Skapa och hantera OAuth-klienter

OAuth är ett säkerhetsprotokoll för auktorisering och delegering. Det gör att tredjepartsprogram kan komma åt API-resurser utan att röja slutanvändarens inloggningsuppgifter. En OAuth-klient begär en auktoriseringskod, byter ut den mot en åtkomsttoken och använder token för att nå Qlik Cloud-innehåll genom API:er.

OAuth-klienttyper

En OAuth-klient är en webbapplikation eller programvara som begär åtkomst till resurser i Qlik Cloud för en användares räkning. OAuth definierar två typer av klienter – offentliga klienter och konfidentiella klienter – för att skydda auktoriseringen mellan en applikation (klienten) och auktoriseringsservern (Qlik Cloud).

Qlik Cloud har stöd för konfidentiella klienter för traditionella (serverbaserade) webbapplikationer, och offentliga klienter för interna applikationer och ensidesprogram som använder specifika auktoriseringsflöden.

För den officiella OAuth 2.0-specifikationen om klienttyper, se RFC 6749 delavsnitt 2.1: OAuth 2.0-klienttyper.

Offentliga klienter

Offentliga klienter är applikationer som inte använder klienthemligheten eftersom de inte kan bevara konfidentialiteten för de inloggningsuppgifter som krävs. I Qlik Cloud inkluderar dessa frontend-applikationer som ensidesprogram (SPA) med inbäddad analys eller anpassade visualiseringskomplement i Qlik Sense som kräver användarautentisering.

Konfidentiella klienter

Konfidentiella klienter kan på ett säkert sätt lagra ett klient-ID och en klienthemlighet och använda dem för autentisering hos auktoriseringsservern. Dessa klienter har åtkomst till skyddade resurser eftersom de har klienthemligheten.

Exempel: en webbapplikation med en säker backend som interagerar med API:er i Qlik Cloud för att hantera användaråtkomst eller organisera datauppdateringsuppgifter.

Flöden för OAuth-auktorisering

Qlik har stöd för två typer av auktoriseringsflöden (beviljanden):

Flöde för auktoriseringskod: För konfidentiella kunder.
Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE): för offentliga klienter.

Flöde för auktoriseringskod

Detta flöde används av serverbaserade applikationer där källkoden inte är offentligt exponerad. Det innebär att en auktoriseringskod byts ut mot en access token och klienthemligheten används som autentisering. Webbapplikationer som använder det här flödet måste vara serverbaserade eftersom klienthemligheten skickas till auktoriseringsservern vid tokenutbytet.

Dela aldrig med dig av din klienthemlighet offentligt eftersom det äventyrar klientorganisationens säkerhet. Förvara den skyddat och privat.

Mer information om flöde för auktoriseringskod finns i den officiella dokumentationen för OAuth 2.0: Flöde för auktoriseringskod.

Flöde för auktoriseringskod med PKCE

Inbyggda applikationer och ensidesprogram kan inte lagra en klienthemlighet på ett säkert sätt eftersom deras källkod kan dekompileras eller inspekteras i en webbläsare. PKCE förbättrar säkerheten genom att kräva användning av en kodverifierare för att få en token.

Mer information om auktorisering med PKCE finns i den officiella dokumentationen för OAuth 2.0: Flöde för auktoriseringskod med Proof Key for Code Exchange (PKCE).

OAuth omfattning och behörigheter

OAuth-omfattningar definierar behörighetsnivån som beviljas OAuth-klientprogram. En token kan t.ex. ge full åtkomst till resurser eller begränsa den till skrivskyddad åtkomst. I Qlik Cloud kontrollerar omfattningar klienters tillgång till tillgängliga funktioner och resurser. Utan omfattningar kan klienter inte komma åt några resurser.

Tillgängliga OAuth-omfattningar

I tabellen visas tillgängliga omfattningar och deras tillhörande behörigheter:

