Skapa och hantera OAuth-klienter

OAuth är ett säkerhetsprotokoll för auktorisering och delegering. Det tillåter tredjepartsapplikationer att få åtkomst till API-resurser utan att avslöja slutanvändarens inloggningsuppgifter. En OAuth-klient begär en auktoriseringskod, byter ut den mot en åtkomsttoken och använder denna token för att få åtkomst till Qlik Cloud-innehåll via API:er.

Typer av OAuth-klienter

En OAuth-klient är en webbapplikation eller programvara som begär åtkomst till resurser i Qlik Cloud å en användares vägnar. OAuth definierar två klienttyper – offentliga klienter och konfidentiella klienter – för att säkra auktoriseringen mellan en applikation (klienten) och auktoriseringsservern (Qlik Cloud).

Qlik Cloud stöder konfidentiella klienter för traditionella webbapplikationer (på serversidan) och offentliga klienter för inbyggda applikationer och ensidesapplikationer med hjälp av specifika auktoriseringsflöden.

För den officiella OAuth 2.0-specifikationen om klienttyper, se RFC 6749 Section 2.1: OAuth 2.0 Client Types.

Offentliga klienter

Offentliga klienter är applikationer som inte använder klienthemligheten eftersom de inte kan upprätthålla sekretessen för de nödvändiga inloggningsuppgifterna. I Qlik Cloud inkluderar dessa frontend-applikationer som ensidesapplikationer (SPA) med inbäddad analys eller anpassade komplement för visualisering i Qlik Sense som kräver användarautentisering.

Konfidentiella klienter

Konfidentiella klienter kan på ett säkert sätt lagra ett klient-ID och en klienthemlighet och använda dem för att autentisera mot auktoriseringsservern. Dessa klienter kan få åtkomst till skyddade resurser eftersom de innehar klienthemligheten.

Exempel: En webbapplikation med en säker backend som interagerar med Qlik Cloud-API:er för att hantera användaråtkomst eller orkestrera uppgifter för datauppdatering.

OAuth-auktoriseringsflöden

Qlik stöder två auktoriseringsflöden (beviljandetyper):

Auktoriseringskodsflöde: För konfidentiella klienter.
Auktoriseringskodsflöde med Proof Key for Code Exchange (PKCE): För offentliga klienter.

Auktoriseringskodsflöde

Detta flöde används av applikationer på serversidan där källkoden inte är offentligt exponerad. Det innebär att en auktoriseringskod byts ut mot en åtkomsttoken, där klienthemligheten används för autentisering. Webbapplikationer som använder detta flöde måste vara på serversidan eftersom klienthemligheten skickas till auktoriseringsservern under tokenutbytet.

Dela aldrig din klienthemlighet offentligt, eftersom det äventyrar din klientorganisations säkerhet. Håll den säker och privat.

För mer information om auktoriseringskodsflödet, se den officiella OAuth 2.0-dokumentationen: Authorization Code Flow.

Auktoriseringskodsflöde med PKCE

Inbyggda applikationer och ensidesapplikationer kan inte lagra en klienthemlighet på ett säkert sätt eftersom deras källkod kan dekompileras eller inspekteras i en webbläsare. PKCE förbättrar säkerheten genom att kräva användning av en kodverifierare för att erhålla en åtkomsttoken.

För mer information om auktorisering med PKCE, se den officiella OAuth 2.0-dokumentationen: Authorization Code Flow with Proof Key for Code Exchange (PKCE).

OAuth-omfattningar och behörigheter

OAuth-omfattningar definierar den behörighetsnivå som beviljas till OAuth-klientapplikationer. Till exempel kan en åtkomsttoken tillåta full åtkomst till resurser eller begränsa den till skrivskyddad åtkomst. I Qlik Cloud styr omfattningar klientens åtkomst till tillgänglig funktionalitet och resurser. Utan omfattningar kan klienter inte få åtkomst till några resurser.

API-autentiseringsuppgifter ger direkt programmatisk åtkomst till Qlik Cloud och är inte begränsade till arbetsflöden som är tillgängliga i användargränssnittet. Tilldela roller och OAuth-omfattningar enligt principen om minsta möjliga behörighet. Hantera tjänstekonton och API-autentiseringsuppgifter med samma omsorg som autentiseringsuppgifter för administratörer. Mer information finns i API-åtkomstkontroll och förtroendegränser.

