创建新的身份提供者配置
Qlik Cloud 为用户登录、API 访问和多云设置提供身份提供者 (IdP) 配置。每个 Qlik Cloud 租户都支持一个交互式 IdP,如 Qlik Account、Microsoft Entra ID(以前为 Azure AD)、OKTA、Auth0 或另一个符合 OpenID Connect (OIDC) 或 Security Assertion Markup Language (SAML) 的 IdP。
租户管理员可以从 Administration 活动中心创建各种 IdP 配置:
-
对于用户登录,请配置交互式 IdP。根据您的身份提供者支持的标准,在 OIDC 或 SAML 之间进行选择。
信息注释-
一次只能激活一个交互式 IdP。如果您部署自定义的交互式 IdP,它将用您选择的 IdP 定义的身份验证过程替换 Qlik Account 登录流。
-
企业 IdP 的 SSO 故障的处理必须通过身份提供者进行配置。Qlik Cloud 不支持配置回退重定向 URL。
-
-
为了实现无缝的多云身份管理,请使用您的本地持有人令牌配置一个多云 IdP。
创建新的交互式 OIDC IdP 配置
租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的,您需要先停用它,然后才能激活新的。有关更多信息,请参阅更改公司Idp配置。
本主题介绍如何在 Qlik Cloud 中配置身份提供者设置。您还需要在身份提供者端进行配置。有关这些配置的详细介绍,请参阅以下以下资源:
执行以下操作:
-
在 Administration 活动中心中,转到身份提供者,然后单击新建。
-
选择 OIDC 作为类型。
-
对于提供者,请从列表中选择一个身份提供者,如果未列出您的特定提供者,请选择常规。
-
(可选)输入 IdP 配置的描述。
-
在应用程序凭据下,可以输入发现 URL。如果发现 URL 不可用或没有提供正确的元数据,您还可以选择手动输入各个值。只有在未输入发现 URL 时才应使用手动配置。
执行以下选项之一:
-
输入发现 URL。这是端点的 URL,它为 OAuth 客户端提供配置数据,以便使用 OpenID Connect 协议与 IdP 接合。发现 UR L的命名约定因您选择的提供者而异:
-
ADFS:ADFS 发现 URL
-
Auth0:OpenID 配置
-
Keycloak:Keycloak OpenID endpoint configuration
-
Okta 或 Generic IdP:OpenID 连接元数据 URI
-
Salesforce:Salesforce 探索 URL
-
或
-
选择手动配置。
-
输入以下值:
-
授权端点:用于与资源所有者交互的 URL,从中您可以获得访问资源的授权。
-
结束会话端点(可选):用于触发单个注销的 URL。
-
反思端点(可选):用于验证引用令牌或 JWT 的 URL。
-
发布者:身份提供者的 URL。
-
JWKS URI:JSON Web 密钥集的 URI,其中包含用于验证 JSON Web 令牌 (JWT) 的公开密钥。
-
令牌端点:获取访问令牌的 URL。
-
用户信息端点(可选):用于获取用户信息的 URL。
-
-
-
输入客户端 ID:用于交互式用户身份验证的 IdP 处配置的客户端的 ID。
-
输入客户端密钥:在 IdP 配置的客户端的密钥。
-
(可选)输入一个 Realm。这是要与 IdP 关联的名称。它与 Qlik Sense Enterprise on Windows 中的域名相同,用于多云中的命名一致性。
-
填写声明映射下的字段。
声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。映射可用于 sub、name、groups、email、client_id、picture 和 email_verified(可选)。
信息注释-
可以在输入字段中输入多个查找值,值之间使用逗号分开。将使用找到的第一个非空值。
-
groups 声明需要组声明是接收组所必需的。请注意,Microsoft Entra ID 中不支持嵌套组。
-
-
(可选)配置高级选项。有关详细信息,请参阅高级选项。
-
单击创建。
此时会出现一个确认对话框,其中包含验证 IdP 配置的选项。
-
要立即验证,请选择验证 IdP,然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。
-
如果您希望现在创建配置,但稍后进行验证,请清除验证 IdP 复选框,然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。
-
将租户 URL 添加到身份提供者允许列表
在您的身份提供者处,将您的租户 URL 添加到允许列表中。此设置有不同的名称,例如,允许的回调 URL、重定向 URI 或登录重定向 URI。
添加 URL 时,需要将 login/callback 附加到租户地址,如 https://<tenant name>/login/callback。
高级选项
高级选项可为某些身份提供者提供额外功能。
电子邮件经验证的覆盖
启用此设置可始终将 email_verified 声明设置为 "true"。这确保了电子邮件地址可用于 ADFS 和 Microsoft Entra ID 中的身份映射。它在切换 IdP 时特别有用,可帮助您区分 Administration 活动中心中名称相同的用户。
