Skapa och hantera OAuth-klienter
OAuth är ett standardiserat säkerhetsprotokoll för auktorisering och delegering. Det gör att tredjepartsprogram kan komma åt API-resurser utan att röja slutanvändarens inloggningsuppgifter. En OAuth-klient kan hämta en auktoriseringskod och utväxla den mot en åtkomsttoken som kan användas för att nå Qlik Cloud-innehåll genom API:er.
Offentliga och konfidentiella klienter
OAuth har två typer av klienter, offentliga klienter och konfidentiella klienter, för att skydda auktoriseringen mellan en applikation (klienten) och auktoriseringsservern (Qlik Cloud).
Offentliga klienter
Offentliga klienter är applikationer som inte använder klienthemligheten eftersom de inte kan bevara konfidentialiteten för de inloggningsuppgifter som krävs. Offentliga klienter i Qlik Cloud är ofta frontend-applikationer som t.ex. applikationer med endast en sida med inbäddad analys eller ett anpassat visualiseringskomplement i Qlik Sense som kräver information om slutanvändaren för att stödja applikationens livscykel.
Se : RFC 6749 Avsnitt 2.1: OAuth 2.0-klienttyper.
Qlik Cloud har stöd för konfidentiella klienter för traditionella webbapplikationer (serverbaserade), och offentliga klienter för interna applikationer och applikationer med en sida som använder specifika typer av beviljanden.
Konfidentiella klienter
En konfidentiell klient är en applikation som lagrar ett klient-ID och en klienthemlighet på ett säkert sätt utan att exponera dessa för obehöriga parter. Konfidentiella klienter kan ha åtkomst till skyddade resurser eftersom de har klienthemligheten. Ett exempel på en konfidentiell klient är en webbapplikation med en säker backend som interagerar med API:er i Qlik Cloud för att organisera datauppdateringsuppgifter eller hantera användaråtkomst till innehåller.
Typer av auktoriseringar
Qlik har stöd för två typer av auktoriseringar, eller flöden: Flöde för auktoriseringskod och Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE). Dessa flöden liknar varandra, men de stödjer olika användarfall.
Flöde för auktoriseringskod
Traditionella webbapplikationer är serverbaserade applikationer där källkoden inte exponeras offentligt, därför kan de använda flödet för auktoriseringskod, som byter ut en auktoriseringskod mot ett token. Webbapplikationer som använder det här flödet måste vara serverbaserade eftersom applikationens klienthemlighet skickas till auktoriseringsservern vid bytet till ett token.
Se: Flöde för auktoriseringskod för mer information.
Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE)
Interna applikationer och appar med en sida kan inte lagra en klienthemlighet eftersom deras källkod är tillgänglig genom att dekompilera appen eller visa appens källkod i en webbläsare. PKCE lägger till ett extra lager för skydd av offentliga klienter genom att kräva användning av en kodverifierare för att få ett åtkomsttoken.
Se: Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE) för mer information.
Begränsa tillgängliga omfattningar för OAuth-klienter
OAuth-omfattningar är ett sätt att begränsa den grad av åtkomst som beviljas för OAuth-klientappar. En åtkomsttoken som utfärdas till en klientapp kan t.ex. ge fullständig åtkomst till skyddade resurser eller bara läsbehörighet.
I Qlik Cloud är omfattningar ett sätt att kontrollera klienternas tillgång till tillgängliga funktioner och resurser. Varje omfattning ger olika nivåer av åtkomst. Klienter utan omfattningar kommer inte att kunna komma åt några resurser.
Skapa en OAuth-klient
OAuth-klienter administreras av klientorganisationsadministratörer från aktivitetscentret för Administration på OAuth-sidan.
Med hjälp av en OAuth-klient kan du integrera ditt klientprogram med Qlik Cloud.
Läs i Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel för att ta reda på hur du skapar en OAuth-klient för distribution och installation av Qlik-tillägget för Microsoft Excel.
Gör följande:
-
Gå till OAuth i aktivitetscentret för Administration.