Tillgängliga OAuth-omfattningar

Tabellen listar tillgängliga omfattningar och deras tillhörande behörigheter:

Omfattning	Behörighet
user_default	Full åtkomst till ditt konto och innehåll
admin_classic	Full administratörsåtkomst till din klientorganisation Se även: Driftsätt och administrera Qlik Cloud Anteckning om informationStöds inte med klienttyperna Ensidesapp eller Inbyggd.
admin.apps	Läs och hantera alla applikationer i klientorganisationen. Se även: Hantera appar
admin.apps:export	Exportera alla applikationer i klientorganisationen Se även: Hämta applikationer
admin.apps:read	Läs alla applikationer i klientorganisationen
admin.automations	Läs och hantera alla automatiseringar i klientorganisationen Se även: Hantera automatiseringar
admin.automations:read	Läs alla automatiseringar i klientorganisationen
admin.direct-access-gateways:remote_configuration	Redigera inställningar för Gateway med direktåtkomst Se även: Konfigurering och felsökning Qlik Data Gateway – direktåtkomst och Offentligt API.
admin.spaces	Läs och hantera alla utrymmen i klientorganisationen Se även: Hanterar utrymmen
admin.spaces:read	Läs alla utrymmen i klientorganisationen
apps	Läs och hantera dina applikationer Se även: Hantera appar
apps:export	Exportera dina applikationer Se även: Hämta applikationer
apps:read	Läs dina applikationer
automations	Läs och hantera dina automatiseringar Se även: Hantera automatiseringar
automations:read	Läs dina automatiseringar
automl-experiments	Läs och hantera dina ML-experiment
automl-deployments	Läs och hantera dina ML-distributioner
direct-access-gateways:consume_data	Ladda data via Gateway med direktåtkomst-kopplingar Se även: Qlik Data Gateway – direktåtkomst
identity.email:read	Läs din e-postadress Se även: Identitetsleverantörer i Qlik Cloud
identity.name:read	Läs ditt fullständiga namn
identity.picture:read	Läs din profilbild Se även: Identitetsleverantörer i Qlik Cloud
identity.subject:read	Läs din användarämnesidentifierare
spaces.data	Läs och hantera dina datautrymmen Se även: Hanterar utrymmen
spaces.data:read	Läs dina datautrymmen
spaces.managed	Läs och hantera dina hanterade utrymmen Se även: Hanterar utrymmen
spaces.managed:read	Läs dina hanterade utrymmen
spaces.shared	Läs och hantera dina delade utrymmen Se även: Hanterar utrymmen
spaces.shared:read	Läs dina delade utrymmen
offline_access	Få åtkomst till resurser medan du är offline Anteckning om informationStöds inte med klienttypen Ensidesapp.

Den här listan återspeglar de omfattningar som stöds i den första utgåvan. Du hittar en komplett lista över omfattningar på Qlik Developer Portal Scopes.

Skapa OAuth-klienter

Klientorganisationsadministratörer hanterar OAuth-klienter i aktivitetscentret Administration på sidan OAuth. Med en OAuth-klient kan du integrera din klientapplikation med Qlik Cloud för att få åtkomst till resurser på ett säkert sätt.

Begränsningar för OAuth-klienter

Följande begränsningar gäller:

Högst 5 omdirigerings-URL:er per klient.
Högst 5 tillåtna ursprung per klient.
Högst 5 klienthemligheter per klient.
Högst 200 OAuth-klienter per klientorganisation.

Steg för att skapa en OAuth-klient

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Klicka på Skapa ny.
Välj en klienttyp:
- Webb för konfidentiella klienter.
- Ensidesapp eller Inbyggd för offentliga klienter.
- Anonym inbäddning för offentliga klienter.
I dialogrutan anger du ett namn för OAuth-klienten.
Lägg eventuellt till en beskrivning.
Välj någon av de tillgängliga omfattningarna genom att antingen rulla eller använda sökfältet.

