跳到主要内容 跳到补充内容

创建新的身份提供者配置

租户管理员可以从 管理控制台 创建新的 IdP 配置。Qlik Cloud 为用户登录、API 访问和多云设置提供 IdP 配置。

Qlik Cloud 中,Qlik 会自动设置一个默认的名为 Qlik Account 的身份提供程序 (Idp) ,以便更容易开始使用平台(不适用于 Qlik Cloud 政府)。Qlik Account 是一种 Qlik 提供的身份验证机制,用于访问 qlik.com 和 qlikcloud.com 域中的属性。您收到 Qlik Cloud 欢迎电子邮件的电子邮件地址(也称为服务帐户所有者)是 Qlik Account Idp 的成员,并且对于通过我的 Qlik创建的 Qlik Cloud 租户可以在创建后立即登录租户。

对于 Qlik Cloud 部署,您还可以选择使用自己的 Idp。每 Qlik Cloud个 租户都支持一个交互式 IdP,如 Qlik Account、Azure AD、OKTA、Auth0 或另一个符合 OpenID 连接 (OIDC) 的 Idp。如果您部署自己的交互式 Idp,这将用您选择的 Idp 替换 Qlik Account 登录流。

执行以下操作:

  1. 管理控制台 中,打开身份提供商部分。

  2. 单击新建

    用于创建 Idp 配置的页面打开。

  3. 选择 Idp 类型:

    • 用于用户登录的交互型
    • 用于 API 访问的机器到机器 (M2M)
    • 用于输入本地持有者令牌以创建身份提供商配置的 Multi-cloud,请参阅 MSC - 部署 (仅提供英文版本)
  4. 选择您的 Idp 提供者。如果您的特定 Idp 不可用,请选择一般

  5. 可选择输入描述。

  6. 填写应用程序凭据部分中的字段。

    1. 第一个字段是端点的 URL,其提供 OAuth 客户端的配置信息以使用 OpenID Connect 协议与 Idp 接合。它使用不同的名称:

      • ADFSADFS 发现 URL
      • Auth0:OpenID 配置
      • KeycloakKeycloak OpenID 端点配置
      • Okta通用 OpenID 连接元数据 URI
      • SalesforceSalesforce 发现 URL

      手动配置

      有时发现 URL 不可用或没有提供适当的元数据。不必输入用于检索元数据的端点 URL,可以在表单中输入相应的数据。只有在未输入任何发现 URL 时才能使用手动配置。

      1. 创建身份提供商配置面板中,选择提供商。

      2. 打开手动配置

        由此将禁用 OpenID 配置字段并启用用于手动配置的字段。

      3. 添加发布者、身份提供商 URL。

      4. 添加授权端点、用于与资源所有者交互的 URL(在其中您获得资源访问权限的授权)。

      5. 添加令牌端点、获取访问权限令牌的 URL。

      6. 添加用户信息端点、获取用户信息的 URL。

      7. JWKS URI、包含用于验证 JSON Web Token (JWT) 的公钥的 JSON Web Key Set 的 URI。

      8. 可选择性添加结束会话端点、用于触发单点登录的 URL。

      9. 可选择性添加自我测试端点、验证参考令牌或 JWT 的 URL。

      10. 填写声明映射部分中的字段。

        声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。对于每个声明,可以使用多个由逗号分隔的值。但是,不会发生串联,如果第一个值为空,映射将继续到第二个值。

        • 对于交互性可使用 subnamegroupsemailclient_idpictureemail_verified(可选),对于机器到机器,可使用 subclient_id
          组声明需要接受组。
        信息注释Azure AD 中不支持嵌套组。
      11. 在您的身份提供者处,将您的租户 URL 添加到允许列表中。设置具有不同的名称,例如,允许的回调 URL重定向 URI登录重定向 URI

        在列入许可名单时,您需要将登录/回调添加至自己的租户地址。示例:https://<tenant name>/login/callback

        信息注释设置重定向 URI 时,必须使用原始主机名,而不是别名主机名。 可以在设置 > 租户 > 主机名下找到主机名。
    2. 客户端 ID(仅用于交互型):Idp 上所配置的客户端的 ID,用于交互式用户身份验证。

    3. 客户端密码(仅用于交互型):在 Idp 上配置的客户端的密钥。

    4. 范围(可选):要与 Idp 关联的名称。这与 Qlik Sense Enterprise on Windows 中的域名相同,并用于多云中的命名一致性。

  7. 填写声明映射部分中的字段。

    声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。对于每个声明,可以使用多个由逗号分隔的值。但是,不会发生串联,如果第一个值为空,映射将继续到第二个值。

    • 对于交互性可使用 subnamegroupsemailclient_idpictureemail_verified(可选),对于机器到机器,可使用 subclient_id
      组声明需要接受组。
    信息注释Azure AD 中不支持嵌套组。
  8. 在您的身份提供者处,将您的租户 URL 添加到允许列表中。设置具有不同的名称,例如,允许的回调 URL重定向 URI登录重定向 URI

    在列入许可名单时,您需要将登录/回调添加至自己的租户地址。示例:https://<tenant name>/login/callback

    信息注释设置重定向 URI 时,必须使用原始主机名,而不是别名主机名。 可以在设置 > 租户 > 主机名下找到主机名。

高级选项

高级选项扩展了一些 IdP 的功能。

电子邮件经验证的覆盖:用在 ADFSAzure AD 中以确保可将用户的电子邮件地址用于身份映射。此选项在切换 IdP 时很有用,但也可在 管理控制台 中用于区分两个具有完全相同名称的用户。

范围:用在 OAuth 2.0 规范中,用于在颁发访问令牌时指定访问权限。例如,如果 Idp 要求支持用户组功能,可使用该选项来添加组范围。

注销后重定向 URI(可选):用于将用户重新定向至定义的 URI。

有关如何使用注销重定向 URI 的示例,请参见:使用注销后重定向 URI

阻止将 'offline_access' 范围传递给标识提供商:使用 Google Identity 或 OneLogin 作为身份提供程序时,必须启用此设置才能使配置用于 Qlik Sense Mobile SaaSOAuth 2.0 应用程序。

启用群组的自动创建

组用于控制用户访问,并且可以从 Idp 组中自动创建。如果启用组的自动创建,会从身份提供商继承群组,从而可将访问权限授予存在于 Idp 中的相同用户群组。与一次向一个用户分配访问权限相比,这简化了访问权限管理。

当用户登录时,新的 IdP 组动态显示在 Qlik Cloud。这些组不是同时导入的;相反,Idp 组是在登录过程中发现的。只有与 Qlik Cloud 用户关联的组才可用。

若要配置组,您必须使用单点登录并具有对 Idp 的管理访问权限。

执行以下操作:

  1. 管理控制台 中,转到设置页面。
  2. 功能控制下,选择创建组

了解详情

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进!