范围
根据 OAuth 2.0 规范,作用域定义了在颁发访问令牌时请求的访问权限。输入用空格分隔的值,以指定要向身份提供者请求的权限。例如,如果 IdP 需要组范围才能支持用户组功能,则可以包含组范围。
登出后重定向 URI
使用该字段:指定一个 URI,用户登录后将被重定向到该 URI。有关详细说明,请参阅使用注销后重定向 URI。
阻止离线访问
使用 Google Identity 或 OneLogin 作为身份提供者时,启用此设置可阻止将 offline_access 范围传递给身份提供者。这可确保配置可结合 Qlik Sense Mobile SaaS 和 OAuth 2.0 应用程序正常工作。
ID 令牌签名算法
RSA 签名算法确保 ID 令牌的真实性和完整性。Qlik Cloud 支持两个选项:
-
RS256(默认)
-
RS512
根据您的安全需求选择算法。
令牌签名验证和解密
生成密钥对以验证签名并解密加密的 JSON Web 令牌 (JWT)。有关详细说明,请参阅管理签名和加密 ID 令牌的密钥对。
创建新的交互式 SAML IdP 配置
租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的,您需要先停用它,然后才能激活新的。有关更多信息,请参阅更改公司Idp配置。
本主题介绍如何在 Qlik Cloud 中配置身份提供者设置。您还需要在身份提供者端进行配置。有关这些配置的详细介绍,请参阅以下以下主题:
执行以下操作:
-
在 Administration 活动中心中,转到身份提供者,然后单击新建。
-
选择 SAML 作为类型。
-
对于提供者,请从列表中选择一个身份提供者,如果未列出您的特定提供者,请选择常规。
-
(可选)输入 IdP 配置的描述。
-
在配置下,您可以选择从身份提供者上传 SAML XML 元数据,也可以手动输入单个值。
执行以下选项之一:
-
选择使用 IdP 元数据。
-
单击 SAML-IdP 元数据下的上传文件,然后从您的身份提供者中选择包含元数据的文件。或者,如果您的身份提供者元数据不能作为文件使用,您可以直接在 IdP 元数据字段中复制和粘贴元数据。
或
-
单击签名证书下的上传文件以上传证书文件。
这是身份提供者用来对发送到 Qlik Cloud 的 SAML 断言进行签名的证书。 -
输入身份提供者的实体 ID。
-
输入单点登录 URL。
这是在其中发送 SAML 身份验证请求的端点。它是用户重定向到的 URL,用于进行身份验证。
-
选择名称 ID 格式。
-
-
(可选)选择启用 IdP 启动的 登录。
默认登录流是用户首先转到 Qlik Cloud,然后重定向到 IdP 进行身份验证。如果希望用户首先登录到身份提供者,然后重定向到 Qlik Cloud,请启用 IdP 启动的登录。
-
修改声明映射下的字段或保留默认值。
声明映射定义身份提供者中的用户属性如何与 Qlik Cloud 用户模型中的字段相关联。映射可用于 sub、name、email、groups 和 picture。调整这些值以适应组织的需要和身份提供者的属性。
信息注释-
可以在输入字段中输入多个查找值,值之间使用逗号分开。将使用找到的第一个非空值。
-
groups 声明需要组声明是接收组所必需的。请注意,Microsoft Entra ID 中不支持嵌套组。
-
-
(可选)在高级选项下配置注销后重定向 URI。
此项用于在注销后将用户重定向到定义的 URI。有关如何使用注销后重定向 URI 的示例,请参阅使用注销后重定向 URI。
-
单击创建。
此时会出现一个确认对话框,其中包含验证 IdP 配置的选项。
SAML 服务提供者元数据和签名证书仅在创建 IdP 配置后可用。如果您需要这些信息来设置身份提供者,您可以在最初不进行验证的情况下创 建IdP,并在身份提供者的配置完成后进行验证。
-
要立即验证,请选择验证 IdP,然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并确认用户配置文件数据是否有效。
-
如果您希望现在创建配置,但稍后进行验证,请清除验证 IdP 复选框,然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。
-
正在将服务提供者元数据上传到您的身份提供者
执行以下操作:
-
在 Administration 活动中心中,在新创建的 IdP 配置上,单击 并选择查看提供者配置。
一个对话框,显示服务提供者元数据和元数据端点的 URL。
-
根据您的身份提供者的设置,下载元数据文件或复制 URL 并保存以备将来使用。如果需要,请下载签名证书文件。单击完成。
-
在您的身份提供者处,输入服务提供者元数据。确保配置以下所需设置:
-
Assertion Consumer Service (ACS) URL。这是身份提供者在身份验证后发送 SAML 断言的位置。
-
服务提供者的实体 ID。
-
用于验证身份验证请求的证书。这由身份提供者用来验证服务提供者的真实性。
-
-
一旦您的身份提供者的配置完成,您就可以在 Administration 活动中心中验证您的 IdP 配置。单击您的配置上的 并选择验证。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。