в Qlik Cloud

Администраторы клиента могут создавать новые конфигурации поставщиков удостоверений.

Примечание к информацииВ один момент времени может быть активным только один интерактивный поставщик удостоверений. Если один поставщик уже активен, его необходимо деактивировать, прежде чем активировать другого поставщика удостоверений. Для получения дополнительной информации см. раздел Смена корпоративных поставщиков удостоверений.

Выполните следующие действия.

  1. В центре активности Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.

  2. В поле Тип выберите OIDC.

  3. В поле Поставщик выберите поставщика из списка или укажите Общий, если не удается найти там нужного поставщика.

  4. Также можно ввести описание для конфигурации поставщика удостоверений.

  5. В поле Учетные данные приложения можно ввести URL обнаружения. Если URL обнаружения недоступен или не предоставляет необходимых метаданных, также можно ввести индивидуальные значения вручную. К ручной настройке конфигурации следует прибегать, только когда не введен URL обнаружения.

    Выполните одно из следующих действий:

    1. Введите URL обнаружения. Это URL конечной точки, которая предоставляет данные конфигурации для клиентов OAuth с целью взаимодействия с поставщиком удостоверений посредством протокола OpenID Connect. Правила именования для URL обнаружения варьируются в зависимости от выбранного поставщика:

      • ADFS: URL обнаружения ADFS

      • Auth0: конфигурация OpenID

      • Keycloak: конфигурация конечной точки Keycloak OpenID

      • Okta или общий поставщик удостоверений: URI метаданных OpenID Connect

      • Salesforce: URL-адрес обнаружения Salesforce

    или

    1. Выберите Ручная конфигурация.

    2. Введите следующие значения:

      • Конечная точка авторизации: URL для взаимодействия с владельцем ресурса, где осуществляется авторизация для доступа к ресурсу.

      • Конечная точка завершения сеанса (дополнительно): URL для инициирования единого выхода.

      • Конечная точка самоанализа (дополнительно): URL для проверки ссылочных токенов или токенов JWT.

      • Издатель: URL-ссылка на поставщика удостоверений.

      • URI JWKS: URI-ссылка на набор веб-ключей JSON, содержащий общедоступные ключи для верификации веб-токена JSON (JWT).

      • Конечная точка токена: URL для получения токена доступа.

      • Конечная точка информации о пользователе (дополнительно): URL для получения информации о пользователе.

    Конфигурация с использованием URL обнаружения и ручная конфигурация.

    Панели конфигурации, отображаемые с URL обнаружения и без него.

  6. Укажите идентификатор клиента: идентификатор настроенного клиента в поставщике удостоверений для интерактивной аутентификации пользователей.

  7. Укажите секрет клиента: секрет для клиента, настроенного в поставщике удостоверений.

  8. При желании укажите Область. Это имя, которое требуется связать с поставщиком удостоверений. Оно совпадает с именем домена в Qlik Sense Enterprise on Windows и используется для согласованности именования с многооблачной среде.

  9. Заполните поля в области Сопоставление утверждений.

    Утверждения представляют собой операторы (пары имя/значение), относящиеся к объекту (во многих случаях это пользователь), и метаданные, относящиеся к службе OpenID Connect. Сопоставления доступны для sub, name, groups, email, client_id, picture и email_verified (необязательно).

    Примечание к информации

    • В поля ввода можно ввести несколько искомых значений через запятую. Будет использовано первое найденное ненулевое значение.

    • Утверждение groups необходимо для получения групп. Обратите внимание, что вложенные группы не поддерживаются в Microsoft Entra ID.

  10. Дополнительно можно настроить расширенные параметры. Для получения дополнительных сведений см. раздел Расширенные параметры.

  11. Щелкните Создать.

    В окне подтверждения предлагается возможность проверить конфигурацию поставщика удостоверений.

    • Чтобы выполнить проверку сейчас, установите флажок Проверить IdP и нажмите кнопку Создать. Это инициирует процесс проверки. Следуйте инструкциям мастера проверки, чтобы выполнить вход и убедиться в правильности данных профиля пользователя.

    • Если требуется создать конфигурацию сейчас, а проверку выполнить позднее, снимите флажок Проверить IdP и нажмите кнопку Создать. Чтобы выполнить проверку позже, щелкните Дополнительно на конфигурации поставщика удостоверений и выберите Проверить.

    Проверка и создание конфигурации поставщиков удостоверений.

    Диалоговое окно подтверждения с установленным флажком «Проверить IdP»

Добавление URL-адреса клиента в список разрешений поставщика удостоверений

Поставщики удостоверений должны добавить URL-адрес клиента в список разрешений. Эта настройка может называться по-разному, например: «Разрешенные адреса возврата» (Allowed Callback URLs), «Адрес переадресации» (Redirect URI) или «Адрес переадресации входа» (Login redirect URI).

Когда добавляется URL-адрес, необходимо прибавить login/callback к адресу клиента, например https://<имя_клиента>/login/callback.

Примечание к информацииПри настройке URI-адреса переадресации используйте первоначальное имя сервера клиента, а не псевдоним имени сервера. Имя сервера клиента можно найти в разделе О программе профиля пользователя.

Расширенные параметры

Расширенные параметры предоставляют дополнительные возможности для определенных поставщиков удостоверений.

Переопределение "Электронная почта проверена"

Включите этот параметр, чтобы всегда устанавливать для утверждения email_verified значение «истина». Это гарантирует, что адреса электронной почты могут быть использованы для сопоставления удостоверений в ADFS и Microsoft Entra ID. Это особенно полезно при переключении поставщиков удостоверений и помогает различать пользователей с одинаковыми именами в центре активности Администрирование.

Область

Области определяют привилегии доступа, которые запрашиваются при выдаче токена доступа, в соответствии со спецификацией OAuth 2.0. Введите значения, разделенные пробелами, чтобы указать разрешения, которые необходимо запросить у поставщика удостоверений. Например, включите область группы, если IdP требует, чтобы она поддерживала функциональность групп пользователей.

URI для перенаправления после выхода

Используйте это поле, чтобы указать URI, на который будут перенаправлены пользователи после выхода из системы. Для получения подробных инструкций см. раздел Использование URI для перенаправления после выхода.

Блокировать offline_access

При использовании Google Identity или OneLogin в качестве поставщика удостоверений включите этот параметр, чтобы блокировать передачу области offline_access поставщику удостоверений. Это гарантирует, что конфигурация будет корректно работать с Qlik Sense Mobile SaaS и приложениями OAuth 2.0.

Алгоритм подписи токена идентификатора

Алгоритм подписи RSA обеспечивает подлинность и целостность токенов идентификации. Qlik Cloud поддерживает два варианта:

  • RS256 (по умолчанию)

  • RS512

Выберите алгоритм, исходя из потребностей в безопасности.

Проверка и расшифровка подписи токена

Создайте пары ключей для проверки подписей и расшифровки зашифрованных веб-токенов JSON (JWT). Для получения подробных инструкций см. раздел Управление парами ключей для подписанных и зашифрованных токенов идентификации.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!

Оставьте свой отзыв здесь