Gå till huvudinnehåll Gå till ytterligare innehåll
Qlik-resurser

Skapa en interaktiv OIDC-IdP-konfiguration.

Detta avsnitt beskriver hur du konfigurerar inställningarna för identitetsleverantören i Qlik Cloud.

Konfiguration av identitetsleverantören

Förutom konfigurationen i Qlik Cloud behöver du även göra konfigurationsinställningar i identitetsleverantören. En genomgång av dessa konfigurationer får du i följande resurser:

Konfiguration i Qlik Cloud

Huvudadministratörer kan skapa nya IdP-konfigurationer.

Anteckning om informationDu kan bara ha en enda interaktiv IdP åt gången. Om du redan har en aktiv måste du först inaktivera den innan du kan aktivera den nya. Mer information finns i Byte av företagsidentitetsleverantör.

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration och klicka på Skapa nytt.

  2. För Typ väljer du OIDC.

  3. För Leverantör väljer du en identitetsleverantör från listan eller väljer Generisk om din specifika leverantör inte är listad.

  4. Du kan även lägga till en beskrivning för IdP-konfigurationen.

  5. Under Programinloggningsuppgifter kan du ange URL för upptäckt. Om en URL för upptäckt inte är tillgänglig eller inte lämnar korrekta metadata har du också möjlighet att ange enskilda värden manuellt. Manuell konfigurering ska endast användas när inte en URL för upptäckt har angetts.

    Gör ett av följande:

    1. Ange URL för upptäckt. Detta är URL:en till slutpunkten som tillhandahåller konfigurationsdata för OAuth-klienter så att det kan interagera med IdP med OpenID-anslutningsprotokollet. Namngivningskonventionerna för URL:en för upptäckt varierar beroende på vilken leverantör du har valt:

      • ADFS: URL för ADFS-upptäckt

      • Auth0: OpenID-konfiguration

      • Keycloak: Konfiguration av slutpunkt för Keycloak OpenID

      • Okta eller generisk IDP: Metadata-URI för OpenID Connect

      • Salesforce: URL för Salesforce-upptäckt

    eller

    1. Välj Manuell konfiguration.

    2. Ange följande värden:

      • Slutpunkt för auktorisering: URL:en för interaktion med resursägaren, där du får auktorisering för att komma åt resursen.

      • Slutpunkt för sessionsavslut (valfritt): den URL som används för att utlösa en enkel utloggning.

      • Slutpunkt för introspektion (valfritt): URL för att validera referenstokens eller JWT:er.

      • Utgivare: URL:en till identitetsleverantören.

      • JWKS URI: URI:en till JSON Web Key Set som innehåller publika nycklar som används för verifiering av en JSON Web Token (JWT).

      • Slutpunkt för token: URL:en för att få en åtkomsttoken.

      • Slutpunkt för användarinformation (valfritt): URL:en för att få användarinformation.

    Konfiguration som använder URL:en för upptäckt och manuell konfiguration.

    Konfigurationsrutor visade med och utan att använda URL för upptäckt.

  6. Ange Klient-ID: ID för den konfigurerade klienten vid IdP för interaktiv användarautentisering.

  7. Ange Klient-hemlighet: hemligheten för klienten som konfigurerats på IdP:en.

  8. Ange eventuellt en Sfär. Detta är det namn som ska associeras med IdP:en. Det är detsamma som domännamnet i Qlik Sense Enterprise on Windows och används för konsekvens vid namngivning i multimoln.

  9. Fyll i fälten under Anspråksmappning.

    Anspråk är påståenden (namn/värde-par) om elementet (ofta användaren) och metadata om OpenID Connect-tjänsten. Mappningar är tillgängliga för sub, name, groups, email, client_id, picture, and email_verified (valfritt).

    Anteckning om information

    • I indatafälten kan du ange flera sökvärden avgränsade med kommatecken. Det första värde som inte är null kommer att användas.

    • Grupp-anspråk krävs för att du ska kunna ta emot grupper. Observera att nästlade grupper inte stöds i Microsoft Entra ID.

  10. Konfigurera eventuellt de avancerade alternativen. Mer information finns i Avancerade alternativ.

  11. Klicka på Skapa.

    En bekräftelsedialog visas med alternativet för att validera IdP-konfigurationen.

    • För att validera nu väljer du Validera IdP och klickar på Skapa. Då inleds valideringsprocessen. Följ stegen i valideringsguiden för att utföra en inloggning och verifiera att användarprofilsdata är korrekt.

    • Om du föredrar att skapa konfigurationen nu men validera den senare avmarkerar du kryssrutan Validera IdP och klickar på Skapa. Du kan validera senare genom att klicka på Mer på din IdP-konfiguration och klicka på Validera.

    Validera och skapa IdP-konfigurationen.

    Bekräftelsedialog med alternativet Validera IdP valt

Lägga till URL:en för din klientorganisation i identitetsleveratörens lista över tillåtna..

Hos din identitetsleverantör lägger du till URL:en för din klientorganisation i godkända-listan. Det finns olika namn för den här inställningen, till exempel Tillåtna URL:er för motringning, URI för omdirigering eller URI för omdirigering vid inloggning.

När du lägger till URL:en måste du lägga till login/callback till din klientorganisations adress, det vill säga https://<klientorganisationens namn>/login/callback.

Anteckning om informationAnvänd det klientorganisationens ursprungliga värdnamn när du anger omdirigerings-URI, inte aliasvärdnamnet. Klientorganisationens värdnamn finns i din användarprofilmeny, i avsnittet Om.

Avancerade alternativ

De Avancerade alternativen ger ytterligare möjligheter för vissa identitetsleverantörer.

Åsidosätt verifiering av e-post

Aktivera denna inställning för att alltid sätta email_verified-anspråket till "sant". Detta säkerställer att e-postadresser kan användas för identitetsmappning i ADFS och Microsoft Entra ID. Det är särskilt användbart när du byter IdP:er, men också för att skilja mellan två användare med exakt samma namn i aktivitetscentret för Administration .

Omfattning

Omfattning: används i OAuth 2.0-specifikationen för att ange åtkomstprivilegier när en åtkomsttoken utges. Ange värden åtskilda av blanksteg för att ange de behörigheter som du vill begära från identitetsleverantören. Inkludera exempelvis en gruppomfattning om det krävs för att IdP ska stödja en användargruppsfunktion.

URI för omdirigering efter utloggning

Används för att omdirigera en användare till en definierad URI efter utloggning. Detaljerade instruktioner finns i Använda omdirigerings-URI efter utloggning.

Blockera offline_access

När du använder Google Identity eller OneLogin som identitetsleverantör måste den här inställningen aktiveras för att konfigurationen ska fungera med offline_access till identitetsleverantören. Detta säkerställer att konfigurationen fungerar korrekt med Qlik Sense Mobile SaaS och OAuth 2.0-program.

Algoritm för iD-tokensignatur

RSA-signaturalgoritmen säkerställer ID-tokens äkthet och integritet. Qlik Cloud stöder två alternativ:

  • RS256 (standard)

  • RS512

Välj algoritm utifrån dina säkerhetsbehov.

Verifiering och dekryptering av tokensignatur

Generera nyckelpar för att verifiera signaturer och dekryptera krypterade JSON Web Tokens (JWT). Detaljerade instruktioner finns i Hantering av nyckelpar för signerade och krypterade ID-tokens.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!

Lämna din feedback här