Gå till huvudinnehåll Gå till ytterligare innehåll

Skapa och hantera OAuth-klienter

OAuth är ett standardiserat säkerhetsprotokoll för auktorisering och delegering. Det gör att tredjepartsprogram kan komma åt API-resurser utan att röja slutanvändarens inloggningsuppgifter. En OAuth-klient kan hämta en auktoriseringskod och utväxla den mot en åtkomsttoken som kan användas för att nå Qlik Cloud-innehåll genom API:er.

Offentliga och konfidentiella klienter

OAuth har två typer av klienter, offentliga klienter och konfidentiella klienter, för att skydda auktoriseringen mellan en applikation (klienten) och auktoriseringsservern (Qlik Cloud).

Offentliga klienter

Offentliga klienter är applikationer som inte använder klienthemligheten eftersom de inte kan bevara konfidentialiteten för de inloggningsuppgifter som krävs. Offentliga klienter i Qlik Cloud är ofta frontend-applikationer som t.ex. applikationer med endast en sida med inbäddad analys eller ett anpassat visualiseringskomplement i Qlik Sense som kräver information om slutanvändaren för att stödja applikationens livscykel.

Se : RFC 6749 Avsnitt 2.1: OAuth 2.0-klienttyper.

Qlik Cloud har stöd för konfidentiella klienter för traditionella webbapplikationer (serverbaserade), och offentliga klienter för interna applikationer och applikationer med en sida som använder specifika typer av beviljanden.

Konfidentiella klienter

En konfidentiell klient är en applikation som lagrar ett klient-ID och en klienthemlighet på ett säkert sätt utan att exponera dessa för obehöriga parter. Konfidentiella klienter kan ha åtkomst till skyddade resurser eftersom de har klienthemligheten. Ett exempel på en konfidentiell klient är en webbapplikation med en säker backend som interagerar med API:er i Qlik Cloud för att organisera datauppdateringsuppgifter eller hantera användaråtkomst till innehåller.

Typer av auktoriseringar

Qlik har stöd för två typer av auktoriseringar, eller flöden: Flöde för auktoriseringskod och Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE). Dessa flöden liknar varandra, men de stödjer olika användarfall.

Flöde för auktoriseringskod

Traditionella webbapplikationer är serverbaserade applikationer där källkoden inte exponeras offentligt, därför kan de använda flödet för auktoriseringskod, som byter ut en auktoriseringskod mot ett token. Webbapplikationer som använder det här flödet måste vara serverbaserade eftersom applikationens klienthemlighet skickas till auktoriseringsservern vid bytet till ett token.

Anteckning om informationAtt dela klienthemligheten offentligt riskerar din klientorganisations säkerhet. Se alltid till att klienthemligheten för din applikation är säker och privat.

Se: Flöde för auktoriseringskod för mer information.

Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE)

Interna applikationer och appar med en sida kan inte lagra en klienthemlighet eftersom deras källkod är tillgänglig genom att dekompilera appen eller visa appens källkod i en webbläsare. PKCE lägger till ett extra lager för skydd av offentliga klienter genom att kräva användning av en kodverifierare för att få ett åtkomsttoken.

Se: Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE) för mer information.

Begränsa tillgängliga omfattningar för OAuth-klienter

OAuth-omfattningar är ett sätt att begränsa den grad av åtkomst som beviljas för OAuth-klientappar. En åtkomsttoken som utfärdas till en klientapp kan t.ex. ge fullständig åtkomst till skyddade resurser eller bara läsbehörighet.

I Qlik Cloud är omfattningar ett sätt att kontrollera klienternas tillgång till tillgängliga funktioner och resurser. Varje omfattning ger olika nivåer av åtkomst. Klienter utan omfattningar kommer inte att kunna komma åt några resurser.

Skapa en OAuth-klient

OAuth-klienter administreras av klientorganisationsadministratörer från aktivitetscentret för Administration på OAuth-sidan.

Med hjälp av en OAuth-klient kan du integrera ditt klientprogram med Qlik Cloud.

Läs i Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel för att ta reda på hur du skapar en OAuth-klient för distribution och installation av Qlik-tillägget för Microsoft Excel.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration.