Anteckning om tipsAnvänd knapparna Alla och Valda för att visa alla omfattningar eller endast de valda.
Ange en eller flera omdirigerings-URL:er för OAuth-klientapplikationen (högst 5). Klicka sedan på Lägg till för att lägga till omdirigerings-URL:en i tillåtelselistan.
- Omdirigerings-URL:en är dit auktoriseringsservern skickar användarens webbläsare efter att ha autentiserat och beviljat behörighet till klientapplikationen. Till exempel https://www.exampleapp.com/oauth/callback, där /oauth/callback hanterar autentiseringsåteranrop från OAuth-leverantören.
- Qlik Cloud omdirigerar användaren tillbaka till applikationen efter en framgångsrik auktorisering endast om dess URL finns i tillåtelselistan för omdirigerings-URL:er.
- URL:er måste börja med https:// såvida inte domänen är localhost, i vilket fall den kan börja med http://. Inbyggda applikationer kan också använda det applikationsspecifika länkformatet, till exempel exampleapp://.
För klienttyperna Webb eller Ensidesapp anger du ett eller flera tillåtna ursprung (högst 5).
- Åtkomst till applikationen beviljas endast om URL:en läggs till i listan över tillåtna ursprung.
För klienttypen Webb kan du aktivera ett av följande alternativ för automatiserad systemåtkomst utan användarinteraktion:
- Tillåt maskin-till-maskin (M2M): Möjliggör system-till-system-kommunikation utan användarinblandning.
- Tillåt M2M-användarimitation: Tillåter din applikation att autentisera å användares vägnar och agera som dem under autentiseringsprocessen.
För klienttypen Webb väljer du ett eller båda alternativen under Autentiseringsmetod:
- Klienthemlighet (standard)
- Privat nyckel-JWT, ett säkrare alternativ som autentiserar klienten med hjälp av ett offentligt/privat nyckelpar istället för en delad hemlighet.
  - När du väljer Privat nyckel-JWT visas fältet Offentlig nyckel. Ange din tredjepartsapplikations offentliga nyckel i JSON Web Key-format (JWK). Den privata nyckeln stannar hos din applikation för att signera JWT:er. För mer information om formatet för den offentliga nyckeln, se Create a public/private key pair for signing JWTs på Qlik Developer Portal.
    
    Anteckning om informationDen offentliga nyckeln beror på din identitetsleverantörs krav. Om din tredjepartsapplikations offentliga nyckel har ett annat format använder du ett tredjepartsverktyg för att konvertera den till JWK.
Klicka på Skapa.
Klicka på Kopiera till Urklipp för att spara klient-ID:t och klienthemligheten för senare användning. Förvara klienthemligheten på ett säkert sätt.

Anteckning om informationOffentliga klienter har ingen klienthemlighet.
Klicka på Klar.

OAuth-klienter för specifika användningsfall

För användningsfall för OAuth-klienter, se följande resurser:

OAuth Overview på Qlik Developer Portal: Översikt över OAuth-användningsfall och de olika OAuth-typerna.
Skapa OAuth-klienter för Qlik-tillägg för Microsoft Office: Konfigurera en OAuth-klient för installation av Qlik-tillägget för Microsoft Excel.
Skapa en OAuth-klient för anonyma inbäddningar av applikationsinnehåll: Skapa en OAuth-klient för att möjliggöra anonym åtkomst till inbäddat applikationsinnehåll.

Skapa OAuth-klienter för Qlik-tillägg för Microsoft Office

En OAuth-klientkonfigurering krävs för att installera Qlik tillägg för Microsoft Office. Tillägg används av rapportutvecklare för att förbereda rapportmallar för rapportering i applikationen med Qlik Cloud.

För att OAuth ska fungera i tilläggen måste OAuth-klienten konfigureras med exakt den konfiguration som visas nedan.

Gör följande:

Gå till OAuth i aktivitetscentret för Administration i Qlik Cloud, .
Klicka på Skapa ny.
I rullgardinsmenyn Klienttyp väljer du App med en sida. Fler fält kommer att visas.
Sätt in ett Namn. Beskrivning är valfritt.
Som minimum måste du välja kryssrutan som inkluderar user_default-omfattningen. Du kan inkludera andra omfattningar i konfigurationen, men utan user_default kommer inte installationen att fungera.

