创建新的身份提供者配置

Qlik Cloud 为用户登录、API 访问和多云设置提供身份提供者 (IdP) 配置。每个 Qlik Cloud 租户都支持一个交互式 IdP，如 Qlik Account、Microsoft Entra ID（以前为 Azure AD）、OKTA、Auth0 或另一个符合 OpenID Connect (OIDC) 或 Security Assertion Markup Language (SAML) 的 IdP。

租户管理员可以从 Administration 活动中心创建各种 IdP 配置：

• 对于用户登录，请配置交互式 IdP。根据您的身份提供者支持的标准，在 OIDC 或 SAML 之间进行选择。

  信息注释

  • 一次只能激活一个交互式 IdP。如果您部署自定义的交互式 IdP，它将用您选择的 IdP 定义的身份验证过程替换 Qlik Account 登录流。

  • 企业 IdP 的 SSO 故障的处理必须通过身份提供者进行配置。Qlik Cloud 不支持配置回退重定向 URL。

• 为了实现无缝的多云身份管理，请使用您的本地持有人令牌配置一个多云 IdP。

创建新的交互式 OIDC IdP 配置

租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的，您需要先停用它，然后才能激活新的。有关更多信息，请参阅更改公司Idp配置。

执行以下操作：

1. 在 Administration 活动中心中，转到身份提供者，然后单击新建。

2. 选择 OIDC 作为类型。

3. 对于提供者，请从列表中选择一个身份提供者，如果未列出您的特定提供者，请选择常规。

4. （可选）输入 IdP 配置的描述。

5. 在应用程序凭据下，可以输入发现 URL。如果发现 URL 不可用或没有提供正确的元数据，您还可以选择手动输入各个值。只有在未输入发现 URL 时才应使用手动配置。

   执行以下选项之一：

   1. 输入发现 URL。这是端点的 URL，它为 OAuth 客户端提供配置数据，以便使用 OpenID Connect 协议与 IdP 接合。发现 UR L的命名约定因您选择的提供者而异：

      • ADFS：ADFS 发现 URL

      • Auth0：OpenID 配置

      • Keycloak：Keycloak OpenID endpoint configuration

      • Okta 或 Generic IdP：OpenID 连接元数据 URI

      • Salesforce：Salesforce 探索 URL

   或

   1. 选择手动配置。

   2. 输入以下值：

      • 授权端点：用于与资源所有者交互的 URL，从中您可以获得访问资源的授权。

      • 结束会话端点（可选）：用于触发单个注销的 URL。

      • 反思端点（可选）：用于验证引用令牌或 JWT 的 URL。

      • 发布者：身份提供者的 URL。

      • JWKS URI：JSON Web 密钥集的 URI，其中包含用于验证 JSON Web 令牌 (JWT) 的公开密钥。

      • 令牌端点：获取访问令牌的 URL。

      • 用户信息端点（可选）：用于获取用户信息的 URL。

   

6. 输入客户端 ID：用于交互式用户身份验证的 IdP 处配置的客户端的 ID。

7. 输入客户端密钥：在 IdP 配置的客户端的密钥。

8. （可选）输入一个 Realm。这是要与 IdP 关联的名称。它与 Qlik Sense Enterprise on Windows 中的域名相同，用于多云中的命名一致性。

9. 填写声明映射下的字段。

   声明是关于实体（在许多情况下是用户）的语句（名称/值对）和关于 OpenID Connect 服务的元数据。映射可用于 sub、name、groups、email、client_id、picture 和 email_verified（可选）。

   信息注释

   • 可以在输入字段中输入多个查找值，值之间使用逗号分开。将使用找到的第一个非空值。

   • groups 声明需要组声明是接收组所必需的。请注意，Microsoft Entra ID 中不支持嵌套组。

10. （可选）配置高级选项。有关详细信息，请参阅高级选项。

11. 单击创建。

    此时会出现一个确认对话框，其中包含验证 IdP 配置的选项。

    • 要立即验证，请选择验证 IdP，然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。

    • 如果您希望现在创建配置，但稍后进行验证，请清除验证 IdP 复选框，然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。

    

将租户 URL 添加到身份提供者允许列表

在您的身份提供者处，将您的租户 URL 添加到允许列表中。此设置有不同的名称，例如，允许的回调 URL、重定向 URI 或登录重定向 URI。

添加 URL 时，需要将 login/callback 附加到租户地址，如 https://<tenant name>/login/callback。

高级选项

高级选项可为某些身份提供者提供额外功能。

电子邮件经验证的覆盖

启用此设置可始终将 email_verified 声明设置为 "true"。这确保了电子邮件地址可用于 ADFS 和 Microsoft Entra ID 中的身份映射。它在切换 IdP 时特别有用，可帮助您区分 Administration 活动中心中名称相同的用户。

范围

根据 OAuth 2.0 规范，作用域定义了在颁发访问令牌时请求的访问权限。输入用空格分隔的值，以指定要向身份提供者请求的权限。例如，如果 IdP 需要组范围才能支持用户组功能，则可以包含组范围。

