跳到主要内容
创建新的身份提供程序配置

在该页面上

创建新的身份提供程序配置

租户管理员可以从 管理控制台 创建新的 IdP 配置。Qlik Sense SaaS 为用户登录、API 访问和多云设置提供 IdP 配置。

执行以下操作:

  1. 管理控制台 中,打开身份提供商部分。

  2. 单击新建

    用于创建 Idp 配置的页面打开。

  3. 选择 Idp 类型:

    • 用于用户登录的交互型
    • 用于 API 访问的机器到机器 (M2M)
    • 用于输入本地持有者令牌以创建身份提供商配置的 Multi-cloud,请参阅 MSC - 部署 (仅提供英文版本)
  4. 选择您的 Idp 提供者。如果您的特定 Idp 不可用,请选择一般

  5. 可选择输入描述。

  6. 填写应用程序凭据部分中的字段。

    1. 第一个字段是端点的 URL,其提供 OAuth 客户端的配置信息以使用 OpenID Connect 协议与 Idp 接合。它使用不同的名称:

      • ADFSADFS 发现 URL
      • Auth0:OpenID 配置
      • KeycloakKeycloak OpenID 端点配置
      • Okta通用 OpenID 连接元数据 URI
      • SalesforceSalesforce 发现 URL

      手动配置

      有时发现 URL 不可用或没有提供适当的元数据。不必输入用于检索元数据的端点 URL,可以在表单中输入相应的数据。只有在未输入任何发现 URL 时才能使用手动配置。

      1. 创建身份提供商配置面板中,选择提供商。

      2. 打开手动配置

        由此将禁用 OpenID 配置字段并启用用于手动配置的字段。

      3. 添加发布者、身份提供商 URL。

      4. 添加授权端点、用于与资源所有者交互的 URL(在其中您获得资源访问权限的授权)。

      5. 添加令牌端点、获取访问权限令牌的 URL。

      6. 添加用户信息端点、获取用户信息的 URL。

      7. JWKS URI、包含用于验证 JSON Web Token (JWT) 的公钥的 JSON Web Key Set 的 URI。

      8. 可选择性添加结束会话端点、用于触发单点登录的 URL。

      9. 可选择性添加自我测试端点、验证参考令牌或 JWT 的 URL。

      10. 填写声明映射部分中的字段。

        声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。对于每个声明,可以使用多个由逗号分隔的值。

        • 对于交互性可使用 subnamegroupsemailclient_idpictureemail_verified(可选),对于机器到机器,可使用 subclient_id
          组声明需要接受组。
      11. 在您的身份提供商处,将您的租户 URL 列入许可名单。设置具有不同的名称,例如,允许的回调 URL重定向 URI登录重定向 URI

        在列入许可名单时,您需要将登录/回调添加至自己的租户地址。示例:https://<tenant name>/login/callback

        信息注释设置重定向 URI 时,必须使用原始主机名,而不是别名主机名。可以在设置 > 租户 > 主机名下找到主机名。
    2. 客户端 ID(仅用于交互型):Idp 上所配置的客户端的 ID,用于交互式用户身份验证。

    3. 客户端密码(仅用于交互型):在 Idp 上配置的客户端的密钥。

    4. 范围(可选):要与 Idp 关联的名称。这与 Qlik Sense Enterprise on Windows 中的域名相同,并用于多云中的命名一致性。

  7. 填写声明映射部分中的字段。

    声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。对于每个声明,可以使用多个由逗号分隔的值。

    • 对于交互性可使用 subnamegroupsemailclient_idpictureemail_verified(可选),对于机器到机器,可使用 subclient_id
      组声明需要接受组。
  8. 在您的身份提供商处,将您的租户 URL 列入许可名单。设置具有不同的名称,例如,允许的回调 URL重定向 URI登录重定向 URI

    在列入许可名单时,您需要将登录/回调添加至自己的租户地址。示例:https://<tenant name>/login/callback

    信息注释设置重定向 URI 时,必须使用原始主机名,而不是别名主机名。可以在设置 > 租户 > 主机名下找到主机名。

高级选项

高级选项扩展了一些 IdP 的功能。

电子邮件经验证的覆盖:用在 ADFSAzure AD 中以确保可将用户的电子邮件地址用于身份映射。此选项在切换 IdP 时很有用,但也可在 管理控制台 中用于区分两个具有完全相同名称的用户。

范围:用在 OAuth 2.0 规范中,用于在颁发访问令牌时指定访问权限。例如,如果 Idp 要求支持用户组功能,可使用该选项来添加组范围。

注销后重定向 URI(可选):用于将用户重新定向至定义的 URI。

有关如何使用注销重定向 URI 的示例,请参见:使用注销后重定向 URI

阻止将 'offline_access' 范围传递给标识提供商:使用 Google Identity 或 OneLogin 作为身份提供程序时,必须启用此设置才能使配置用于 Qlik Sense Mobile for SaaSOAuth 2.0 应用程序。

启用群组的自动创建

启用群组的自动创建管理控制台设置页面打开。

群组用于访问用户的控件,并且可选择性地自动从 idp 群组创建群组。

启用群组的自动创建属性
属性 说明
启用群组的自动创建

如果启用,会从身份提供商继承群组,从而可将访问权限授予存在于 Idp 中的相同用户群组。与一次向一个用户分配访问权限相比,这简化了访问权限管理。

它需要您使用单点登录,并具有您 Idp 的管理访问权限,方可配置群组。

请注意,新 Idp 组将在用户登录(或再次登录)Qlik Sense Enterprise 租户时显示在 Qlik Sense Enterprise 中。Idp 组不是同时导入的。而是在登录时发现 Idp 组。此外,如前所述,只有与 Qlik Sense Enterprise 中的用户关联的组才可用。

执行以下操作:

  1. 管理控制台 中,转到设置页面。
  2. 部分下,打开启用群组的自动创建按钮。

删除此文本并将其替换为您自己的内容。