  2. Klicka på Skapa ny.

  3. Välj en klienttyp.

    Använd Webb för konfidentiella klienter och app med en sida eller Intern för offentliga klienter.

  4. I dialogen ger du OAuth-klienten ett namn.

  5. Du kan även lägga till en beskrivning.

  6. Välj någon av de tillgängliga omfattningarna, antingen genom att bläddra eller använda sökfältet.

    Omfattning Behörighet
    user_default Fullständig åtkomst till ditt konto och innehåll
    admin_classic

    Fullständig administratörsåtkomst till din klientorganisation

    Se även: Driftsätt och administrera Qlik Cloud

    Anteckning om informationStöds inte med klienttyperna App med en sida och Intern.
    admin.apps

    Läsa och hantera alla appar i klientorganisationen.

    Se även: Hantera appar

    Indikerar ett underordnat objekt admin.apps:export

    Exportera alla appar i klientorganisationen

    Se även: Exportera appar

    Indikerar ett underordnat objekt admin.apps:read

    Läs alla appar i klientorganisationen
    admin.automations

    Läs och hantera alla automatiseringar i klientorganisationen

    Se även: Hantera automatiseringar

    Indikerar ett underordnat objekt admin.automations:read

    Läs alla automatiseringar i klientorganisationen
    admin.spaces

    Läs och hantera alla utrymmen i klientorganisationen

    Se även: Hantera utrymmen

    Indikerar ett underordnat objekt admin.spaces:read

    Läs alla utrymmen i klientorganisationen
    appar

    Läs och hantera dina appar

    Se även: Hantera appar

    Indikerar ett underordnat objekt apps:export

    Exportera dina appar

    Se även: Exportera appar

    Indikerar ett underordnat objekt apps:read

    Läs dina appar
    automatiseringar

    Läs och hantera dina automatiseringar

    Se även: Hantera automatiseringar

    Indikerar ett underordnat objekt automations:read

    Läs dina automatiseringar
    automl-experiments Läsa och hantera dina ML-experiment
    automl-deployments Läsa och hantera dina ML-distributioner
    identity.email:read

    Läs din e-postadress

    Se även: Identitetsleverantörer i Qlik Cloud

    identity.name:read

    Läs ditt fullständiga namn
    identity.picture:read

    Läs din profilbild

    Se även: Identitetsleverantörer i Qlik Cloud

    identity.subject:read

    Läs din användares ämnesidentifierare
    spaces.data

    Läsa och hantera dina datautrymmen

    Se även: Hantera utrymmen

    Indikerar ett underordnat objekt spaces.data:read

    Läsa dina datautrymmen
    spaces.managed

    Läsa och hantera dina hanterade utrymmen

    Se även: Hantera utrymmen

    Indikerar ett underordnat objekt spaces.managed:read

    Läsa dina hanterade utrymmen
    spaces.shared

    Läsa och hantera dina delade utrymmen

    Se även: Hantera utrymmen

    Indikerar ett underordnat objekt spaces.shared:read

    Läsa dina delade utrymmen
    offline_access

    Kom åt resurser när du är offline

    Anteckning om informationStöds inte med klienttypen App med en sida.
    Anteckning om informationDu kan använda knapparna Alla och Valda ovanför listan för att visa alla omfattningar eller bara valda omfattningar.
    Anteckning om informationOvanstående lista återspeglar de omfattningar som stöds i den initiala utgåvan. En fullständig lista över omfattningar - inklusive alla omfattningar som läggs till efter den initiala utgåvan - finns på Utvecklingsportalen för Qlik.
  7. Ange en eller flera omdirigerings-URL:er för OAuth-klientprogrammet.

    Anteckning om tipsDet är till omdirigerings-URL:erna auktoriseringsservern skickar användarens webbläsare efter att autentiseringen har genomförts och behörighet till programmet har beviljats. Ett exempel är https://www.exampleapp.com/oauth/callback, där /oauth/callback hanterar autentiseringsreturanrop från OAuth-leverantören.

    Qlik Cloud dirigerar endast tillbaka användaren till programmet efter att auktoriseringen har utförts om dennas URL finns med i godkända-listan. URL:er måste börja med https:// såvida inte domänen är localhost då den kan börja med http://. Interna appar kan även använda applikationsspecifika länkformat, som exempelvis, exempelapp://.