-
Klicka på Skapa ny.
-
Välj en klienttyp.
Använd Webb för konfidentiella klienter och app med en sida eller Intern för offentliga klienter.
-
I dialogen ger du OAuth-klienten ett namn.
-
Du kan även lägga till en beskrivning.
-
Välj någon av de tillgängliga omfattningarna, antingen genom att bläddra eller använda sökfältet.
Omfattning Behörighet user_default Fullständig åtkomst till ditt konto och innehåll admin_classic Fullständig administratörsåtkomst till din klientorganisation
Se även: Driftsätt och administrera Qlik Cloud
Anteckning om informationStöds inte med klienttyperna App med en sida och Intern.admin.apps Läsa och hantera alla appar i klientorganisationen.
Se även: Hantera appar
admin.apps:export
Exportera alla appar i klientorganisationen
Se även: Exportera appar
admin.apps:read
Läs alla appar i klientorganisationen admin.automations Läs och hantera alla automatiseringar i klientorganisationen
Se även: Hantera automatiseringar
admin.automations:read
Läs alla automatiseringar i klientorganisationen admin.spaces Läs och hantera alla utrymmen i klientorganisationen
Se även: Hantera utrymmen
admin.spaces:read
Läs alla utrymmen i klientorganisationen appar Läs och hantera dina appar
Se även: Hantera appar
apps:export
Exportera dina appar
Se även: Exportera appar
apps:read
Läs dina appar automatiseringar Läs och hantera dina automatiseringar
Se även: Hantera automatiseringar
automations:read
Läs dina automatiseringar automl-experiments Läsa och hantera dina ML-experiment automl-deployments Läsa och hantera dina ML-distributioner identity.email:read Läs din e-postadress
Se även: Identitetsleverantörer
identity.name:read
Läs ditt fullständiga namn identity.picture:read Läs din profilbild
Se även: Identitetsleverantörer
identity.subject:read
Läs din användares ämnesidentifierare spaces.data Läsa och hantera dina datautrymmen
Se även: Hantera utrymmen
spaces.data:read
Läsa dina datautrymmen spaces.managed Läsa och hantera dina hanterade utrymmen
Se även: Hantera utrymmen
spaces.managed:read
Läsa dina hanterade utrymmen spaces.shared Läsa och hantera dina delade utrymmen
Se även: Hantera utrymmen
spaces.shared:read
Läsa dina delade utrymmen offline_access Kom åt resurser när du är offline
Anteckning om informationStöds inte med klienttypen App med en sida.Anteckning om informationDu kan använda knapparna Alla och Valda ovanför listan för att visa alla omfattningar eller bara valda omfattningar.Anteckning om informationOvanstående lista återspeglar de omfattningar som stöds i den initiala utgåvan. En fullständig lista över omfattningar - inklusive alla omfattningar som läggs till efter den initiala utgåvan - finns på Utvecklingsportalen för Qlik. -
Ange en eller flera omdirigerings-URL:er för OAuth-klientprogrammet.
Anteckning om tipsDet är till omdirigerings-URL:erna auktoriseringsservern skickar användarens webbläsare efter att autentiseringen har genomförts och behörighet till programmet har beviljats. Ett exempel är https://www.exampleapp.com/oauth/callback, där /oauth/callback hanterar autentiseringsreturanrop från OAuth-leverantören.Qlik Cloud dirigerar endast tillbaka användaren till programmet efter att auktoriseringen har utförts om dennas URL finns med i godkända-listan. URL:er måste börja med https:// såvida inte domänen är localhost då den kan börja med http://. Interna appar kan även använda applikationsspecifika länkformat, som exempelvis, exempelapp://.
Lägg sedan till din omdirigerings-URL i godkända-listan genom att klicka på Lägg till.
-
För klienttyperna Webb eller App med en sida anger du ett eller flera tillåtna ursprung. Åtkomst till applikationen kommer endast att beviljas om URL:en läggs till i listan över tillåtna ursprung.