Omfattning	Behörighet
user_default	Fullständig åtkomst till ditt konto och innehåll
admin_classic	Fullständig administratörsåtkomst till din klientorganisation Se även: Driftsätt och administrera Qlik Cloud Anteckning om informationStöds inte med klienttyperna Ensidesprogram och Internt.
admin.apps	Läsa och hantera alla appar i klientorganisationen. Se även: Hantera appar
admin.apps:export	Exportera alla appar i klientorganisationen Se även: Exportera appar
admin.apps:read	Läs alla appar i klientorganisationen
admin.automations	Läs och hantera alla automatiseringar i klientorganisationen Se även: Hantera automatiseringar
admin.automations:read	Läs alla automatiseringar i klientorganisationen
admin.spaces	Läs och hantera alla utrymmen i klientorganisationen Se även: Hantera utrymmen
admin.spaces:read	Läs alla utrymmen i klientorganisationen
appar	Läs och hantera dina appar Se även: Hantera appar
apps:export	Exportera dina appar Se även: Exportera appar
apps:read	Läs dina appar
automatiseringar	Läs och hantera dina automatiseringar Se även: Hantera automatiseringar
automations:read	Läs dina automatiseringar
automl-experiments	Läsa och hantera dina ML-experiment
automl-deployments	Läsa och hantera dina ML-distributioner
identity.email:read	Läs din e-postadress Se även: Identitetsleverantörer i Qlik Cloud
identity.name:read	Läs ditt fullständiga namn
identity.picture:read	Läs din profilbild Se även: Identitetsleverantörer i Qlik Cloud
identity.subject:read	Läs din användares ämnesidentifierare
spaces.data	Läsa och hantera dina datautrymmen Se även: Hantera utrymmen
spaces.data:read	Läsa dina datautrymmen
spaces.managed	Läsa och hantera dina hanterade utrymmen Se även: Hantera utrymmen
spaces.managed:read	Läsa dina hanterade utrymmen
spaces.shared	Läsa och hantera dina delade utrymmen Se även: Hantera utrymmen
spaces.shared:read	Läsa dina delade utrymmen
offline_access	Kom åt resurser när du är offline Anteckning om informationStöds inte med klienttypen Ensidesprogram.

Den här listan återspeglar de omfattningar som stöds i den initiala utgåvan. Du hittar en fullständig lista över omfattningar på Qlik Developer Portal under OAuth-omfattningar.

Skapa OAuth-klienter

Klientorganisationsadministratörer administrerar OAuth-klienter från aktivitetscentret för Administration på OAuth-sidan. Med hjälp av en OAuth-klient kan du integrera ditt klientprogram med Qlik Cloud för säker åtkomst till resurser.

Begränsningar av tillåtna ursprung och klienthemligheter

Dessa gränser gäller per kund:

Högst fem tillåtna ursprung.
Högst fem klienthemligheter.

Steg för att skapa en OAuth-klient

Gör följande:

Gå till OAuth i aktivitetscentret för Administration.
Klicka på Skapa ny.
Välj en klienttyp:
- Webb för konfidentiella klienter
- Ensidesprogram eller Internt för offentliga kunder.
I dialogen anger du ett namn för OAuth-klienten.
Du kan även lägga till en beskrivning.
Välj någon av de tillgängliga omfattningarna genom att antingen bläddra eller använda sökfältet.

Anteckning om tipsAnvänd knapparna Alla och Valda för att visa alla eller valda omfattningar.
Ange en eller flera omdirigerings-URL:er för OAuth-klientprogrammet. Klicka sedan på Lägg till för att lägga till omdirigerings-URL:en i godkända-listan.
- Det är till omdirigerings-URL:erna auktoriseringsservern skickar användarens webbläsare efter att autentiseringen har genomförts och behörighet till programmet har beviljats. Ett exempel är https://www.exampleapp.com/oauth/callback, där /oauth/callback hanterar autentiseringsreturanrop från OAuth-leverantören.
- Qlik Cloud dirigerar endast tillbaka användaren till programmet efter att auktoriseringen har utförts om dennas URL finns med i godkända-listan.
- URL:er måste börja med https:// såvida inte domänen är localhost då den kan börja med http://. Interna appar kan även använda applikationsspecifika länkformat, som exempelvis, exempelapp://.
Ange ett eller flera tillåtna ursprung (max 5) för klienttyperna Webb eller Ensidesprogram.
- Åtkomst till applikationen kommer endast att beviljas om URL:en läggs till i listan över tillåtna ursprung.
För klienttypen Webb kan du aktivera något av följande alternativ för automatiserad systemåtkomst utan användarinteraktion:
- Tillåt Machine-to-Machine (M2M): möjliggör system-till-system-kommunikation utan användarens inblandning.
- Tillåt M2M-användarimpersonifiering: tillåter din applikation att autentisera på uppdrag av användare och agera som dem under autentiseringsprocessen.
Klicka på Skapa.
Klicka på Kopiera till Urklipp för att spara klient-ID och klienthemligheten för senare användning. Spara klienthemligheten på en säker plats.

Anteckning om informationOffentliga klienter kommer inte att ha någon klienthemlighet.
Klicka på Klart.

