Skapa och hantera OAuth-klienter

OAuth är ett standardiserat säkerhetsprotokoll för auktorisering och delegering. Det gör att tredjepartsprogram kan komma åt API-resurser utan att röja slutanvändarens inloggningsuppgifter. En OAuth-klient kan hämta en auktoriseringskod och utväxla den mot en åtkomsttoken som kan användas för att nå Qlik Cloud-innehåll genom API:er.

Offentliga och konfidentiella klienter

OAuth har två typer av klienter, offentliga klienter och konfidentiella klienter, för att skydda auktoriseringen mellan en applikation (klienten) och auktoriseringsservern (Qlik Cloud).

Offentliga klienter

Offentliga klienter är applikationer som inte använder klienthemligheten eftersom de inte kan bevara konfidentialiteten för de inloggningsuppgifter som krävs. Offentliga klienter i Qlik Cloud är ofta frontend-applikationer som t.ex. applikationer med endast en sida med inbäddad analys eller ett anpassat visualiseringskomplement i Qlik Sense som kräver information om slutanvändaren för att stödja applikationens livscykel.

Se : RFC 6749 Avsnitt 2.1: OAuth 2.0-klienttyper.

Qlik Cloud har stöd för konfidentiella klienter för traditionella webbapplikationer (serverbaserade), och offentliga klienter för interna applikationer och applikationer med en sida som använder specifika typer av beviljanden.

Konfidentiella klienter

En konfidentiell klient är en applikation som lagrar ett klient-ID och en klienthemlighet på ett säkert sätt utan att exponera dessa för obehöriga parter. Konfidentiella klienter kan ha åtkomst till skyddade resurser eftersom de har klienthemligheten. Ett exempel på en konfidentiell klient är en webbapplikation med en säker backend som interagerar med API:er i Qlik Cloud för att organisera datauppdateringsuppgifter eller hantera användaråtkomst till innehåller.

Typer av auktoriseringar

Qlik har stöd för två typer av auktoriseringar, eller flöden: Flöde för auktoriseringskod och Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE). Dessa flöden liknar varandra, men de stödjer olika användarfall.

Flöde för auktoriseringskod

Traditionella webbapplikationer är serverbaserade applikationer där källkoden inte exponeras offentligt, därför kan de använda flödet för auktoriseringskod, som byter ut en auktoriseringskod mot ett token. Webbapplikationer som använder det här flödet måste vara serverbaserade eftersom applikationens klienthemlighet skickas till auktoriseringsservern vid bytet till ett token.

Se: Flöde för auktoriseringskod för mer information.

Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE)

Interna applikationer och appar med en sida kan inte lagra en klienthemlighet eftersom deras källkod är tillgänglig genom att dekompilera appen eller visa appens källkod i en webbläsare. PKCE lägger till ett extra lager för skydd av offentliga klienter genom att kräva användning av en kodverifierare för att få ett åtkomsttoken.

Se: Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE) för mer information.

Begränsa tillgängliga omfattningar för OAuth-klienter

OAuth-omfattningar är ett sätt att begränsa den grad av åtkomst som beviljas för OAuth-klientappar. En åtkomsttoken som utfärdas till en klientapp kan t.ex. ge fullständig åtkomst till skyddade resurser eller bara läsbehörighet.

I Qlik Cloud är omfattningar ett sätt att kontrollera klienternas tillgång till tillgängliga funktioner och resurser. Varje omfattning ger olika nivåer av åtkomst. Klienter utan omfattningar kommer inte att kunna komma åt några resurser.

Skapa en OAuth-klient

OAuth-klienter administreras av huvudadministratörer från OAuth-sidan i Hanteringskonsol.

Med hjälp av en OAuth-klient kan du integrera ditt klientprogram med Qlik Cloud.

Läs i Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel för att ta reda på hur du skapar en OAuth-klient för distribution och installation av Qlik-tillägget för Microsoft Excel.

Gör följande:

1. I Hanteringskonsol går du till OAuth.

2. Klicka på Skapa ny.

3. Välj en klienttyp.

   Använd Webb för konfidentiella klienter och app med en sida eller Intern för offentliga klienter.