-
För klienttypen Webb kan du aktivera Tillåt Machine-to-Machine (M2M) eller Tillåt M2M-användarpersonifiering för automatiserad systemåtkomst utan användarinteraktion. Med M2M-personifiering kan dina appar agera på uppdrag av användare under autentisering.
-
Klicka på Skapa.
-
Klicka på Kopiera till Urklipp för att spara klient-ID och klienthemligheten för senare användning. Spara klienthemligheten på en säker plats. Klicka på Klart.
Anteckning om informationOffentliga klienter kommer inte att ha någon klienthemlighet.
Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel
En OAuth-klientkonfigurering krävs för att installera Qlik-tillägget för Microsoft Excel. Tillägget används av rapportutvecklare för att förbereda rapportmallar som styr utmatningen av tabellrapporter från Qlik Sense-appen.
För att OAuth ska fungera i tillägget måste OAuth-klienten konfigureras med exakt den konfiguration som visas nedan.
Gör följande:
-
Gå till OAuth i aktivitetscentret för Administration i Qlik Cloud, .
-
Klicka på Skapa ny.
-
I rullgardinsmenyn Klienttyp väljer du App med en sida. Fler fält kommer att visas.
-
Sätt in ett Namn. Beskrivning är valfritt.
-
Som minimum måste du välja kryssrutan som inkluderar user_default-omfattningen. Du kan inkludera andra omfattningar i konfigurationen, men utan user_default kommer inte installationen att fungera.
Se Skapa en OAuth-klient för en fullständig beskrivning av varje tillgänglig omfattning.
-
I fältet Lägg till omdirigerings-URL anger du URL:en för din klientorganisationen följt av den fasta strängen: /office-add-ins/oAuthLoginSuccess.html
Resultatet ska se ut så här: https://YourServer/office-add-ins/oAuthLoginSuccess.html
-
Klicka på Lägg till.
-
I fältet Lägg till tillåtna ursprung anger du URL:en till din klientorganisation och klickar på Lägg till.
-
Klicka på Skapa.
-
Fönstret Kopiera ditt Klient-ID visas. Du kan välja att kopiera klient-ID till urklipp eller klicka på Klar för att stänga fönstret.
När du har skapat OAuth-klienten hämtar du länken till den uppdaterade XML-manifestfilen från aktivitetscentret för Administration. Gå till sidan Inställningar och navigera sedan till Delning och rapporter >Excel-tillägg i aktivitetscentret för Administration . Använd den här länken för att distribuera och installera tillägget.
Mer information om att generera manifestfilen och om att distribuera och installera ett tillägg finns i:
-
Distribuera och installera Qlik-tillägget för Microsoft Excel
-
Hantera installationsmanifest till Qlik-tillägget för Microsoft Excel
Skapa en OAuth-klient för anonyma inbäddningar av appinnehåll
För att bädda in appinnehåll för anonym åtkomst med hjälp av qlik-embed måste du skapa en OAuth-klient med en typ som är särskilt utformad för detta användningsfall.
Gör följande:
-
Gå till delavsnittet OAuth i aktivitetscentret för Administration.
-
Klicka på Skapa ny.
-
Välj Anonym inbäddning i listrutan Klienttyp.
-
Ange ett Namn och, om du vill, en Beskrivning för OAuth-klienten.
-
Under Tillåtna ursprung anger du alla ursprung som du behöver auktorisera. Det är de domäner som kommer att ha åtkomst till Qlik Cloud-klientorganisationen för att hämta information till de inbäddade analyserna.
Klicka på Lägg till efter varje URL som du infogar.
-
När du är klar klickar du på Skapa.
-
Klicka på Kopiera till urklipp för att spara klient-ID:t för framtida användning. Det kommer att behövas när innehållet i appen är inbäddat med qlik-embed.
-
Klicka på Klart.
Redigera en OAuth-klient
Du kan byta namn på en OAuth-klient, uppdatera beskrivningen eller hantera omdirigerings-URL:erna.
Gör följande:
- Gå till OAuth i aktivitetscentret för Administration.