OAuth-klienter för specifika användningsfall

För användningsfall för OAuth-klienten, se följande resurser:

Översikt över OAuth på Qlik Developer Portal: översikt över användningsfall för OAuth och de olika OAuth-typerna.
Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel: konfigurera en OAuth-klient för installation av Qlik-tillägget för Microsoft Excel.
Skapa en OAuth-klient för anonyma inbäddningar av appinnehåll: Skapa en OAuth-klient för att möjliggöra anonym åtkomst till inbäddat innehåll i appen.

Skapa en OAuth-klient för Qlik-tillägget till Microsoft Excel

En OAuth-klientkonfigurering krävs för att installera Qlik-tillägget för Microsoft Excel. Tillägget används av rapportutvecklare för att förbereda rapportmallar som styr utmatningen av tabellrapporter från Qlik Sense-appen.

För att OAuth ska fungera i tillägget måste OAuth-klienten konfigureras med exakt den konfiguration som visas nedan.

Gör följande:

Gå till OAuth i aktivitetscentret för Administration i Qlik Cloud, .
Klicka på Skapa ny.
I rullgardinsmenyn Klienttyp väljer du App med en sida. Fler fält kommer att visas.
Sätt in ett Namn. Beskrivning är valfritt.
Som minimum måste du välja kryssrutan som inkluderar user_default-omfattningen. Du kan inkludera andra omfattningar i konfigurationen, men utan user_default kommer inte installationen att fungera.

Se Tillgängliga OAuth-omfattningar för en fullständig beskrivning av varje tillgänglig omfattning.
I fältet Lägg till omdirigerings-URL anger du URL:en för din klientorganisationen följt av den fasta strängen: /office-add-ins/oAuthLoginSuccess.html

Resultatet ska se ut så här: https://YourServer/office-add-ins/oAuthLoginSuccess.html
Klicka på Lägg till.
I fältet Lägg till tillåtna ursprung anger du URL:en till din klientorganisation och klickar på Lägg till.
Klicka på Skapa.
Fönstret Kopiera ditt Klient-ID visas. Du kan välja att kopiera klient-ID till urklipp eller klicka på Klar för att stänga fönstret.

När du har skapat OAuth-klienten hämtar du länken till den uppdaterade XML-manifestfilen från aktivitetscentret för Administration. Gå till sidan Inställningar och navigera sedan till Delning och rapporter > Excel-tillägg i aktivitetscentret för Administration. Använd den här länken för att distribuera och installera tillägget.

Mer information om att generera manifestfilen och om att distribuera och installera ett tillägg finns i:

Skapa en OAuth-klient för anonyma inbäddningar av appinnehåll

För att bädda in appinnehåll för anonym åtkomst med hjälp av qlik-embed måste du skapa en OAuth-klient med en typ som är särskilt utformad för detta användningsfall.

Denna funktion är endast tillgänglig med en Qlik Anonymous Access-prenumeration. Mer information finns i Qlik Anonymous Access Prenumerationer.

Gör följande:

Gå till delavsnittet OAuth i aktivitetscentret för Administration.
Klicka på Skapa ny.
Välj Anonym inbäddning i listrutan Klienttyp.
Ange ett Namn och, om du vill, en Beskrivning för OAuth-klienten.
Under Tillåtna ursprung anger du alla ursprung som du behöver auktorisera. Det är de domäner som kommer att ha åtkomst till Qlik Cloud-klientorganisationen för att hämta information till de inbäddade analyserna.

Klicka på Lägg till efter varje URL som du infogar.
När du är klar klickar du på Skapa.
Klicka på Kopiera till urklipp för att spara klient-ID:t för framtida användning. Det kommer att behövas när innehållet i appen är inbäddat med qlik-embed.
Klicka på Klart.

Redigera OAuth-klienter

Du kan byta namn på en OAuth-klient, uppdatera beskrivningen eller hantera omdirigerings-URL:erna.

Gör följande:

Gå till OAuth i aktivitetscentret för Administration.
Välj OAuth-klienten som du vill redigera. Klicka på ... och välj sedan Redigera.
I dialogen ändrar du alternativen för OAuth-klienten efter behov.
Klicka på Spara.

Ta bort OAuth-klienter

Du kan ta bort en OAuth-klient när den inte längre behövs eller när du vill återkalla åtkomsten.

Gör följande:

Gå till OAuth i aktivitetscentret för Administration.
Välj en eller flera OAuth-klienter som du vill ta bort och klicka sedan på Ta bort.
Bekräfta borttagningen.