Se Tillgängliga OAuth-omfattningar för en fullständig beskrivning av varje tillgänglig omfattning.
I fältet Lägg till omdirigerings-URL anger du URL:en för Qlik Cloud klientorganisationen, följt av den här fasta strängen: /office-add-ins/oAuthLoginSuccess.html

Resultatet ska se ut så här: https://<tenant or alias hostname>.<region>.qlikcloud.com/office-add-ins/oAuthLoginSuccess.html. Till exempel: http://example-company-123.us.qlikcloud.com/office-add-ins/oAuthLoginSuccess.html
Klicka på Lägg till.
I fältet Lägg till tillåtna ursprung anger du URL:en till din klientorganisation och klickar på Lägg till.
Klicka på Skapa.
Fönstret Kopiera ditt Klient-ID visas. Du kan välja att kopiera klient-ID till urklipp eller klicka på Klar för att stänga fönstret.

När du har skapat OAuth-klienten hämtar du den uppdaterade XML-manifestlänken från Administration aktivitetscentret. Gå till sidan Inställningar och välj fliken E-post och rapporter. I delavsnittet Delning och rapporter väljer du Qlik tillägg för Microsoft Office. Använd den angivna länken för att distribuera och installera tillägget.

För mer information om att generera manifestfilen, samt att distribuera och installera ett tillägg, se:

Skapa en OAuth-klient för anonyma inbäddningar av applikationsinnehåll

För att bädda in applikationsinnehåll för anonym åtkomst med qlik-embed måste du skapa en OAuth-klient med en typ som är specifikt utformad för detta användningsfall.

Denna funktion är endast tillgänglig med en Qlik Anonymous Access-prenumeration. Mer information finns i Qlik Anonymous Access-prenumerationer.

Gör följande:

I aktivitetscentret Administration går du till delavsnittet OAuth.
Klicka på Skapa ny.
I rullgardinsmenyn Klienttyp väljer du Anonym inbäddning.
Ange ett Namn och eventuellt en Beskrivning för OAuth-klienten.
Under Tillåtna ursprung anger du varje ursprung som du behöver auktorisera. Dessa är de domäner som kommer att få åtkomst till Qlik Cloud-klientorganisationen för att hämta informationen för den inbäddade analysen.

Klicka på Lägg till efter att ha infogat varje URL.
När du är klar klickar du på Skapa.
Klicka på Kopiera till Urklipp för att spara klient-ID:t för senare användning. Det kommer att behövas när applikationsinnehållet bäddas in med qlik-embed.
Klicka på Klar.

Redigera OAuth-klienter

Du kan byta namn på en OAuth-klient, uppdatera beskrivningen eller hantera omdirigerings-URL:erna.

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Leta reda på den OAuth-klient som du vill redigera.
Klicka på och välj sedan Redigera.
Ändra alternativen för OAuth-klienten efter behov.
Klicka på Spara.

Ta bort OAuth-klienter

Du kan ta bort en OAuth-klient när den inte längre behövs eller för att återkalla åtkomst.

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Välj en eller flera OAuth-klienter som du vill ta bort och klicka sedan på Ta bort.
Bekräfta borttagningen.

Publicera OAuth-klienter

OAuth-klienter är initialt bundna till den klientorganisation som skapade dem. Du kan dock konfigurera en OAuth-klient så att den delas mellan flera klientorganisationer inom samma region. Detta gör det möjligt för tredjepartsapplikationer att använda samma klient-ID över olika Qlik Cloud-klientorganisationer.

Applikationsägare kan rotera hemligheter och uppdatera konfigurationen utan interaktion från en klientorganisationsadministratör. Klientorganisationsadministratörer behöver inte hantera inloggningsuppgifter eller vara medvetna om några konfigurationsdetaljer för den publicerade klienten.

För att tillåta andra klientorganisationer att ansluta till en OAuth-klient måste du publicera den.

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Leta reda på den OAuth-klient som du vill publicera.
Klicka på bredvid klienten och välj Publicera.
Klicka på Publicera för att bekräfta.

När OAuth-klienten har publicerats blir den tillgänglig för extern användning av andra klientorganisationer. När en användare besöker en extern webbplats som använder denna OAuth-klient kommer de att uppmanas att ange sin klientorganisations värdnamn och användaruppgifter, såvida de inte redan har en aktiv SaaS-session.

