Gå till huvudinnehåll Gå till ytterligare innehåll
Qlik-resurser

Skapa ny konfiguration för identitetsleverantör

Qlik Cloud tillhandahåller identitetsleverantörs- (IdP) konfiguration för användarinloggning, API-åtkomst och installation i flera moln. Varje Qlik Cloud-klientorganisation har stöd för en interaktiv IdP, t.ex. Qlik Account, Microsoft Entra ID (tidigare Azure AD), OKTA, Auth0 eller en annan IdP som är kompatibel med OpenID Connect (OIDC) eller Security Assertion Markup Language (SAML).

Klientorganisationsadministratörer kan skapa olika IdP-konfigurationer från aktivitetscentret i Administration.

  • För användarinloggning konfigurerar du en interaktiv IdP. Välj mellan OIDC eller SAML beroende på vilken standard som stöds av din identitetsleverantör.

    Anteckning om information

    • Endast en interaktiv IdP kan vara aktiv åt gången. Om du distribuerar din anpassade interaktiva IdP kommer den att ersätta Qlik Account-inloggningsflödet med autentiseringsprocessen som definierats av din valda IdP.

    • Hantering av SSO-fel för ditt företags IdP måste konfigureras via din identitetsleverantör. Qlik Cloud har inte stöd för att konfigurera en reserv-URL för omdirigering.

  • För sömlös multimoln-identitetshantering konfigurerar du en Multimoln-IdP med din lokala ägartoken.

Skapa en ny interaktiv OIDC IdP-konfiguration.

Huvudadministratörer kan skapa nya IdP-konfigurationer. Du kan bara ha en enda interaktiv IdP åt gången. Om du redan har en aktiv måste du först inaktivera den innan du kan aktivera den nya. Se Ändra konfigurationer för företags-IdP för mer information.

Detta avsnitt beskriver hur du konfigurerar inställningarna för identitetsleverantören i Qlik Cloud. Du behöver även göra konfigurationsinställningar i identitetsleverantören. En genomgång av dessa konfigurationer får du i följande resurser:

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration och klicka på Skapa nytt.

  2. För Typ väljer du OIDC.

  3. För Leverantör väljer du en identitetsleverantör från listan eller väljer Generisk om din specifika leverantör inte är listad.

  4. Du kan även lägga till en beskrivning för IdP-konfigurationen.

  5. Under Programinloggningsuppgifter kan du ange URL för upptäckt. Om en URL för upptäckt inte är tillgänglig eller inte lämnar korrekta metadata har du också möjlighet att ange enskilda värden manuellt. Manuell konfigurering ska endast användas när inte en URL för upptäckt har angetts.

    Gör ett av följande:

    1. Ange URL för upptäckt. Detta är URL:en till slutpunkten som tillhandahåller konfigurationsdata för OAuth-klienter så att det kan interagera med IdP med OpenID-anslutningsprotokollet. Namngivningskonventionerna för URL:en för upptäckt varierar beroende på vilken leverantör du har valt:

      • ADFS: URL för ADFS-upptäckt

      • Auth0: OpenID-konfiguration

      • Keycloak: Konfiguration av slutpunkt för Keycloak OpenID

      • Okta eller generisk IDP: Metadata-URI för OpenID Connect

      • Salesforce: URL för Salesforce-upptäckt

    eller

    1. Välj Manuell konfiguration.

    2. Ange följande värden:

      • Slutpunkt för auktorisering: URL:en för interaktion med resursägaren, där du får auktorisering för att komma åt resursen.

      • Slutpunkt för sessionsavslut (valfritt): den URL som används för att utlösa en enkel utloggning.

      • Slutpunkt för introspektion (valfritt): URL för att validera referenstokens eller JWT:er.

      • Utgivare: URL:en till identitetsleverantören.

      • JWKS URI: URI:en till JSON Web Key Set som innehåller publika nycklar som används för verifiering av en JSON Web Token (JWT).

      • Slutpunkt för token: URL:en för att få en åtkomsttoken.

      • Slutpunkt för användarinformation (valfritt): URL:en för att få användarinformation.

    Konfiguration som använder URL:en för upptäckt och manuell konfiguration.

    Konfigurationsrutor visade med och utan att använda URL för upptäckt.

  6. Ange Klient-ID: ID för den konfigurerade klienten vid IdP för interaktiv användarautentisering.

  7. Ange Klient-hemlighet: hemligheten för klienten som konfigurerats på IdP:en.

  8. Ange eventuellt en Sfär. Detta är det namn som ska associeras med IdP:en. Det är detsamma som domännamnet i Qlik Sense Enterprise on Windows och används för konsekvens vid namngivning i multimoln.

  9. Fyll i fälten under Anspråksmappning.

    Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Mappningar är tillgängliga för sub, name, groups, email, client_id, picture, and email_verified (valfritt).

    Anteckning om information

    • I indatafälten kan du ange flera sökvärden avgränsade med kommatecken. Det första värde som inte är null kommer att användas.

    • Grupp-anspråk krävs för att du ska kunna ta emot grupper. Observera att nästlade grupper inte stöds i Microsoft Entra ID.

