将 Active Directory Federation Services 配置为 SAML 身份提供者
本主题介绍如何将 Active Directory Federation Services (AD FS) 设置为 Qlik Cloud 的身份提供者。
先决条件
请确保 Active Directory Federation Services (AD FS) 安装完全正常,并且 Active Directory (AD) 中有一组用户。
下载 AD FS 服务器元数据
检索 AD FS 服务器的元数据,因为稍后在 Qlik Cloud 中进行配置时需要该元数据。
通过访问以下 URL 下载元数据文件:
在 Qlik Cloud 中创建 IdP 配置
以租户管理员身份登录 Qlik Cloud 以创建 IdP 配置。
执行以下操作:
-
在 Administration 活动中心中,转到身份提供者,然后单击新建。
-
选择 SAML 作为类型。
-
选择 ADFS 作为提供者。
-
(可选)提供 IdP 配置的描述。
-
选择使用 IdP 元数据。
-
在 SAML-IdP 元数据下,单击上传文件,然后选择从 AD FS 下载的元数据文件。
-
单击创建。
-
在创建交互式身份提供者对话框中,清除验证 IdP复选框,然后单击创建。
这样会在没有立即验证的情况下创建 IdP 配置。验证将在稍后阶段进行。 -
找到您刚刚创建的 IdP 配置,单击 ,然后选择查看提供者配置。
将显示服务提供者元数据。
-
单击下载元数据以下载 Qlik Cloud 元数据文件。
-
单击下载签名证书以下载 Qlik Cloud 签名证书。
在 AD FS 中配置 SAML 应用程序
在 AD FS 中设置 SAML 应用程序,以与作为服务提供者 (SP) 的 Qlik Cloud 租户建立信任。
执行以下操作:
-
使用管理员凭据登录托管 AD FS 的 Windows 服务器。
-
打开 AD FS 管理应用程序。
-
右键单击信赖方信任,然后选择添加信赖方信任。
-
在添加依赖方信任向导中,选择声明感知,然后单击启动。
-
选择从文件中导入有关依赖方的数据。浏览到先前保存的 Qlik Cloud 元数据文件,然后单击下一步。
-
输入显示名称,例如 Qlik Cloud,然后单击下一步继续。
-
选择适当的访问控制策略,然后单击下一步。再次单击下一步以确认配置。
-
选择配置此应用程序的索赔发布策略,然后单击关闭。
-
在编辑索赔规则对话框中,单击添加规则。
-
选择将 LDAP 属性作为声明发送,然后单击下一步。
-
提供声明规则名称,然后从列表中选择属性存储,例如 Active Directory。
-
配置以下映射(或根据组织的具体要求自定义它们):
-
SAM 帐户名称至名称 ID
-
显示名称至名称
-
电子邮件地址至电子邮件地址
-
令牌组 - 非限定名称至组
-
-
保存更改。
-
转到 Qlik Cloud 依赖方的属性,然后选择签名选项卡。
-
单击添加,然后找到先前下载的 Qlik Cloud 签名证书。
-
保存更改。
ADFS 现在已设置为验证 SAML 请求签名。返回 Qlik Cloud 以启动验证过程。
在 Qlik Cloud 中验证您的身份提供者
成功设置 AD FS 后,可以在 Qlik Cloud 中验证 IdP 配置。
执行以下操作:
-
在 Administration 活动中心,转到身份提供者。
-
在 AD FS IdP 配置中,单击 并选择验证。
-
按照验证向导中的步骤,作为添加到 AD FS 应用程序的用户执行登录。验证用户配置文件数据是否正确。
您将看到将用户提升为 Qlik Cloud 租户管理员和激活 IdP 的选项。请注意,激活 IdP 将停用租户中任何先前配置的交互式身份提供者。