Gå till huvudinnehåll

Hantera identitetsleverantörer

PÅ DEN HÄR SIDAN

Hantera identitetsleverantörer

I Qlik Sense Enterprise SaaS kan du använda en befintlig identitetsleverantör (IdP) när du konfigurerar din driftsättning. Du kan även välja att använda Qlik Account. I Qlik Sense Business kan du endast använda Qlik Account.

Observera: En översikt över hur du ställer in en identitetsleverantör finns i Konfigurera identitetsleverantörer.

Detta avsnitt beskriver hur du konfigurerar inställningarna för identitetsleverantören i Qlik Sense Enterprise SaaS. Du behöver även göra konfigurationsinställningar i identitetsleverantören. En genomgång av dessa konfigurationer får du i följande resurser:

Använda Salesforce.com som en IdP för Qlik Sense Enterprise SaaS (OIDC-autentisering)

Använda Active Directory Federation Services som en IdP för Qlik Sense Enterprise SaaS

Så här gör du: Konfigurera Qlik Sense Enterprise SaaS till att använda Azure AD som en IdP

Skapa ny konfiguration för identitetsleverantör

Gör följande:

  1. Öppna delavsnittet Identitetsleverantör i Management Console.

  2. Klicka på Skapa ny.

    Sidan för att skapa en IdP-konfiguration öppnas.

  3. Välj IdP-typ:

    • Interaktiv för inloggning av användare
    • Machine-to-Machine (M2M) för API-åtkomst
    • Multi-Cloud för att ange lokal ägartoken för att skapa konfiguration för identitetsleverantör, se MSC – driftsättningar (endast på engelska)

  4. Välj din IdP-leverantör. Välj Generisk om din specifika IdP inte finns med som alternativ.

  5. Ange en beskrivning (valfritt).

  6. Fyll i fälten i delavsnittet Programinloggningsuppgifter:

    1. Det första fältet är URL:en till den slutpunkt som förser OAuth-klienterna med konfigurationsinformation för gränssnitt till IdP med OpenID Connect-protokollet. Det går under olika namn:

      • ADFS: ADFS discovery URL
      • Auth0: OpenID-konfiguration
      • Keycloak: Konfiguration av slutpunkt för Keycloak OpenID
      • Okta/Generic: Metadata-URI för OpenID Connect
      • Salesforce: Salesforce discovery URL

      Manuell konfiguration

      Ibland finns det inte någon URL för upptäckt eller så ger den inte korrekta metadata. Istället för att ange en slutpunkts-URL för hämtning av metadata kan du ange motsvarande data i formuläret. Du använder endast manuell konfiguration om du inte har angett någon URL för upptäckt.

      Gör följande:

      1. Välj en leverantör i panelen Skapa konfiguration för identitetsleverantör.

      2. Aktivera manuell konfiguration.

        Detta inaktiverar konfigurationsfältet för OpenID och fälten för manuell konfiguration aktiveras.

      3. Lägg till Utfärdare, URL till identitetsleverantören.

      4. Lägg till Slutpunkt för auktorisering, URL för interaktion med resursägare, där du får auktorisering för åtkomst till resursen.

      5. Lägg till Slutpunkt för token, URL för att hämta åtkomsttoken.

      6. Lägg till Slutpunkt för användarinformation, URL för att hämta användarinformation.

      7. Lägg till JWKS URI, URI till JSON Web Key Set med offentliga nycklar som används för verifiering av JSON Web Token (JWT).

      8. Du kan även välja att lägga till Slutpunkt för sessionsavslut, URL som används för att utlösa en enkel utloggning.

      9. Du kan även välja att lägga till Slutpunkt för introspektion, URL för att validera referenstokens eller JWT.

      10. Fyll i fälten i avsnittet Anspråksmappning.

        Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Du kan använda flera värden för varje anspråk, avgränsade med kommatecken.

        • sub, name, groups, email, client_id, picture, email_verified (valfritt) för interaktiv mappning, samt sub och client_id för Machine-to-Machine.
          Gruppanspråk krävs för att du ska kunna ta emot grupper.

      11. Vid din identitetsleverantör inkluderar du URL:en för din klientorganisation i godkända-listan. Inställningen har olika namn, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

        När du lägger till ett ursprung i godkända-listan ska du lägga till login/callback i klientorganisationens adress. Exempel: https://<klientorganisationsnamn>/login/callback.

        Observera: Du måste använda det ursprungliga värdnamnet när du anger omdirigerings-URI, inte aliasvärdnamnet. Värdnamnet hittar du under Inställningar > Klientorganisation > Värdnamn.

    2. Client ID (endast för interaktiv): Den konfigurerade klientens ID i IdP för interaktiv användarautentisering.

    3. Client secret (endast för interaktiv): Hemlighet för klienten, konfigurerad i IdP.

    4. Realm (valfritt): Namn som associeras med IdP. Detta är samma som domännamnet i Qlik Sense Enterprise on Windows och används för namnkonsekvens i Multi-Cloud.