  10. Konfigurera eventuellt de avancerade alternativen. Mer information finns i Avancerade alternativ.

  11. Klicka på Skapa.

    En bekräftelsedialog visas med alternativet för att validera IdP-konfigurationen.

    • För att validera nu väljer du Validera IdP och klickar på Skapa. Då inleds valideringsprocessen. Följ stegen i valideringsguiden för att utföra en inloggning och verifiera att användarprofilsdata är korrekt.

    • Om du föredrar att skapa konfigurationen nu men validera den senare avmarkerar du kryssrutan Validera IdP och klickar på Skapa. Du kan validera senare genom att klicka på Mer på din IdP-konfiguration och klicka på Validera.

    Validera och skapa IdP-konfigurationen.

    Bekräftelsedialog med alternativet Validera IdP valt

Lägga till URL:en för din klientorganisation i identitetsleveratörens lista över tillåtna..

Hos din identitetsleverantör lägger du till URL:en för din klientorganisation i godkända-listan. Det finns olika namn för den här inställningen, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

När du lägger till URL:en måste du lägga till login/callback till din klientorganisations adress, det vill säga https://<klientorganisationens namn>/login/callback.

Anteckning om informationAnvänd det klientorganisationens ursprungliga värdnamn när du anger omdirigerings-URI, inte aliasvärdnamnet. Klientorganisationens värdnamn finns i din användarprofilmeny, i avsnittet Om.

Avancerade alternativ

De Avancerade alternativen ger ytterligare möjligheter för vissa identitetsleverantörer.

Åsidosätt verifiering av e-post

Aktivera denna inställning för att alltid sätta email_verified-anspråket till "sant". Detta säkerställer att e-postadresser kan användas för identitetsmappning i ADFS och Microsoft Entra ID. Det är särskilt användbart när du byter IdP:er, men också för att skilja mellan två användare med exakt samma namn i aktivitetscentret för Administration .

Omfattning

Omfattning: används i OAuth 2.0-specifikationen för att ange åtkomstprivilegier när en åtkomsttoken utges. Ange värden åtskilda av blanksteg för att ange de behörigheter som du vill begära från identitetsleverantören. Inkludera exempelvis en gruppomfattning om det krävs för att IdP ska stödja en användargruppsfunktion.

URI för omdirigering efter utloggning

Används för att omdirigera en användare till en definierad URI efter utloggning. Detaljerade instruktioner finns i Använda omdirigerings-URI efter utloggning.

Blockera offline_access

När du använder Google Identity eller OneLogin som identitetsleverantör måste den här inställningen aktiveras för att konfigurationen ska fungera med offline_access till identitetsleverantören. Detta säkerställer att konfigurationen fungerar korrekt med Qlik Sense Mobile SaaS och OAuth 2.0-program.

Algoritm för iD-tokensignatur

RSA-signaturalgoritmen säkerställer ID-tokens äkthet och integritet. Qlik Cloud stöder två alternativ:

  • RS256 (standard)

  • RS512

Välj algoritm utifrån dina säkerhetsbehov.

Verifiering och dekryptering av tokensignatur

Generera nyckelpar för att verifiera signaturer och dekryptera krypterade JSON Web Tokens (JWT). Detaljerade instruktioner finns i Hantering av nyckelpar för signerade och krypterade ID-tokens.

Skapa en ny interaktiv SAML IdP-konfiguration.

Huvudadministratörer kan skapa nya IdP-konfigurationer. Du kan bara ha en enda interaktiv IdP åt gången. Om du redan har en aktiv måste du först inaktivera den innan du kan aktivera den nya. Se Ändra konfigurationer för företags-IdP för mer information.

Detta avsnitt beskriver hur du konfigurerar inställningarna för identitetsleverantören i Qlik Cloud. Du behöver även göra konfigurationsinställningar i identitetsleverantören. En genomgång av dessa konfigurationer får du i följande ämnen:

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration och klicka på Skapa nytt.

  2. För Typ väljer du SAML.

  3. För Leverantör väljer du en identitetsleverantör från listan eller väljer Generisk om din specifika leverantör inte är listad.

  4. Du kan även lägga till en beskrivning för IdP-konfigurationen.

  5. Under Konfiguration har u möjlighet att antingen ladda upp SAML XML-metadata från din identitetsleverantör eller ange enskilda värden manuellt.

    Gör ett av följande:

    1. Välj Använd IdP-metadata.

    2. Klicka på Ladda upp fil under SAML IdP-metadata och välj filen som innehåller metadata från din identitetsleverantör. Alternativt, om din identitetsleverantörs metadata inte är tillgängligt som fil kan du kopiera och klistra in metadata direkt i IdP-metadata-fältet.

    eller

    1. Klicka på Ladda upp fil under Signera certifikat för att ladda upp certifikatfilen.
      Detta är det certifikat som identitetsleverantören använder för att signera SAML-försäkringar som skickas till Qlik Cloud.