4. I dialogen ger du OAuth-klienten ett namn.

5. Du kan även lägga till en beskrivning.

6. Välj någon av de tillgängliga omfattningarna, antingen genom att bläddra eller använda sökfältet.

   Omfattning	Behörighet
   user_default	Fullständig åtkomst till ditt konto och innehåll
   admin_classic	Fullständig administratörsåtkomst till din klientorganisation Se även: Driftsätt och administrera Qlik Cloud Anteckning om informationStöds inte med klienttyperna App med en sida och Intern.
   admin.apps	Läsa och hantera alla appar i klientorganisationen. Se även: Hantera appar
   admin.apps:export	Exportera alla appar i klientorganisationen Se även: Exportera appar
   admin.apps:read	Läs alla appar i klientorganisationen
   admin.automations	Läs och hantera alla automatiseringar i klientorganisationen Se även: Hantera automatiseringar
   admin.automations:read	Läs alla automatiseringar i klientorganisationen
   admin.spaces	Läs och hantera alla utrymmen i klientorganisationen Se även: Hantera utrymmen
   admin.spaces:read	Läs alla utrymmen i klientorganisationen
   appar	Läs och hantera dina appar Se även: Hantera appar
   apps:export	Exportera dina appar Se även: Exportera appar
   apps:read	Läs dina appar
   automatiseringar	Läs och hantera dina automatiseringar Se även: Hantera automatiseringar
   automations:read	Läs dina automatiseringar
   automl-experiments	Läsa och hantera dina ML-experiment
   automl-deployments	Läsa och hantera dina ML-distributioner
   identity.email:read	Läs din e-postadress Se även: Identitetsleverantörer
   identity.name:read	Läs ditt fullständiga namn
   identity.picture:read	Läs din profilbild Se även: Identitetsleverantörer
   identity.subject:read	Läs din användares ämnesidentifierare
   spaces.data	Läsa och hantera dina datautrymmen Se även: Hantera utrymmen
   spaces.data:read	Läsa dina datautrymmen
   spaces.managed	Läsa och hantera dina hanterade utrymmen Se även: Hantera utrymmen
   spaces.managed:read	Läsa dina hanterade utrymmen
   spaces.shared	Läsa och hantera dina delade utrymmen Se även: Hantera utrymmen
   spaces.shared:read	Läsa dina delade utrymmen
   offline_access	Kom åt resurser när du är offline Anteckning om informationStöds inte med klienttypen App med en sida.

   Anteckning om informationDu kan använda knapparna Alla och Valda ovanför listan för att visa alla omfattningar eller bara valda omfattningar.
   Anteckning om informationOvanstående lista återspeglar de omfattningar som stöds i den initiala utgåvan. En fullständig lista över omfattningar - inklusive alla omfattningar som läggs till efter den initiala utgåvan - finns på Utvecklingsportalen för Qlik.

7. Ange en eller flera omdirigerings-URL:er för OAuth-klientprogrammet.

   Anteckning om tipsDet är till omdirigerings-URL:erna auktoriseringsservern skickar användarens webbläsare efter att autentiseringen har genomförts och behörighet till programmet har beviljats. Ett exempel är https://www.exampleapp.com/oauth/callback, där /oauth/callback hanterar autentiseringsreturanrop från OAuth-leverantören.

   Qlik Cloud dirigerar endast tillbaka användaren till programmet efter att auktoriseringen har utförts om dennas URL finns med i godkända-listan. URL:er måste börja med https:// såvida inte domänen är localhost då den kan börja med http://. Interna appar kan även använda applikationsspecifika länkformat, som exempelvis, exempelapp://.

   Lägg sedan till din omdirigerings-URL i godkända-listan genom att klicka på Lägg till.

8. För klienttyperna Webb eller App med en sida anger du ett eller flera tillåtna ursprung. Åtkomst till applikationen kommer endast att beviljas om URL:en läggs till i listan över tillåtna ursprung.

9. För klienttypen Webb kan du aktivera Tillåt Machine-to-Machine (M2M) eller Tillåt M2M-användarpersonifiering för automatiserad systemåtkomst utan användarinteraktion. Med M2M-personifiering kan dina appar agera på uppdrag av användare under autentisering.

10. Klicka på Skapa.

11. Klicka på Kopiera till Urklipp för att spara klient-ID och klienthemligheten för senare användning. Spara klienthemligheten på en säker plats. Klicka på Klart.

    Anteckning om informationOffentliga klienter kommer inte att ha någon klienthemlighet.

Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel

En OAuth-klientkonfigurering krävs för att installera Qlik-tillägget för Microsoft Excel. Tillägget används av rapportutvecklare för att förbereda rapportmallar som styr utmatningen av tabellrapporter från Qlik Sense-appen.

För att OAuth ska fungera i tillägget måste OAuth-klienten konfigureras med exakt den konfiguration som visas nedan.

Gör följande:

1. I Hanteringskonsol i Qlik Cloud går du till OAuth.

2. Klicka på Skapa ny.

3. I rullgardinsmenyn Klienttyp väljer du App med en sida. Fler fält kommer att visas.

4. Sätt in ett Namn. Beskrivning är valfritt.

5. Som minimum måste du välja kryssrutan som inkluderar user_default-omfattningen. Du kan inkludera andra omfattningar i konfigurationen, men utan user_default kommer inte installationen att fungera.

   Se Skapa en OAuth-klient för en fullständig beskrivning av varje tillgänglig omfattning.

6. I fältet Lägg till omdirigerings-URL anger du URL:en för din klientorganisationen följt av den fasta strängen: /office-add-ins/oAuthLoginSuccess.html

   Resultatet ska se ut så här: https://YourServer/office-add-ins/oAuthLoginSuccess.html

7. Klicka på Lägg till.

8. I fältet Lägg till tillåtna ursprung anger du URL:en till din klientorganisation och klickar på Lägg till.

9. Klicka på Skapa.

10. Fönstret Kopiera ditt Klient-ID visas. Du kan välja att kopiera klient-ID till urklipp eller klicka på Klar för att stänga fönstret.