  7. Fyll i fälten i avsnittet Anspråksmappning.

    Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Du kan använda flera värden för varje anspråk, avgränsade med kommatecken.

    • sub, name, groups, email, client_id, picture, email_verified (valfritt) för interaktiv mappning, samt sub och client_id för Machine-to-Machine.
      Gruppanspråk krävs för att du ska kunna ta emot grupper.

  8. Vid din identitetsleverantör inkluderar du URL:en för din klientorganisation i godkända-listan. Inställningen har olika namn, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

    När du lägger till ett ursprung i godkända-listan ska du lägga till login/callback i klientorganisationens adress. Exempel: https://<klientorganisationsnamn>/login/callback.

    Observera: Du måste använda det ursprungliga värdnamnet när du anger omdirigerings-URI, inte aliasvärdnamnet. Värdnamnet hittar du under Inställningar > Klientorganisation > Värdnamn.

Avancerade alternativ

De avancerade alternativen utökar funktionerna för vissa IdP:er.

Åsidosätt verifiering av e-post: Används i ADFS och Azure AD för att säkerställa att en användares e-postadress kan användas för identitetsmappning. Det här alternativet är användbart när du byter IdP:er, men även i Management Console för att skilja mellan två användare som har exakt samma namn.

Omfattning: Används i OAuth 2.0-specifikationen för att ange åtkomstbehörigheter när en åtkomsttoken utfärdas. Det här alternativet kan du till exempel använda när du vill lägga till en gruppomfattning, om IdP:n kräver detta för att stödja en användargrupps funktion.

URI för omdirigering efter utloggning (valfritt): Används för att dirigera om en användare till en definierad URI efter utloggning.

Ett exempel på hur URI för omdirigering efter utloggning kan användas finns i: IdP: Använda omdirigerings-URI efter utloggning.

Aktivera att grupper skapas automatiskt

Aktivera att grupper skapas automatiskt aktiveras på sidan Inställningar i Management Console.

Groups are used for access control of users, and can optionally be automatically created from idp-groups.

Enable auto-creation of groups property
Property Description
Enable auto-creation of groups

When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time.

It is required that you use single sign-on and have administrative access to your IdP to configure groups.

Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier.

Gör följande:

  1. Gå till sidan Inställningar i Management Console.
  2. Slå på knappen Aktivera att grupper skapas automatiskt i delavsnittet Grupper.

Ändra en befintlig IdP-konfiguration

Du kan göra ändringar i en befintlig IdP-konfiguration.

Gör följande:

  1. Öppna delavsnittet Identitetsleverantör i Management Console.

  2. Längst till höger i tabellen klickar du på ... vid den IdP du vill redigera.

    Nu visas en undermeny med alternativ för att aktivera/inaktivera, validera, redigera och ta bort IdP:er.

Aktivera/inaktivera IdP:n

Du kan ha flera interaktiva IdP:er konfigurerade parallellt, men bara en kan vara aktiv vid varje tillfälle. Övriga måste inaktiveras eller tas bort. När du inaktiverar en interaktiv IdP återgår du automatiskt till Qlik Account-konfigurationen. Mer information finns i Ta bort IdP:n

Validera IdP:n

Validering sker automatiskt när en interaktiv IdP sparas, men om det behövs kan du även utlösa en aktivering manuellt, till exempel efter att du har redigerat IdP:n. När du väljer Validera tas du till identitetsleverantören för inloggning, och sedan följer andra valideringssteg.

Redigera IdP:n

Du kan redigera alla IdP-typer. Efter en redigering ska du validera ändringarna för att försäkra dig om att IdP:n fungerar korrekt. Alternativet Validera är inte tillgängligt för Machine-to-Machine-konfigurationer.

Ta bort IdP:n

I Qlik Sense Enterprise SaaS är Qlik Account standard-IdP. Du kan byta till valfri företags-IdP. Om du senare väljer att ta bort denna företags-IdP måste du vara medveten om konsekvenserna.

Varning: Om du tar bort en identitetsleverantör kan det göra klienten otillgänglig för användare.

När du tar bort en företags-IdP återställs klienten till Qlik Account. Användare som har åtkomst till klienten via borttagen företags-IdP kan inte längre logga in och de kan inte heller komma åt innehåll de skapat. Deras innehåll är emellertid synligt för huvudadministratörer för Qlik Account, som kan ändra ägare.

Om dessa användare tidigare använde Qlik Account med samma e-postadress som för företags-IdP:n, så bevaras allt innehåll som skapats under tiden med Qlik Account.

Observera: Istället för att ta bort IdP:n kan du inaktivera IdP:n. Klientorganisationen återgår då till Qlik Account.