Den första inloggningen kräver samtycke från en klientorganisationsadministratör. När den har godkänts kommer OAuth-klienten att visas i aktivitetscentret Administration för klientorganisationen.

Samtyckesmetoder

Som standard uppmanar Qlik Cloud användare om samtycke vid autentisering. För att effektivisera processen, särskilt för betrodda applikationer, kan du ställa in samtyckesmetoden till "Betrodd", vilket hoppar över samtyckesuppmaningen.

Det finns två alternativ för samtycke:

Krävs: Användaren uppmanas om samtycke varje gång en ny omfattning begärs av OAuth-klienten. Denna metod säkerställer uttryckligt användargodkännande för varje behörighetsnivå.
Betrodd: Användaren uppmanas inte om samtycke. Detta alternativ är endast tillgängligt för opublicerade klienter. För publicerade klienter är samtyckesmetoden alltid Krävs för att upprätthålla säkerheten över flera klientorganisationer.

För klienter som används som maskin-till-maskin (M2M) måste samtyckesmetoden ändras till Betrodd efter att klienten har skapats.

Ändra samtyckesmetoden

Gör följande för att ändra samtyckesmetoden för en OAuth-klient:

I aktivitetscentret Administration går du till OAuth.
På OAuth-klienten klickar du på och väljer Ändra samtyckesmetod.
Välj Krävs eller Betrodd och klicka sedan på Ändra samtyckesmetod.

Visa och kopiera OAuth-konfigurationen

I delavsnittet OAuth i aktivitetscentret Administration väljer du Visa OAuth-konfiguration för att visa autentiseringsdetaljer för din Qlik Cloud-klientorganisation. Detta visar ett kodavsnitt med OAuth-slutpunkter och inställningar, samt en URL som du kan kopiera för användning i externa applikationer.

Du kan använda denna konfiguration för att integrera Qlik Cloud med tredjepartsapplikationer, automatisera API-åtkomst eller konfigurera autentisering för inbäddad analys.

Hantera klienthemligheter

Om en klienthemlighet äventyras eller om din säkerhetspolicy kräver regelbundna uppdateringar kan du lägga till eller ta bort hemligheter. För att undvika driftstopp kan du lägga till flera klienthemligheter (högst 5), uppdatera din klientapplikation och sedan ta bort den gamla hemligheten.

Lägga till en klienthemlighet

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Leta reda på OAuth-klienten.
Klicka på och välj Hantera hemligheter.
Klicka på Generera en ny klienthemlighet.
Kopiera klienthemligheten och klient-ID:t och förvara dem på ett säkert sätt.

Anteckning om informationDu kommer inte att kunna komma åt klienthemligheten senare.
Klicka på Stäng.

Ta bort en klienthemlighet

Gör följande:

I aktivitetscentret Administration går du till OAuth.
Leta reda på OAuth-klienten.
Klicka på och välj Hantera hemligheter.
Klicka på bredvid klienthemligheten.
Klicka på Stäng.

Mer om OAuth-klienter

Nästa steg: Bygga OAuth-klientapplikationer

Efter att ha registrerat en OAuth-klient med Qlik Cloud kan du bygga OAuth-klientapplikationer för att få åtkomst till Qlik Cloud-innehåll. Använd det tillhörande klient-ID:t och klienthemligheten i din applikation.

För steg-för-steg-vägledning, se handledningarna i delavsnittet OAuth Overview på Qlik Developer Portal. Dessa handledningar täcker hur man bygger klientapplikationer med hjälp av populära programmeringsspråk.

OAuth-klienter på organisationsnivå

Utöver klientorganisationsspecifika OAuth-klienter kan du använda OAuth-klienter på organisationsnivå. Som ägare av tjänstekonto (SAO) kan du skapa och hantera dessa klienter. OAuth-klienter på organisationsnivå ger åtkomst till klientorganisationsinformation över alla klientorganisationer i dina prenumerationer.

För mer information, se Hantera OAuth-klienter i My Qlik.

Var den här sidan till hjälp för dig?

Om du stöter på några problem med den här sidan eller innehållet på den, t.ex. ett stavfel, ett saknat steg eller ett tekniskt fel – meddela oss!

Lämna din feedback här