- Välj OAuth-klienten som du vill redigera. Klicka på ... och välj sedan Redigera.
- I dialogen ändrar du alternativen för OAuth-klienten efter behov.
- Klicka på Spara.
Publicera en OAuth-klient
Skapade OAuth-klienter binds automatiskt till klientorganisationen som skapade dem. Du kan konfigurera att en OAuth-klient ska delas och vara tillgänglig för alla andra klientorganisationer inom en region. Tredjepartsprogram som ansluter till Qlik Cloud kan sedan använda samma klient-ID för alla Qlik Cloud-klientorganisationer. Programmets ägare kan rotera klienthemligheter och uppdatera konfigurationen utan att en huvudadministratör medverkar. Huvudadministratörer behöver inte hantera autentiseringsuppgifter eller känna till konfigurationens detaljer.
En OAuth-klient måste publiceras för att andra klientorganisationer ska kunna ansluta till den.
Gör följande:
- Gå till OAuth i aktivitetscentret för Administration.
- Välj OAuth-klienten som du vill publicera. Klicka på ... och välj sedan Publicera.
- Klicka på Publicera.
När användare navigerar till en extern webbplats som använder Qlik OAuth uppmanas de att ange klientorganisationens värdnamn, och sedan även användarens inloggningsuppgifter om inte denna redan har en aktiv SaaS-session. Vid den första inloggningen med en extern OAuth-klient krävs samtycke från en huvudadministratör. När den har godkänts visas den nya OAuth-klienten i aktivitetscentret för Administration.
Metod för samtycke
Det finns två alternativ för samtycke: Obligatoriskt och Betrott. Med obligatoriskt kommer auktorisering via OAuth-klienten att uppmana till samtycke varje gång en ny omfattning begärs för användaren. Med betrott får inte användaren någon uppmaning. Du kan bara använda Betrott för klienter som inte är publicerade. För publicerade klienter, är samtyckesmetoden alltid Obligatoriskt.
Visa och kopiera OAuth-konfigurationen
Gå till delavsnittet OAuth i aktivitetscentret för Administration och välj Visa OAuth-konfiguration för att visa konfigurationen som ett kodavsnitt och en URL att kopiera.
Ta bort en OAuth-klient
Du kan ta bort en OAuth-klient när den inte längre behövs eller när du vill återkalla åtkomsten.
Gör följande:
-
Gå till OAuth i aktivitetscentret för Administration.
-
Välj OAuth-klienten som du vill ta bort och klicka sedan på Ta bort.
Anteckning om informationDu kan ta bort fler än en OAuth-klient åt gången. - Bekräfta att du vill ta bort OAuth-klienten.
Hantera klienthemligheter
Du kan behöva lägga till eller radera en klienthemlighet, om till exempel en klienthemlighet blir röjd eller om din säkerhetspolicy har krav på regelbundna uppdateringar av klienthemligheten. Du kan också lägga till flera klienthemligheter för att förhindra driftstopp i programmet. Du kan till exempel skapa en andra hemlighet, distribuera den nya hemligheten i ditt klientprogram och därefter radera den gamla hemligheten.
Gör följande:
- Gå till OAuth i aktivitetscentret för Administration.
- Välj OAuth-klienten som du vill hantera. Klicka på ... och välj sedan Hantera hemligheter.
- I dialogen gör du något av följande:
- Om du vill lägga till en ny klienthemlighet klickar du på Generera ny klienthemlighet.
- Om du vill radera en klienthemlighet klickar du på bredvid klienthemligheten.
- Klicka på Stäng.
Bygga ett OAuth-klientprogram för att nå Qlik Cloud
När du har registrerat en OAuth-klient med Qlik Cloud kan du använda de associerade uppgifterna för klient-ID och klienthemlighet som finns i ditt eget OAuth-klientprogram. I avsnittet OAuth i Portal för utvecklare finns introduktionskurser för att bygga klientapplikationer med hjälp av några av de mest populära kodningsspråken.