Gå till huvudinnehåll Gå till ytterligare innehåll
Qlik-resurser

SAML för integrering med identitetsleverantörer

Security Assertion Markup Language (SAML) är en XML-baserad öppen standard för autentisering och auktorisering. En av de viktigaste fördelarna med SAML är att den gör det möjligt att använda enkel inloggning (SSO) och på så sätt minimerar antalet gånger en användare behöver logga in på molnapplikationer och webbplatser.

Tre entiteter är involverade i autentiseringsprocessen:

  • Användaren initierar åtkomst till ett program eller en tjänst.

  • Identitetsleverantören (IdP) är det betrodda systemet för användarautentisering, till exempel Microsoft Entra ID eller Okta.

  • Tjänsteleverantören (SP) är det program eller tjänst som användaren vill logga in på, till exempel Qlik Cloud.

Identitetsleverantören autentiserar användarens identitet för serviceleverantören. Detta sker genom att digitalt signerade XML-dokument benämnda SAML-försäkringar utbyts. Dessa försäkringar innehåller information om användaren, deras autentiseringsstatus och eventuella ytterligare attribut. Serviceleverantören kan sedan ge användaren tillgång till sina tjänster. Med SSO aktiverat hos identitetsleverantören kan användaren komma åt flera serviceleverantörers webbplatser och program utan att behöva logga in på varje webbplats.

SP-inledd och IdP-inledd SSO

SAML har stöd för inloggningsflöden som inleds av serviceleverantören (SP) eller identitetsleverantören (IdP).

Med SP-inledd SSO startar användaren på serviceleverantörens webbplats, men i stället för att logga in på webbplatsen inleds SSO-autentisering med identitetsleverantören. Om en användare exempelvis loggar in på Qlik Cloud (serviceleverantören) överförs inloggningen till identitetsleverantören som hanterar den faktiska SSO-autentiseringen.

Med IdP-inledd SSO loggar användaren in direkt på identitetsleverantören och väljer det program som inleder SSO-autentiseringen till serviceleverantören.

Försäkringar

Försäkringar är XML-baserade satser som innehåller information om autentisering och auktorisering i ett standardiserat format. De genereras av identitetsleverantören och verifieras av serviceleverantören.

När de integreras med identitetsleverantörer kan du behöva konfigurera ditt program så att de utbyter SAML-försäkringar på ett säkert sätt. I detta ingår att konfigurera förtroenderelationer, slutpunkts-URL:er och utbyte av certifikat.

Anspråk

Anspråk är uppgifter om en användare som försäkras av identitetsleverantören och skickas till tjänsteleverantören under autentiseringsprocessen. SAML definierar en uppsättning standardanspråk, inklusive användarattribut, t.ex. namn och e-post. Du kan redigera anspråksmappningen baserat på ditt programs krav.

Metadata

Utbytet av metadata mellan identitetsleverantören (IdP) och tjänsteleverantören (SP) är nödvändig för att en betrodd relation ska kunna upprättas och för att säkerställa att SAML-protokollet fungerar på avsett sätt.

IdP-metadata

Tjänsteleverantörens konfiguration måste innehålla metadata om identitetsleverantören. I Qlik Cloud kan du ladda upp denna information som IdP-metadatafiler via Hanteringskonsol.

Identitetsleverantörens metadata omfattar följande information:

  • Element-ID för identitetsleverantören.

  • URL till enkel inloggning (SSO). Detta är slutpunkten dit SAML-autentiseringsbegäran skickas av tjänsteleverantören till identitetsleverantören. Detta är den URL som användaren dirigeras om till för autentisering.

  • Signeringscertifikatet som identitetsleverantören använder för att signera SAML-försäkringar som den skickar till tjänsteleverantören.

SP-metadata

För att ställa in konfigurationen på identitetsleverantörssidan behöver du tjänsteleverantörens metadata. Du kan hämta denna information från Hanteringskonsol i Qlik Cloud.

Tjänsteleverantörens metadata omfattar följande information:

  • Serviceleverantörens element-ID.

  • URL för Assertion Consumer Service (ACS). Det är hit som identitetsleverantören skickar SAML-assertions efter autentisering.

  • Signeringscertifikatet som tjänsteleverantören använder för att signera autentiseringsbegäran som den skickar till identitetsleverantören.

RELATERAD INFORMATION:

Mer information

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!

Lämna din feedback här