Etkileşimli OIDC IdP yapılandırması oluşturma
Bu konuda, Qlik Cloud içinde kimlik sağlayıcı ayarlarının nasıl yapılandırılacağı açıklanmaktadır.
Kimlik sağlayıcısı tarafında yapılandırma
Qlik Cloud içinde yapılandırmaya ek olarak, kimlik sağlayıcısı tarafında da yapılandırmalar yapmanız gerekir. Bu yapılandırmaların yönergeleri için aşağıdaki kaynaklara bakın:
Qlik Cloud içinde yapılandırma
Kiracı yöneticileri yeni IdP yapılandırmaları oluşturabilir.
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezinde Kimlik sağlayıcı'ya gidin ve Yeni oluştur'a tıklayın.
-
Tür için OIDC'yi seçin.
-
Sağlayıcı için listeden bir kimlik sağlayıcısı seçin veya belirli sağlayıcınız listede yoksa Genel'i seçin.
-
İsteğe bağlı olarak, IdP yapılandırması için bir açıklama girin.
-
Uygulama kimlik bilgileri altında, keşif URL'sini girebilirsiniz. Bir keşif URL'si mevcut değilse veya uygun meta verileri vermiyorsa değerleri tek tek manuel olarak girme seçeneğiniz de vardır. Manuel yapılandırma yalnızca bir keşif URL'si girilmediğinde kullanılmalıdır.
Şunlardan birini yapın:
-
Keşif URL'sini girin. Bu, OAuth istemcilerinin OpenID Connect protokolünü kullanarak IdP ile arayüz oluşturması için yapılandırma verileri sağlayan uç noktanın URL'sidir. Keşif URL'si için adlandırma kuralları seçtiğiniz sağlayıcıya göre değişir:
-
ADFS: ADFS keşif URL'si
-
Auth0: OpenID yapılandırması
-
Keycloak: Keycloak OpenID uç nokta yapılandırması
-
Okta veya Generic IdP: OpenID Connect meta veri URI'si
-
Salesforce: Salesforce keşif URL'si
-
veya
-
Manuel yapılandırma öğesini seçin.
-
Aşağıdaki değerleri girin:
-
Yetkilendirme uç noktası: Kaynağa erişim yetkisi aldığınız kaynak sahibi ile etkileşim için URL.
-
Oturum sonlandırma uç noktası (isteğe bağlı): Tekli oturumu kapatmayı tetiklemek için kullanılan URL.
-
Denetleme uç noktası (isteğe bağlı): Referans belirteçlerini veya JWT'leri doğrulamak için URL.
-
Veren: Kimlik sağlayıcısının URL'si.
-
JWKS URI: Bir JSON Web Belirtecinin (JWT) doğrulanması için kullanılan genel anahtarları içeren JSON Web Anahtarı Kümesinin URI'si.
-
Belirteç uç noktası: Erişim belirteci almak için URL.
-
Kullanıcı bilgileri uç noktası (isteğe bağlı): Kullanıcı bilgilerini almak için URL.
-
Keşif URL'sini kullanarak yapılandırma ve manuel yapılandırma.
-
-
İstemci Kimliğini girin: Etkileşimli kullanıcı kimlik doğrulaması için IdP'de yapılandırılmış istemcinin kimliği.
-
İstemci parolasını girin: IdP'de yapılandırılan istemci için parola.
-
İsteğe bağlı olarak bir Erişim Alanı girin. Bu, IdP ile ilişkilendirilecek addır. Qlik Sense Enterprise on Windows öğesindeki alan adı ile aynıdır ve çoklu bulutta adlandırma tutarlılığı için kullanılır.
-
Talep eşleme altındaki alanları doldurun.
Talepler, varlık (çoğu durumda kullanıcı) hakkındaki ifadeler (ad/değer çiftleri) ve OpenID Connect hizmeti hakkındaki meta verilerdir. Alt, ad, gruplar, e-posta, istemci_kimliği, resim ve e-posta_doğrulanmış (isteğe bağlı) için eşlemeler mevcuttur.
Bilgi notu-
Girdi alanlarına virgülle ayrılmış birden fazla arama değeri girebilirsiniz. Bulunan ilk null olmayan değer kullanılır.
