Ana içeriğe geç

Kimlik sağlayıcılarını yönetme

BU SAYFADA

Kimlik sağlayıcılarını yönetme

Qlik Sense Enterprise SaaS hizmetinde, dağıtımınızı kurarken halihazırda mevcut olan bir kimlik sağlayıcısı (IdP) kullanmayı seçebilirsiniz. Qlik Account kullanmayı da seçebilirsiniz. Qlik Sense Business uygulamasında yalnızca Qlik Account kullanabilirsiniz.

Not: Kimlik sağlayıcısının nasıl kurulacağı hakkında bilgi edinmek için bkz. Kimlik sağlayıcılarını ayarlama.

Bu konuda, Qlik Sense Enterprise SaaS içinde kimlik sağlayıcı ayarlarının nasıl yapılandırılacağı açıklanmaktadır. Kimlik sağlayıcısı tarafında da yapılandırmalar yapmanız gerekir. Bu yapılandırmaların yönergeleri için aşağıdaki kaynaklara bakın:

Qlik Sense Enterprise SaaS için IDP olarak Salesforce.com adresini kullanma (OIDC kimlik doğrulaması)

Qlik Sense Enterprise SaaS için IDP olarak Active Directory Federation Services'ı kullanma

Nasıl yapılır?: Qlik Sense Enterprise SaaS'ı IdP olarak Azure AD'yi kullanacak şekilde yapılandırma

Yeni kimlik sağlayıcısı yapılandırması oluşturma

Aşağıdakileri yapın:

  1. Management Console'da Kimlik sağlayıcısı bölümünü açın.

  2. Yeni oluştur'a tıklayın.

    IdP yapılandırmasını oluşturma sayfası açılır.

  3. IdP türü seçin:

    • Kullanıcıların oturum açmaları için Etkileşimli
    • API erişimi için Makineden Makineye (M2M)
    • Kimlik sağlayıcısı yapılandırması oluşturmak üzere yerel kullanıcı belirtecini girmek için çoklu bulut, MSC - Dağıtımlar (yalnızca İngilizce) bölümüne bakın.

  4. IdP sağlayıcınızı seçin. Belirli IdP kullanılabilir bir seçenek değilse Genel seçeneğini belirleyin.

  5. İsteğe bağlı olarak bir açıklama girin.

  6. Uygulama kimlik bilgileri bölümündeki alanları doldurun:

    1. İlk alan, OpenID Connect protokolünü kullanarak IdP ile arayüz oluşturmak için OAuth istemcilerine yapılandırma bilgisi sağlayan yapılandırma uç noktası URL'sidir. Farklı isimlerle kullanılabilir:

      • ADFS: ADFS keşif URL'si
      • Auth0: OpenID yapılandırması
      • Keycloak: Keycloak OpenID uç nokta yapılandırması
      • Okta/Genel: OpenID Connect meta veri URI'si
      • Salesforce: Salesforce keşif URL'si

      Manuel yapılandırma

      Bazı zamanlarda keşif URL'si kullanılamayabilir veya doğru meta verileri sağlamayabilir. Meta verileri almak için uç nokta URL'si girmek yerine formda ilgili olan verileri girebilirsiniz. Yalnızca herhangi bir keşif URL'si girmediyseniz manuel yapılandırmayı kullanırsınız.

      Aşağıdakileri yapın:

      1. Kimlik sağlayıcısı yapılandırması oluştur panelinde sağlayıcıyı seçin.

      2. Manuel yapılandırma'yı açın.

        Bu, OpenID yapılandırma alanını devre dışı bırakır ve alanların manuel olarak yapılandırılmasına izin verir.

      3. Kimlik sağlayıcısına Veren URL bilgisini ekleyin.

      4. Kaynağa erişim için kullanacağınız kimlik doğrulamayı almak için, kaynak sahibiyle birlikte etkileşim sağlayan Kimlik doğrulama uç noktası URL'sini ekleyin.

      5. Erişim belirteci alacağınız URL olan Belirteç uç noktası'nı ekleyin.

      6. Kullanıcı bilgisini almaya yarayan URL olan Kullanıcı bilgisi uç noktası'nı ekleyin.

      7. JSON Web Token (JWT) doğrulaması için kullanılan ve herkese açık anahtarları içeren JSON Web Key Set URI'si olan JWKSURI'yi ekleyin.