    Lägg sedan till din omdirigerings-URL i godkända-listan genom att klicka på Lägg till.

  8. För klienttyperna Webb eller App med en sida anger du ett eller flera tillåtna ursprung. Åtkomst till applikationen kommer endast att beviljas om URL:en läggs till i listan över tillåtna ursprung.

  9. För klienttypen Webb kan du aktivera Tillåt Machine-to-Machine (M2M) eller Tillåt M2M-användarpersonifiering för automatiserad systemåtkomst utan användarinteraktion. Med M2M-personifiering kan dina appar agera på uppdrag av användare under autentisering.

  10. Klicka på Skapa.

  11. Klicka på Kopiera till Urklipp för att spara klient-ID och klienthemligheten för senare användning. Spara klienthemligheten på en säker plats. Klicka på Klart.

    Anteckning om informationOffentliga klienter kommer inte att ha någon klienthemlighet.
Anteckning om informationSe Sammanfattning av användarfall och användning av OAuth-typer, för en sammanfattning av olika användarfall.

Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel

En OAuth-klientkonfigurering krävs för att installera Qlik-tillägget för Microsoft Excel. Tillägget används av rapportutvecklare för att förbereda rapportmallar som styr utmatningen av tabellrapporter från Qlik Sense-appen.

För att OAuth ska fungera i tillägget måste OAuth-klienten konfigureras med exakt den konfiguration som visas nedan.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration i Qlik Cloud, .

  2. Klicka på Skapa ny.

  3. I rullgardinsmenyn Klienttyp väljer du App med en sida. Fler fält kommer att visas.

  4. Sätt in ett Namn. Beskrivning är valfritt.

  5. Som minimum måste du välja kryssrutan som inkluderar user_default-omfattningen. Du kan inkludera andra omfattningar i konfigurationen, men utan user_default kommer inte installationen att fungera.

    Se Skapa en OAuth-klient för en fullständig beskrivning av varje tillgänglig omfattning.

  6. I fältet Lägg till omdirigerings-URL anger du URL:en för din klientorganisationen följt av den fasta strängen: /office-add-ins/oAuthLoginSuccess.html

    Resultatet ska se ut så här: https://YourServer/office-add-ins/oAuthLoginSuccess.html

  7. Klicka på Lägg till.

  8. I fältet Lägg till tillåtna ursprung anger du URL:en till din klientorganisation och klickar på Lägg till.

  9. Klicka på Skapa.

  10. Fönstret Kopiera ditt Klient-ID visas. Du kan välja att kopiera klient-ID till urklipp eller klicka på Klar för att stänga fönstret.

När du har skapat OAuth-klienten hämtar du länken till den uppdaterade XML-manifestfilen från aktivitetscentret för Administration. Gå till sidan Inställningar och navigera sedan till Delning och rapporter >Excel-tillägg i aktivitetscentret för Administration . Använd den här länken för att distribuera och installera tillägget.

Mer information om att generera manifestfilen och om att distribuera och installera ett tillägg finns i:

Skapa en OAuth-klient för anonyma inbäddningar av appinnehåll

För att bädda in appinnehåll för anonym åtkomst med hjälp av qlik-embed måste du skapa en OAuth-klient med en typ som är särskilt utformad för detta användningsfall.

Anteckning om information Denna funktion är endast tillgänglig med en Qlik Anonymous Access-prenumeration. Mer information finns i Qlik Anonymous Access Prenumerationer.
  1. Gå till delavsnittet OAuth i aktivitetscentret för Administration.

  2. Klicka på Skapa ny.

  3. Välj Anonym inbäddning i listrutan Klienttyp.

  4. Ange ett Namn och, om du vill, en Beskrivning för OAuth-klienten.

  5. Under Tillåtna ursprung anger du alla ursprung som du behöver auktorisera. Det är de domäner som kommer att ha åtkomst till Qlik Cloud-klientorganisationen för att hämta information till de inbäddade analyserna.

    Klicka på Lägg till efter varje URL som du infogar.

  6. När du är klar klickar du på Skapa.

  7. Klicka på Kopiera till urklipp för att spara klient-ID:t  för framtida användning. Det kommer att behövas när innehållet i appen är inbäddat med qlik-embed.