    2. Ange Element-ID för din identitetsleverantör.

    3. Ange URL för enkel inloggning.

      Detta är slutpunkten dit SAML-autentiseringsbegäran skickas. Detta är den URL som användaren dirigeras om till för autentisering.

    4. Välj ett format för namn-ID.

    Konfiguration som använder metadata och manuell konfiguration.

    Konfigurationsrutor visade med och utan att använda IdP-metadata.

  6. Välj vid behov Aktivera IdP-initierad inloggning.

    Standardinloggningsflödet är att användaren först går till Qlik Cloud och sedan dirigeras om till IdP:n för autentisering. Aktivera IdP-initierad inloggning om du vill att användaren först ska logga in på identitetsleverantören och sedan dirigeras om till Qlik Cloud.

  7. Redigera fälten under Anspråksmappning eller behåll standardvärdena.

    Anspråksmappning definierar hur användarattribut från din identitetsleverantör associeras med fält i Qlik Cloud-användarmodellen. Mappningar är tillgängliga för sub, name, email, groups och picture. Justera värdena så att de passar din organisations behov och attributen från din identitetsleverantör.

    Anteckning om information

    • I indatafälten kan du ange flera sökvärden avgränsade med kommatecken. Det första värde som inte är null kommer att användas.

    • Grupp-anspråk krävs för att du ska kunna ta emot grupper. Observera att nästlade grupper inte stöds i Microsoft Entra ID.

  8. Konfigurera vid behov URI för omdirigering efter utloggning under Avancerade alternativ.

    Den används för att omdirigera en användare till en definierad URI efter utloggning. Ett exempel på hur URI för omdirigering efter utloggning används finns i Använda omdirigerings-URI efter utloggning.

  9. Klicka på Skapa.

    En bekräftelsedialog visas med alternativet för att validera IdP-konfigurationen.

    SAML-metadata från serviceleverantören och SAML-signeringscertifikatet blir först tillgängliga efter att IdP-konfigurationen har skapats. Om du behöver den här informationen för att konfigurera identitetsleverantören kan du skapa IdP utan inledande validering och validera när konfigurationen hos din identitetsleverantör har slutförts.

    • För att validera nu väljer du Validera IdP och klickar på Skapa. Då inleds valideringsprocessen. Följ stegen i valideringsguiden för att utföra en inloggning och bekräfta att användarprofilsdata är giltiga.

    • Om du föredrar att skapa konfigurationen nu men validera den senare avmarkerar du kryssrutan Validera IdP och klickar på Skapa. Du kan validera senare genom att klicka på Mer på din IdP-konfiguration och klicka på Validera.

    Validera och skapa IdP-konfigurationen.

    Bekräftelsedialog med alternativet Validera IdP valt

Ladda upp serviceleverantörens metadata till din identitetsleverantör

Gör följande:

  1. Klicka på Mer i aktivitetscentret för Administration på den IdP-konfiguration som du nyss skapade, och välj Visa leverantörskonfiguration.

    En dialog visar serviceleverantörens metadata och URL:en till slutpunkten för metadata.

    Serviceleverantörens metadata.

    Bekräftelsedialog med alternativet Validera IdP valt

  2. Beroende på din identitetsleverantörs konfiguration hämtar du antingen metadata-filen eller kopierar URL:en och sparar för senare användning. Hämta vid behov signeringscertifikatfilen. Klicka på Klart.

  3. Hos din identitetsleverantör anger du serviceleverantörens metadata. Se till att du konfigurerar följande nödvändiga inställningar:

    • URL för Assertion Consumer Service (ACS). Det är hit som identitetsleverantören skickar SAML-försäkringar efter autentisering.

    • Serviceleverantörens element-ID.

    • Certifikatet för validering av autentiseringsbegäran. Detta används av identitetsleverantören för att verifiera serviceleverantörens autenticitet.

  4. När konfigurationen av din identitetsleverantör har slutförts kan du validera din IdP-konfiguration i aktivitetscentret för Administration. Klicka på Mer på konfiguration och välj Validera. Följ stegen i valideringsguiden för att utföra en inloggning och verifiera att användarprofilsdata är korrekt.

Aktivera att grupper skapas automatiskt

Grupper används för att kontrollera användaråtkomst och kan skapas automatiskt från IdP-grupper. När autoskapande av grupper t är aktiverat ärvs grupper från identitetsleverantören så att åtkomst kan ges till samma användargrupper som finns i IdP. Det blir enklare att administrera åtkomst, jämfört med att ge åtkomst till enskilda användare.

När användare loggar in visas nya IdP-grupper dynamiskt i Qlik Cloud. Alla de här grupperna importeras inte samtidigt, utan IdP-grupper upptäcks under inloggningen. Endast grupper som är kopplade till Qlik Cloud-användare är tillgängliga.

För att kunna konfigurera grupper måste du använda enkel inloggning och ha åtkomst till IdP som administratör.

Gör följande:

  1. Gå till Inställningar i aktivitetscentret för Administration.
  2. Under Funktionskontroll väljer du Skapa grupper.
RELATERAD INFORMATION:

Mer information

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!

Lämna din feedback här