      8. İsteğe bağlı olarak, çoklu oturum kapatmayı tetikleyen URL olan Oturum sonlandırma uç noktası'nı ekleyin.

      9. İsteğe bağlı olarak, referans belirteçlerini veya JWT'leri geçerli kılan URL olan Denetleme uç noktası'nı ekleyin.

      10. Talep eşleme bölümündeki alanları doldurun.

        Talepler, öğeyle (çoğu durumda kullanıcı) ilgili deyimler (ad/değer çiftleri) ve OpenID Connect hizmetiyle ilgili meta verilerdir. Her talep için virgülle ayrılan birden fazla değer kullanabilirsiniz.

        • Etkileşim için sub, name, groups, email, client_id, picture, email_verified (isteğe bağlı) ve Makineden Makineye için sub ve client_id.
          Grup alabilmek için grup talebi gereklidir.

      11. Kimlik sağlayıcınızda kiracı URL'nizi izin verilenler listesine alın. Ayarın farklı adları vardır; örneğin, İzin Verilen Geri Çağrı URL'leri, Yeniden Yönlendirme URI'si veya Oturum açma yeniden yönlendirme URI'si.

        İzin verilenler listesine alırken, kiracı adresinize login/callback bölümünü eklemeniz gerekir. Örnek: https://<tenantname>/login/callback.

        Not: Yeniden yönlendirme URI'sini ayarlarken ana bilgisayar için takma adı değil, orijinal ana bilgisayar adını kullanmalısınız. Ana bilgisayar adını Ayarlar > Kiracı > Ana bilgisayar adı altında bulabilirsiniz.

    2. İstemci Kimliği (yalnızca etkileşimli için): Etkileşimli kullanıcı kimliği doğrulama için IdP hedefindeki istemcide yapılandırılmış istemcinin kimliği.

    3. İstemci parolası (yalnızca etkileşimli için): IdP dahilinde yapılandırılmış istemci için parola.

    4. Erişim alanı (isteğe bağlı): IdP ile ilişkilendirilecek ad. Bu, Qlik Sense Enterprise on Windows ortamındaki etki alanı adı ile aynıdır ve çoklu bulut ortamında adlarda tutarlılığı sağlamak için kullanılır.

  7. Talep eşleme bölümündeki alanları doldurun.

    Talepler, öğeyle (çoğu durumda kullanıcı) ilgili deyimler (ad/değer çiftleri) ve OpenID Connect hizmetiyle ilgili meta verilerdir. Her talep için virgülle ayrılan birden fazla değer kullanabilirsiniz.

    • Etkileşim için sub, name, groups, email, client_id, picture, email_verified (isteğe bağlı) ve Makineden Makineye için sub ve client_id.
      Grup alabilmek için grup talebi gereklidir.

  8. Kimlik sağlayıcınızda kiracı URL'nizi izin verilenler listesine alın. Ayarın farklı adları vardır; örneğin, İzin Verilen Geri Çağrı URL'leri, Yeniden Yönlendirme URI'si veya Oturum açma yeniden yönlendirme URI'si.

    İzin verilenler listesine alırken, kiracı adresinize login/callback bölümünü eklemeniz gerekir. Örnek: https://<tenantname>/login/callback.

    Not: Yeniden yönlendirme URI'sini ayarlarken ana bilgisayar için takma adı değil, orijinal ana bilgisayar adını kullanmalısınız. Ana bilgisayar adını Ayarlar > Kiracı > Ana bilgisayar adı altında bulabilirsiniz.

Gelişmiş seçenekler

Gelişmiş seçenekler bazı IdP'lerin kabiliyetlerini artırır.

E-posta doğrulamasını geçersiz kıl: Bir kullanıcının e-posta adresinin kimlik eşlemesi için kullanılabilmesini sağlamak amacıyla ADFS ve Azure AD içinde kullanılır. Bu seçenek, IdP'ler değiştirilirken kullanışlıdır, ayrıca Management Console içinde tamamen aynı ada sahip iki kullanıcıyı ayırt etmek için de kullanışlıdır.