  8. Klicka på Klart.

Redigera en OAuth-klient

Du kan byta namn på en OAuth-klient, uppdatera beskrivningen eller hantera omdirigerings-URL:erna.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration.
  2. Välj OAuth-klienten som du vill redigera. Klicka på ... och välj sedan Redigera.
  3. I dialogen ändrar du alternativen för OAuth-klienten efter behov.
  4. Klicka på Spara.

Publicera en OAuth-klient

Skapade OAuth-klienter binds automatiskt till klientorganisationen som skapade dem. Du kan konfigurera att en OAuth-klient ska delas och vara tillgänglig för alla andra klientorganisationer inom en region. Tredjepartsprogram som ansluter till Qlik Cloud kan sedan använda samma klient-ID för alla Qlik Cloud-klientorganisationer. Programmets ägare kan rotera klienthemligheter och uppdatera konfigurationen utan att en huvudadministratör medverkar. Huvudadministratörer behöver inte hantera autentiseringsuppgifter eller känna till konfigurationens detaljer.

En OAuth-klient måste publiceras för att andra klientorganisationer ska kunna ansluta till den.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration.
  2. Välj OAuth-klienten som du vill publicera. Klicka på ... och välj sedan Publicera.
  3. Klicka på Publicera.

När användare navigerar till en extern webbplats som använder Qlik OAuth uppmanas de att ange klientorganisationens värdnamn, och sedan även användarens inloggningsuppgifter om inte denna redan har en aktiv SaaS-session. Vid den första inloggningen med en extern OAuth-klient krävs samtycke från en huvudadministratör. När den har godkänts visas den nya OAuth-klienten i aktivitetscentret för Administration.

Metod för samtycke

Det finns två alternativ för samtycke: Obligatoriskt och Betrott. Med obligatoriskt kommer auktorisering via OAuth-klienten att uppmana till samtycke varje gång en ny omfattning begärs för användaren. Med betrott får inte användaren någon uppmaning. Du kan bara använda Betrott för klienter som inte är publicerade. För publicerade klienter, är samtyckesmetoden alltid Obligatoriskt.

Anteckning om informationFör klienter som används som M2M, måste metoden för samtycke ställas in på Betrott efter att klienten skapats.

Visa och kopiera OAuth-konfigurationen

Gå till delavsnittet OAuth i aktivitetscentret för Administration och välj Visa OAuth-konfiguration för att visa konfigurationen som ett kodavsnitt och en URL att kopiera.

Ta bort en OAuth-klient

Du kan ta bort en OAuth-klient när den inte längre behövs eller när du vill återkalla åtkomsten.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration.

  2. Välj OAuth-klienten som du vill ta bort och klicka sedan på Ta bort.

    Anteckning om informationDu kan ta bort fler än en OAuth-klient åt gången.
  3. Bekräfta att du vill ta bort OAuth-klienten.

Hantera klienthemligheter

Du kan behöva lägga till eller radera en klienthemlighet, om till exempel en klienthemlighet blir röjd eller om din säkerhetspolicy har krav på regelbundna uppdateringar av klienthemligheten. Du kan också lägga till flera klienthemligheter för att förhindra driftstopp i programmet. Du kan till exempel skapa en andra hemlighet, distribuera den nya hemligheten i ditt klientprogram och därefter radera den gamla hemligheten.

Gör följande:

  1. Gå till OAuth i aktivitetscentret för Administration.
  2. Välj OAuth-klienten som du vill hantera. Klicka på ... och välj sedan Hantera hemligheter.
  3. I dialogen gör du något av följande:
    • Om du vill lägga till en ny klienthemlighet klickar du på Generera ny klienthemlighet.
    • Om du vill radera en klienthemlighet klickar du på Ta bort bredvid klienthemligheten.
  4. Klicka på Stäng.

Bygga ett OAuth-klientprogram för att nå Qlik Cloud

När du har registrerat en OAuth-klient med Qlik Cloud kan du använda de associerade uppgifterna för klient-ID och klienthemlighet som finns i ditt eget OAuth-klientprogram. I avsnittet OAuth i Portal för utvecklare finns introduktionskurser för att bygga klientapplikationer med hjälp av några av de mest populära kodningsspråken.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!