När du har skapat OAuth-klienten hämtar du länken till den uppdaterade XML-manifestfilen från Hanteringskonsol. Gå till sidan Inställningar och navigera till Funktionskontroll > Exceltillägg i Hanteringskonsol. Använd den här länken för att distribuera och installera tillägget.

Mer information om att generera manifestfilen och om att distribuera och installera ett tillägg finns i:

• Distribuera och installera Qlik-tillägget för Microsoft Excel

• Hantera installationsmanifest till Qlik-tillägget för Microsoft Excel

Redigera en OAuth-klient

Du kan byta namn på en OAuth-klient, uppdatera beskrivningen eller hantera omdirigerings-URL:erna.

Gör följande:

1. I Hanteringskonsol går du till OAuth.
2. Välj OAuth-klienten som du vill redigera. Klicka på ... och välj sedan Redigera.
3. I dialogen ändrar du alternativen för OAuth-klienten efter behov.
4. Klicka på Spara.

Publicera en OAuth-klient

Skapade OAuth-klienter binds automatiskt till klientorganisationen som skapade dem. Du kan konfigurera att en OAuth-klient ska delas och vara tillgänglig för alla andra klientorganisationer inom en region. Tredjepartsprogram som ansluter till Qlik Cloud kan sedan använda samma klient-ID för alla Qlik Cloud-klientorganisationer. Programmets ägare kan rotera klienthemligheter och uppdatera konfigurationen utan att en huvudadministratör medverkar. Huvudadministratörer behöver inte hantera autentiseringsuppgifter eller känna till konfigurationens detaljer.

En OAuth-klient måste publiceras för att andra klientorganisationer ska kunna ansluta till den.

Gör följande:

1. I Hanteringskonsol går du till OAuth.
2. Välj OAuth-klienten som du vill publicera. Klicka på ... och välj sedan Publicera.
3. Klicka på Publicera.

När användare navigerar till en extern webbplats som använder Qlik OAuth uppmanas de att ange klientorganisationens värdnamn, och sedan även användarens inloggningsuppgifter om inte denna redan har en aktiv SaaS-session. Vid den första inloggningen med en extern OAuth-klient krävs samtycke från en huvudadministratör. När den har godkänts visas den nya OAuth-klienten i Hanteringskonsol.

Metod för samtycke

Det finns två alternativ för samtycke: Obligatoriskt och Betrott. Med obligatoriskt kommer auktorisering via OAuth-klienten att uppmana till samtycke varje gång en ny omfattning begärs för användaren. Med betrott får inte användaren någon uppmaning. Du kan bara använda Betrott för klienter som inte är publicerade. För publicerade klienter, är samtyckesmetoden alltid Obligatoriskt.

Visa och kopiera OAuth-konfigurationen

Gå till delavsnittet OAuth i Hanteringskonsol och välj Visa OAuth-konfiguration för att visa konfigurationen som ett kodavsnitt och en URL att kopiera.

Ta bort en OAuth-klient

Du kan ta bort en OAuth-klient när den inte längre behövs eller när du vill återkalla åtkomsten.

Gör följande:

1. I Hanteringskonsol går du till OAuth.

2. Välj OAuth-klienten som du vill ta bort och klicka sedan på Ta bort.

   Anteckning om informationDu kan ta bort fler än en OAuth-klient åt gången.
3. Bekräfta att du vill ta bort OAuth-klienten.

Hantera klienthemligheter

Du kan behöva lägga till eller radera en klienthemlighet, om till exempel en klienthemlighet blir röjd eller om din säkerhetspolicy har krav på regelbundna uppdateringar av klienthemligheten. Du kan också lägga till flera klienthemligheter för att förhindra driftstopp i programmet. Du kan till exempel skapa en andra hemlighet, distribuera den nya hemligheten i ditt klientprogram och därefter radera den gamla hemligheten.

Gör följande:

1. I Hanteringskonsol går du till OAuth.
2. Välj OAuth-klienten som du vill hantera. Klicka på ... och välj sedan Hantera hemligheter.
3. I dialogen gör du något av följande:
   • Om du vill lägga till en ny klienthemlighet klickar du på Generera ny klienthemlighet.
   • Om du vill radera en klienthemlighet klickar du på bredvid klienthemligheten.
4. Klicka på Stäng.

Bygga ett OAuth-klientprogram för att nå Qlik Cloud

När du har registrerat en OAuth-klient med Qlik Cloud kan du använda de associerade uppgifterna för klient-ID och klienthemlighet som finns i ditt eget OAuth-klientprogram. I avsnittet OAuth i Portal för utvecklare finns introduktionskurser för att bygga klientapplikationer med hjälp av några av de mest populära kodningsspråken.