Kapsam: Erişim belirteci sunarken erişim ayrıcalıklarını belirtmek için OAuth 2.0 belirtiminde kullanılır. Örneğin, IdP kimlik sağlayıcısının kullanıcı grubu özelliğini desteklemesi gerektiği durumlarda bu seçeneği kullanarak grup kapsamı ekleyebilirsiniz.

Oturum kapatma sonrası yönlendirme URI'si (isteğe bağlı): Oturum kapatma sonrasında tanımlanmış bir URI'ye kullanıcı yönlendirmek için kullanılır.

Oturum kapatma sonrası yönlendirme URI'sinin nasıl kullanıldığını görmek için bkz.: IdP: Oturum kapatma sonrası yönlendirme URI'sini kullanma.

Otomatik grup oluşturmayı etkinleştirme

Otomatik grup oluşturmayı etkinleştir seçeneği, Ayarlar sayfasından Management Console'da etkinleştirilir.

Groups are used for access control of users, and can optionally be automatically created from idp-groups.

Enable auto-creation of groups property
Property Description
Enable auto-creation of groups

When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time.

It is required that you use single sign-on and have administrative access to your IdP to configure groups.

Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier.

Aşağıdakileri yapın:

  1. Management Console'da Ayarlar sayfasına gidin.
  2. Gruplar bölümünde Otomatik grup oluşturmayı etkinleştir düğmesini etkinleştirin.

Mevcut bir IdP yapılandırması üzerinde değişiklik yapma

Mevcut bir IdP yapılandırması üzerinde değişiklik yapabilirsiniz.

Aşağıdakileri yapın:

  1. Management Console'da Kimlik sağlayıcısı bölümünü açın.

  2. Tablonun en sağında, düzenlemek istediğiniz IdP için ... öğesine tıklayın.

    IdP'leri etkinleştirme/devre dışı bırakma, doğrulama, düzenleme ve silme seçeneklerini içeren bir alt menü görüntülenir.

IdP Öğesini Etkinleştirme/Devre Dışı Bırakma

Paralel olarak birkaç farklı etkileşimli IdP yapılandırılmış olabilir ancak aynı anda yalnızca biri etkin olur. Diğerlerinin devre dışı bırakılması veya silinmesi gerekir. Etkileşimli bir IdP öğesini devre dışı bıraktığınızda otomatik olarak Qlik Account yapılandırmasına geri dönersiniz. Daha fazla bilgi için bkz. silmeIdP

IdP öğesini doğrulama

Etkileşimli bir IdP kaydedildiğinde otomatik olarak doğrulama gerçekleşir ancak gerekirse örneğin, IdP öğesini düzenledikten sonra da el ile doğrulama tetikleyebilirsiniz. Doğrula seçeneğini belirlemenizin ardından, oturum açma için kimlik sağlayıcısına ve sonra bir dizi başka doğrulama adımına yönlendirilirsiniz.

IdP öğesini düzenleme

Her tür IdP'yi düzenleyebilirsiniz. Düzenledikten sonra, IdP öğesinin düzgün çalıştığından emin olmak için değişikliklerinizi doğrulayın. Doğrula seçeneği, Makineler Arası yapılandırmalar için kullanılamaz.

silmeIdP

Qlik Sense Enterprise SaaS içinde, varsayılan IdP, Qlik Account öğesidir. İstediğiniz kurumsal IdP öğesine değiştirebilirsiniz. Daha sonra kurumsal IdP öğesini silmeye karar verirseniz sonuçlarını bilmelisiniz.

Uyarı: Bir kimlik sağlayıcısının silinmesi kiracıyı kullanıcılar için erişilmez hale getirir.

Bir kurumsal IdP öğesini sildiğinizde, kiracı Qlik Account öğesine geri döner. Silinen kurumsal IdP aracılığıyla kiracıya erişen kullanıcılar artık oturum açamaz ve oluşturdukları içeriğe erişemez. Ancak oluşturdukları içerik, sahipliği ayarlayabilecek olan Qlik Account kiracı yöneticileri tarafından görülebilir.

Ayrıca, bu kullanıcılar kurumsal IdP için olan aynı e-posta adresiyle daha önce Qlik Account kullanmışsa Qlik Account süresince oluşturulan tüm içerik korunur.

Not: IdP öğesini silmek yerine IdP öğesini devre dışı bırakabilirsiniz. Daha sonra kiracı, Qlik Account hesabına geri döner.