-
Grupları almak için grup talebi gereklidir. İç içe grupların Microsoft Entra Kimliği öğesinde desteklenmediğini unutmayın.
-
-
İsteğe bağlı olarak, gelişmiş seçenekleri yapılandırın. Daha fazla ayrıntı için bk. Gelişmiş seçenekler.
-
Oluştur'a tıklayın.
IdP yapılandırmasını doğrulama seçeneğini içeren bir onay iletişim kutusu görüntülenir.
-
Şimdi doğrulamak için IdP'yi Doğrula'yı seçin ve Oluştur'a tıklayın. Bu, doğrulama sürecini başlatacaktır. Bir oturum açma işlemi gerçekleştirmek ve kullanıcı profili verilerinin doğru olduğunu doğrulamak için doğrulama sihirbazındaki adımları izleyin.
-
Yapılandırmayı şimdi oluşturmayı ancak daha sonra doğrulamayı tercih ediyorsanız IdP'yi Doğrula onay kutusunun işaretini kaldırın ve Oluştur'a tıklayın. IdP yapılandırmanızda
öğesine tıklayıp Doğrula'yı seçerek daha sonra doğrulama yapabilirsiniz.
IdP yapılandırmasını doğrulama ve oluşturma.
-
Kiracınızın URL'sini kimlik sağlayıcı izin listesine ekleme
Kimlik sağlayıcınızda kiracı URL'nizi izin verilenler listesine ekleyin. Bu ayar için farklı isimler vardır, örneğin, İzin Verilen Geri Arama URL'leri, Yönlendirme URI'si veya Oturum açma yönlendirme URI'si.
URL'yi eklediğinizde, https://<tenant name>/login/callback gibi kiracı adresinize login/callback eklemeniz gerekir.
Gelişmiş seçenekler
Gelişmiş seçenekler, belirli kimlik sağlayıcıları için ek yetenekler sağlar.
E-posta doğrulamasını geçersiz kıl
Email_verified talebini her zaman "true" olarak ayarlamak için bu ayarı etkinleştirin. Bu, e-posta adreslerinin ADFS ve Microsoft Entra ID'de kimlik eşleme için kullanılabilmesini sağlar. IdP'leri değiştirirken özellikle kullanışlıdır ve Yönetim etkinlik merkezinde aynı adlara sahip kullanıcılar arasında ayrım yapılmasına yardımcı olur.
Kapsam
Kapsamlar, OAuth 2.0 spesifikasyonuna göre bir erişim belirteci verilirken talep edilen erişim ayrıcalıklarını tanımlar. Kimlik sağlayıcıdan talep etmek istediğiniz izinleri belirtmek için boşluklarla ayrılmış değerler girin. Örneğin, IdP'nin kullanıcı grubu özelliklerini desteklemesi gerekiyorsa bir groups kapsamı ekleyin.
Oturum kapama sonrası yönlendirme URL'si
Kullanıcıların oturumu kapattıktan sonra yönlendirilecekleri bir URI belirtmek için bu alanı kullanın. Ayrıntılı talimatlar için bk. Oturum kapatma sonrası yönlendirme URI'sini kullanma.
offline_access'i engelle
Kimlik sağlayıcı olarak Google Identity veya OneLogin kullanırken offline_access kapsamının kimlik sağlayıcıya aktarılmasını engellemek için bu ayarı etkinleştirin. Bu, yapılandırmanın Qlik Sense Mobile SaaS ve OAuth 2.0 uygulamalarıyla doğru şekilde çalışmasını sağlar.
Kimlik belirteci imza algoritması
RSA imza algoritması, kimlik belirteçlerinin gerçekliğini ve bütünlüğünü sağlar. Qlik Cloud iki seçeneği destekler:
-
RS256 (varsayılan)
-
RS512
Güvenlik ihtiyaçlarınıza göre algoritma seçin.
Belirteç imzası doğrulama ve şifre çözme
İmzaları doğrulamak ve şifrelenmiş JSON Web Belirteçlerinin (JWT) şifresini çözmek için anahtar çiftleri oluşturun. Ayrıntılı talimatlar için bk. İmzalı ve şifrelenmiş kimlik belirteçleri için anahtar çiftlerini yönetme.