将 Okta 配置为 SAML 身份提供者
本主题介绍如何将 Okta 设置为 Qlik Cloud 的身份提供者。
在 Okta 中配置 SAML 应用程序
第一步是在 Okta 中设置 SAML 应用程序,以信任您的 Qlik Cloud 租户作为服务提供者 (SP)。
执行以下操作:
-
在 Okta 的管理控制台中,转到应用程序 > 应用程序。
-
单击创建应用程序集成。
-
选择 SAML 2.0 作为登录方法,然后单击下一步。
-
根据需要填写集成的常规信息,然后单击下一步。
-
在 SAML 设置下,输入以下信息:
设置 值 单点登录 URL 原始租户主机名,主机名末尾附加路径 /login/saml Audience URI (SP Entity ID) 您的原始租户主机名(没有附加任何路径,也没有尾斜杠) 名称 ID 格式 未指定 -
在属性语句下,添加名称和电子邮件的属性语句。
输入以下信息:名称 名称格式 值 名称 未指定 ${user.firstName} ${user.lastName}
email 未指定 user.email 提示注释Okta 支持字符串格式的表达式,将多个值集成到一个属性中。这里建议的值将把名字和姓氏组合到名称属性中。 -
在组属性语句下,为组添加一个属性语句。
输入以下信息:名称 名称格式 筛选器 值 群组 未指定 匹配正则表达式 .+ 提示注释此处建议的筛选器和值用于检索所有用户组。根据您的偏好,可以调整筛选器以仅返回特定的组子集。 -
要完成 Okta 设置,请选择我是添加内部应用程序的 Okta 客户和这是我们创建的内部应用程序,然后单击完成。
一旦创建了应用程序,您还需要在 Okta 中做两件事:
-
下载 IdP 元数据:应该会向您提供元数据 URL。如果没有,您可以在应用程序的登录选项卡上找到它。在浏览器中复制并打开 URL,然后将页面保存为稍后使用的文件。(如果使用 Chrome 浏览器,请右键单击页面并选择另存为。)
-
添加用户和组:在分配选项卡上,添加得到允许可登录您的 Qlik Cloud 租户的用户和组。
在 Qlik Cloud 中创建 IdP 配置
以租户管理员身份登录 Qlik Cloud 以创建 IdP 配置。
执行以下操作:
-
在 Qlik Cloud Administration 活动中心中,转到身份提供者,然后单击新建。
-
选择 SAML 作为类型。
-
选择 Okta 作为提供者。
-
(可选)输入 IdP 配置的描述。
-
选择使用 IdP 元数据。
-
在 SAML-IdP 元数据下,单击上传文件并选择在 Okta 设置过程中下载的 IdP 元数据文件。
-
单击创建。
-
在创建交互式身份提供者对话框中,清除验证 IdP复选框,然后单击创建。
这样会在没有立即验证的情况下创建 IdP 配置。验证将在稍后阶段进行。信息注释如果愿意,现在可以进行验证。但是,我们建议您先完成下一部分并上传 Okta 中的证书文件。
配置 SAML 请求签名验证
下载 Qlik Cloud SAML 请求签名证书,并将其上传到 Okta 中。
执行以下操作:
-
在 Qlik Cloud Administration 活动中心,转到身份提供者。
-
在 SAML IdP 配置中,单击 并选择查看提供者配置。
-
选择下载签名证书,然后单击完成。
返回到 Okta 中的 SAML 应用程序。
执行以下操作:
-
在 Okta 中,转到应用程序的常规选项卡。
-
在 SAML 设置下,单击编辑。
-
单击下一步到达配置 SAML。
-
在 SAML 设置下,单击显示高级设置。
-
在签名证书旁边,单击浏览文件并上传签名证书文件。
上传成功后,Okta 会显示证书的详细信息。
-
在签名的请求旁边,选择使用签名证书验证 SAML 请求。
-
单击下一步继续浏览 Okta 的设置流程并保存您的更改。
Okta 现在已设置为验证 SAML 请求签名。返回 Qlik Cloud 以开始验证。
在 Qlik Cloud 中验证您的身份提供者
成功设置 Okta 后,可以在 Qlik Cloud 中验证 IdP 配置。
执行以下操作:
-
在 Qlik Cloud Administration 活动中心,转到身份提供者。
-
在 SAML IdP 配置中,单击 并选择验证。
-
按照验证向导中的步骤,作为添加到 Okta 应用程序的用户执行登录。验证用户配置文件数据是否正确。
您将看到将用户提升为 Qlik Cloud 租户管理员和激活 IdP 的选项。请注意,激活 IdP 将停用租户中任何先前配置的交互式身份提供者。