登出后重定向 URI

使用该字段：指定一个 URI，用户登录后将被重定向到该 URI。有关详细说明，请参阅使用注销后重定向 URI。

阻止离线访问

使用 Google Identity 或 OneLogin 作为身份提供者时，启用此设置可阻止将 offline_access 范围传递给身份提供者。这可确保配置可结合 Qlik Sense Mobile SaaS 和 OAuth 2.0 应用程序正常工作。

ID 令牌签名算法

RSA 签名算法确保 ID 令牌的真实性和完整性。Qlik Cloud 支持两个选项：

• RS256（默认）

• RS512

根据您的安全需求选择算法。

令牌签名验证和解密

生成密钥对以验证签名并解密加密的 JSON Web 令牌 (JWT)。有关详细说明，请参阅管理签名和加密 ID 令牌的密钥对。

创建新的交互式 SAML IdP 配置

租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的，您需要先停用它，然后才能激活新的。有关更多信息，请参阅更改公司Idp配置。

执行以下操作：

1. 在 Administration 活动中心中，转到身份提供者，然后单击新建。

2. 选择 SAML 作为类型。

3. 对于提供者，请从列表中选择一个身份提供者，如果未列出您的特定提供者，请选择常规。

4. （可选）输入 IdP 配置的描述。

5. 在配置下，您可以选择从身份提供者上传 SAML XML 元数据，也可以手动输入单个值。

   执行以下选项之一：

   1. 选择使用 IdP 元数据。

   2. 单击 SAML-IdP 元数据下的上传文件，然后从您的身份提供者中选择包含元数据的文件。或者，如果您的身份提供者元数据不能作为文件使用，您可以直接在 IdP 元数据字段中复制和粘贴元数据。

   或

   1. 单击签名证书下的上传文件以上传证书文件。
      这是身份提供者用来对发送到 Qlik Cloud 的 SAML 断言进行签名的证书。

   2. 输入身份提供者的实体 ID。

   3. 输入单点登录 URL。

      这是在其中发送 SAML 身份验证请求的端点。它是用户重定向到的 URL，用于进行身份验证。

   4. 选择名称 ID 格式。

   

6. （可选）选择启用 IdP 启动的 登录。

   默认登录流是用户首先转到 Qlik Cloud，然后重定向到 IdP 进行身份验证。如果希望用户首先登录到身份提供者，然后重定向到 Qlik Cloud，请启用 IdP 启动的登录。

7. 修改声明映射下的字段或保留默认值。

   声明映射定义身份提供者中的用户属性如何与 Qlik Cloud 用户模型中的字段相关联。映射可用于 sub、name、email、groups 和 picture。调整这些值以适应组织的需要和身份提供者的属性。

   信息注释

   • 可以在输入字段中输入多个查找值，值之间使用逗号分开。将使用找到的第一个非空值。

   • groups 声明需要组声明是接收组所必需的。请注意，Microsoft Entra ID 中不支持嵌套组。

8. （可选）在高级选项下配置注销后重定向 URI。

   此项用于在注销后将用户重定向到定义的 URI。有关如何使用注销后重定向 URI 的示例，请参阅使用注销后重定向 URI。

9. 单击创建。

   此时会出现一个确认对话框，其中包含验证 IdP 配置的选项。

   SAML 服务提供者元数据和签名证书仅在创建 IdP 配置后可用。如果您需要这些信息来设置身份提供者，您可以在最初不进行验证的情况下创 建IdP，并在身份提供者的配置完成后进行验证。

   • 要立即验证，请选择验证 IdP，然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并确认用户配置文件数据是否有效。

   • 如果您希望现在创建配置，但稍后进行验证，请清除验证 IdP 复选框，然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。

   

正在将服务提供者元数据上传到您的身份提供者

执行以下操作：

1. 在 Administration 活动中心中，在新创建的 IdP 配置上，单击 并选择查看提供者配置。

   一个对话框，显示服务提供者元数据和元数据端点的 URL。

   

2. 根据您的身份提供者的设置，下载元数据文件或复制 URL 并保存以备将来使用。如果需要，请下载签名证书文件。单击完成。

3. 在您的身份提供者处，输入服务提供者元数据。确保配置以下所需设置：

   • Assertion Consumer Service (ACS) URL。这是身份提供者在身份验证后发送 SAML 断言的位置。

   • 服务提供者的实体 ID。

   • 用于验证身份验证请求的证书。这由身份提供者用来验证服务提供者的真实性。

4. 一旦您的身份提供者的配置完成，您就可以在 Administration 活动中心中验证您的 IdP 配置。单击您的配置上的 并选择验证。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。

启用群组的自动创建

组用于控制用户访问，并且可以从 Idp 组中自动创建。如果启用组的自动创建，会从身份提供者继承群组，从而可将访问权限授予存在于 Idp 中的相同用户群组。与一次向一个用户分配访问权限相比，这简化了访问权限管理。

当用户登录时，新的 IdP 组动态显示在 Qlik Cloud。这些组不是同时导入的；相反，Idp 组是在登录过程中发现的。只有与 Qlik Cloud 用户关联的组才可用。

若要配置组，您必须使用单点登录并具有对 Idp 的管理访问权限。

执行以下操作：

1. 在 Administration 活动中心中，转到设置页面。
2. 在特性控制下，选择创建组。