Publicera OAuth-klienter

OAuth-klienter binds först till den klientorganisation som skapade dem. Du kan dock konfigurera en OAuth-klient så att den delas mellan flera klientorganisationer inom samma region. Detta gör det möjligt för tredjepartsapplikationer att använda samma klient-ID i olika klientorganisationer på Qlik Cloud.

Appägare kan rotera klienthemligheter och uppdatera konfigurationen utan att en huvudadministratör medverkar. Klientorganisationens administratörer behöver inte hantera autentiseringsuppgifter eller känna till några konfigurationsdetaljer för den publicerade klienten.

En OAuth-klient måste publiceras för att andra klientorganisationer ska kunna ansluta till den.

Gör följande:

Gå till OAuth i aktivitetscentret för Administration.
Hitta den OAuth-klient som du vill publicera.
Klicka på ... bredvid klienten och välj sedan Publicera.
Klicka på publicera för att bekräfta.

När OAuth-klienten har publicerats blir den tillgänglig för extern användning av andra klientorganisationer. När användare besöker till en extern webbplats som använder den här OAuth-klienten uppmanas de att ange klientorganisationens värdnamn, och användarens inloggningsuppgifter om de inte redan har en aktiv SaaS-session.

Den första inloggningen kräver samtycke från en administratör hos klientorganisationen. När den har godkänts kommer OAuth-klienten att visas i klientorganisationens aktivitetscenter för Administration.

Metoder för samtycke

Som standard uppmanar Qlik Cloud användare att ge sitt samtycke vid autentisering. För att effektivisera processen, särskilt för betrodda applikationer, kan du ställa in samtyckesmetoden till "Betrodd", vilket hoppar över samtyckesprompten.

Det finns två alternativ för samtycke:

Obligatoriskt: användaren uppmanas till samtycke varje gång en ny omfattning begärs för OAuth-klienten. Denna metod säkerställer uttryckligt godkännande från användaren för varje behörighetsnivå.
Tillförlitlig: användaren uppmanas inte att ge sitt samtycke. Detta alternativ är endast tillgängligt för opublicerade klienter. För publicerade klienter är samtyckesmetoden alltid Obligatoriskt för att bibehålla säkerheten för flera klientorganisationer.

För klienter som används som Machine-to-Machine (M2M) måste samtyckesmetoden ändras till Betrodd efter att klienten har skapats.

Ändra metod för samtycke

Gör så här om du vill ändra samtyckesmetoden för en OAuth-klient:

Gå till OAuth i aktivitetscentret för Administration.
I OAuth-klienten klickar du på och väljer Ändra samtyckesmetod.
Välj Obligatorisk eller Betrodd och klicka sedan på Ändra samtyckesmetod.

Visa och kopiera OAuth-konfigurationen

I delavsnittet OAuth i aktivitetscentret för Administration väljer du Visa OAuth-konfiguration för att visa autentiseringsinformation för klientorganisationen Qlik Cloud. Detta kommer att visa ett kodavsnitt med OAuth-slutpunkter och inställningar, samt en URL som du kan kopiera för användning i externa applikationer.

Du kan använda den här konfigurationen för att integrera Qlik Cloud med tredjepartsapplikationer, automatisera API-åtkomst eller konfigurera autentisering för inbäddad analys.

Hantera klienthemligheter

Du kan behöva lägga till eller ta bort en klienthemlighet om den har äventyrats eller om din säkerhetspolicy kräver regelbundna uppdateringar.

Du kan lägga till fler klienthemligheter (max 5) för att förhindra driftstopp i programmet. Du kan till exempel skapa en ny hemlighet, uppdatera ditt klientprogram och sedan radera den gamla hemligheten.

Gå till OAuth i aktivitetscentret för Administration.
Gör följande:
Välj OAuth-klienten som du vill hantera. Klicka på och välj Hantera hemligheter.
I dialogen gör du något av följande:
- Om du vill lägga till en ny klienthemlighet klickar du på Generera ny klienthemlighet.
- Om du vill radera en klienthemlighet klickar du på bredvid klienthemligheten.
Klicka på Stäng.

Bygga OAuth-klientprogram för att få åtkomst till Qlik Cloud

När du har registrerat en OAuth-klient med Qlik Cloud kan du använda de associerade uppgifterna för klient-ID och klienthemlighet som finns i ditt OAuth-klientprogram.

För steg-för-steg-vägledning, se självstudierna i delavsnittet OAuth-översikt på Qlik-portalen för utvecklare. Dessa introduktionskurser handlar att bygga klientapplikationer med hjälp av populära programmeringsspråk.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!

Lämna din feedback här