Skapa ny konfiguration för identitetsleverantör

Huvudadministratören kan skapa nya IdP-konfigurationer från Management Console. Qlik Cloud tillhandahåller IdP-konfiguration för användarinloggning, API-åtkomst och installation i flera moln.

I Qlik Cloud tillhandahåller Qlik automatiskt en standardidentitetsleverantör (IdP) som kallas Qlik Account för att göra det enklare att komma igång med plattformen (inte tillgängligt med Qlik Cloud Government). Qlik Account är en Qlik-tillhandahållen autentiseringsmekanism för att få tillgång till egenskaper inom domänerna qlik.com och qlikcloud.com. Den e-postadress för vilken du fick välkomstmeddelandet för Qlik Cloud, även kallad servicekontoägare, är medlem i Qlik Account IdP, och kan för Qlik Cloud-klientorganisationer som skapats via Min Qlik omedelbart logga in på klientorganisationen efter skapandet.

Du kan också välja att använda din egen IdP till en Qlik Cloud-driftsättning. Varje Qlik Cloud-klientorganisation har stöd för en interaktiv IdP, t.ex. Qlik Account Azure AD, OKTA, Auth0 eller en annan (OIDC) Open ID Connect-kompatibel IdP. Om du distribuerar din egen interaktiva IdP kommer detta att ersätta Qlik Account-inloggningsflödet med det för IdP som du har valt.

Gör följande:

1. Öppna delavsnittet Identitetsleverantör i Management Console.

2. Klicka på Skapa ny.

   Sidan för att skapa en IdP-konfiguration öppnas.

3. Välj IdP-typ:

   • Interaktiv för inloggning av användare
   • Machine-to-Machine (M2M) för API-åtkomst
   • Multi-Cloud för att ange lokal ägartoken för att skapa konfiguration för identitetsleverantör, se MSC – driftsättningar (endast på engelska)

4. Välj din IdP-leverantör. Välj Generisk om din specifika IdP inte finns med som alternativ.

5. Ange en beskrivning (valfritt).

6. Fyll i fälten i delavsnittet Programinloggningsuppgifter:

   1. Det första fältet är URL:en till den slutpunkt som förser OAuth-klienterna med konfigurationsinformation för gränssnitt till IdP med OpenID Connect-protokollet. Det går under olika namn:

      • ADFS: ADFS discovery URL
      • Auth0: OpenID-konfiguration
      • Keycloak: Konfiguration av slutpunkt för Keycloak OpenID
      • Okta/Generic: Metadata-URI för OpenID Connect
      • Salesforce: Salesforce discovery URL

      Manuell konfiguration

      Ibland finns det inte någon URL för upptäckt eller så ger den inte korrekta metadata. Istället för att ange en slutpunkts-URL för hämtning av metadata kan du ange motsvarande data i formuläret. Du använder endast manuell konfiguration om du inte har angett någon URL för upptäckt.

      Gör följande:

      1. Välj en leverantör i panelen Skapa konfiguration för identitetsleverantör.

      2. Aktivera manuell konfiguration.

         Detta inaktiverar konfigurationsfältet för OpenID och fälten för manuell konfiguration aktiveras.

      3. Lägg till Utfärdare, URL till identitetsleverantören.

      4. Lägg till Slutpunkt för auktorisering, URL för interaktion med resursägare, där du får auktorisering för åtkomst till resursen.

      5. Lägg till Slutpunkt för token, URL för att hämta åtkomsttoken.

      6. Lägg till Slutpunkt för användarinformation, URL för att hämta användarinformation.

      7. Lägg till JWKS URI, URI till JSON Web Key Set med offentliga nycklar som används för verifiering av JSON Web Token (JWT).

      8. Du kan även välja att lägga till Slutpunkt för sessionsavslut, URL som används för att utlösa en enkel utloggning.

      9. Du kan även välja att lägga till Slutpunkt för introspektion, URL för att validera referenstokens eller JWT.

      10. Fyll i fälten i avsnittet Anspråksmappning.

          Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Du kan använda flera värden för varje anspråk, avgränsade med kommatecken. Ingen konkatenering görs dock, om det första värdet är null så fortsätter mappningen till det andra värdet.

          • sub, name, groups, email, client_id, picture, email_verified (valfritt) för interaktiv mappning, samt sub och client_id för Machine-to-Machine.
            Gruppanspråk krävs för att du ska kunna ta emot grupper.
          Anteckning om informationNästlade grupper stöds inte i Azure AD.

      11. Vid din identitetsleverantör inkluderar du URL:en för din klientorganisation i godkända-listan. Inställningen har olika namn, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

          När du lägger till ett ursprung i godkända-listan ska du lägga till login/callback i klientorganisationens adress. Exempel: https://<klientorganisationsnamn>/login/callback.

          Anteckning om informationDu måste använda det ursprungliga värdnamnet när du anger omdirigerings-URI, inte aliasvärdnamnet. Värdnamnet hittar du under Inställningar > Klientorganisation > Värdnamn.

   2. Client ID (endast för interaktiv): Den konfigurerade klientens ID i IdP för interaktiv användarautentisering.

   3. Client secret (endast för interaktiv): Hemlighet för klienten, konfigurerad i IdP.

   4. Realm (valfritt): Namn som associeras med IdP. Detta är samma som domännamnet i Qlik Sense Enterprise on Windows och används för namnkonsekvens i Multi-Cloud.

7. Fyll i fälten i avsnittet Anspråksmappning.

   Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Du kan använda flera värden för varje anspråk, avgränsade med kommatecken. Ingen konkatenering görs dock, om det första värdet är null så fortsätter mappningen till det andra värdet.

   • sub, name, groups, email, client_id, picture, email_verified (valfritt) för interaktiv mappning, samt sub och client_id för Machine-to-Machine.
     Gruppanspråk krävs för att du ska kunna ta emot grupper.
   Anteckning om informationNästlade grupper stöds inte i Azure AD.

8. Vid din identitetsleverantör inkluderar du URL:en för din klientorganisation i godkända-listan. Inställningen har olika namn, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

   När du lägger till ett ursprung i godkända-listan ska du lägga till login/callback i klientorganisationens adress. Exempel: https://<klientorganisationsnamn>/login/callback.

   Anteckning om informationDu måste använda det ursprungliga värdnamnet när du anger omdirigerings-URI, inte aliasvärdnamnet. Värdnamnet hittar du under Inställningar > Klientorganisation > Värdnamn.

Avancerade alternativ

De avancerade alternativen utökar funktionerna för vissa IdP:er.

Åsidosätt verifiering av e-post: Används i ADFS och Azure AD för att säkerställa att en användares e-postadress kan användas för identitetsmappning. Det här alternativet är användbart när du byter IdP:er, men även i Management Console för att skilja mellan två användare som har exakt samma namn.

Omfattning: Används i OAuth 2.0-specifikationen för att ange åtkomstbehörigheter när en åtkomsttoken utfärdas. Det här alternativet kan du till exempel använda när du vill lägga till en gruppomfattning, om IdP:n kräver detta för att stödja en användargrupps funktion.

URI för omdirigering efter utloggning (valfritt): Används för att dirigera om en användare till en definierad URI efter utloggning.

Ett exempel på hur URI för omdirigering efter utloggning kan användas finns i: Använda omdirigerings-URI efter utloggning.

Blockera sändning av omfattningen ”offline_access” till identitetsleverantör: Vid användning av Google Identity eller OneLogin som identitetsleverantör måste den här inställningen aktiveras för att konfigurationen ska fungera med Qlik Sense Mobile SaaS och OAuth 2.0-programmen.