创建新的身份提供者配置

Qlik Cloud 为用户登录、API 访问和多云设置提供身份提供者 (IdP) 配置。每个 Qlik Cloud 租户都支持一个交互式 IdP，如 Qlik Account、Microsoft Entra ID（以前为 Azure AD）、OKTA、Auth0 或另一个符合 OpenID Connect (OIDC) 或 Security Assertion Markup Language (SAML) 的 IdP。

租户管理员可以从 管理控制台 创建各种 IdP 配置：

• 对于用户登录，请配置交互式 IdP。根据您的身份提供者支持的标准，在 OIDC 或 SAML 之间进行选择。

  信息注释一次只能激活一个交互式 IdP。如果您部署自定义的交互式 IdP，它将用您选择的 IdP 定义的身份验证过程替换 Qlik Account 登录流。

• 对于 API 访问，请选择机器对机器 (M2M) 身份验证。

• 为了实现无缝的多云身份管理，请使用您的本地持有人令牌配置一个多云 IdP。

创建新的交互式 OIDC IdP 配置

租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的，您需要先停用它，然后才能激活新的。有关详细信息，请参阅更改公司Idp配置。

执行以下操作：

1. 在 管理控制台 中，转到身份提供者，然后单击新建。

2. 选择 OIDC 作为类型。

3. 对于提供者，请从列表中选择一个身份提供者，如果未列出您的特定提供者，请选择常规。

4. （可选）输入 IdP 配置的描述。

5. 在应用程序凭据下，可以输入发现 URL。如果发现 URL 不可用或没有提供正确的元数据，您还可以选择手动输入各个值。只有在未输入发现 URL 时才应使用手动配置。

   执行以下选项之一：

   1. 输入发现 URL。这是端点的 URL，它为 OAuth 客户端提供配置数据，以便使用 OpenID Connect 协议与 IdP 接合。发现 UR L的命名约定因您选择的提供者而异：

      • ADFS：ADFS 发现 URL

      • Auth0：OpenID 配置

      • Keycloak：Keycloak OpenID endpoint configuration

      • Okta 或 Generic IdP：OpenID 连接元数据 URI

      • Salesforce：Salesforce 探索 URL

   或

   1. 选择手动配置。

   2. 输入以下值：

      • 授权端点：用于与资源所有者交互的 URL，从中您可以获得访问资源的授权。

      • 结束会话端点（可选）：用于触发单个注销的 URL。

      • 反思端点（可选）：用于验证引用令牌或 JWT 的 URL。

      • 发布者：身份提供者的 URL。

      • JWKS URI：JSON Web 密钥集的 URI，其中包含用于验证JSON Web令牌 (JWT) 的公钥。

      • 令牌端点：获取访问令牌的 URL。

      • 用户信息端点（可选）：用于获取用户信息的 URL。

   

6. 输入客户端 ID：用于交互式用户身份验证的 IdP 处配置的客户端的 ID。

7. 输入客户端密钥：在 IdP 配置的客户端的密钥。

8. （可选）输入一个 Realm。这是要与 IdP 关联的名称。它与 Qlik Sense Enterprise on Windows 中的域名相同，用于多云中的命名一致性。

9. 填写声明映射下的字段。

   声明是关于实体（在许多情况下是用户）的语句（名称/值对）和关于 OpenID Connect 服务的元数据。映射可用于 sub、name、groups、email、client_id、picture 和 email_verified（可选）。

   信息注释

   • 可以在输入字段中输入多个查找值，值之间使用逗号分开。将使用找到的第一个非空值。

   • groups 声明需要组声明是接收组所必需的。请注意，Microsoft Entra ID 中不支持嵌套组。

10. （可选）配置高级选项。有关详细信息，请参阅高级选项。

11. 单击创建。

    此时会出现一个确认对话框，其中包含验证 IdP 配置的选项。

    • 要立即验证，请选择验证 IdP，然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。

    • 如果您希望现在创建配置，但稍后进行验证，请清除验证 IdP 复选框，然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。

    

将租户 URL 添加到身份提供者允许列表

在您的身份提供者处，将您的租户 URL 添加到允许列表中。此设置有不同的名称，例如，允许的回调 URL、重定向 URI 或登录重定向 URI。

添加 URL 时，需要将 login/callback 附加到租户地址，如 https://<tenant name>/login/callback。

高级选项

高级选项扩展了某些 IdP 的功能。

电子邮件经验证的覆盖：用于 ADFS 和 Microsoft Entra ID 中，以确保用户的电子邮件地址可以用于身份映射。此选项在切换 IdP 时很有用，但也可以在管理控制台中用于区分具有完全相同名称的两个用户。

范围：在 OAuth 2.0 规范中用于指定颁发访问令牌时的访问权限。例如，使用此选项可以添加组作用域，以防 IdP 需要它来支持用户组功能。

登出后重定向 URI：用于在注销后将用户重定向到定义的 URI。有关如何使用注销后重定向 URI 的示例，请参阅使用注销后重定向 URI。

阻止将 'offline_access' 范围传递给标识提供商：使用 Google Identity 或 OneLogin 作为身份提供者时，必须启用此设置才能使配置用于 Qlik Sense Mobile SaaS 和 OAuth 2.0 应用程序。

创建新的交互式 SAML IdP 配置

租户管理员可以创建新的 IdP 配置。一次只能有一个交互式 IdP。如果你已经有一个活动的，您需要先停用它，然后才能激活新的。有关详细信息，请参阅更改公司Idp配置。

执行以下操作：

1. 在 管理控制台 中，转到身份提供者，然后单击新建。

2. 选择 SAML 作为类型。

3. 对于提供者，请从列表中选择一个身份提供者，如果未列出您的特定提供者，请选择常规。

4. （可选）输入 IdP 配置的描述。

5. 在配置下，您可以选择从身份提供者上传 SAML XML 元数据，也可以手动输入单个值。

   执行以下选项之一：

   1. 选择使用 IdP 元数据。

   2. 单击 SAML-IdP 元数据下的上传文件，然后从您的身份提供者中选择包含元数据的文件。或者，如果您的身份提供者元数据不能作为文件使用，您可以直接在 IdP 元数据字段中复制和粘贴元数据。

   或

   1. 单击签名证书下的上传文件以上传证书文件。
      这是身份提供者用来对发送到 Qlik Cloud 的 SAML 断言进行签名的证书。

   2. 输入身份提供者的实体 ID。

   3. 输入单点登录 URL。

      这是在其中发送 SAML 身份验证请求的端点。它是用户重定向到的 URL，用于进行身份验证。

   4. 选择名称 ID 格式。

   

6. （可选）选择启用 IdP 启动的 登录。

   默认登录流是用户首先转到 Qlik Cloud，然后重定向到 IdP 进行身份验证。如果希望用户首先登录到身份提供者，然后重定向到 Qlik Cloud，请启用 IdP 启动的登录。

7. 修改声明映射下的字段或保留默认值。

   声明映射定义身份提供者中的用户属性如何与 Qlik Cloud 用户模型中的字段相关联。映射可用于 sub、name、email、groups 和 picture。调整这些值以适应组织的需要和身份提供者的属性。

   信息注释

   • 可以在输入字段中输入多个查找值，值之间使用逗号分开。将使用找到的第一个非空值。

   • groups 声明需要组声明是接收组所必需的。请注意，Microsoft Entra ID 中不支持嵌套组。

8. （可选）在高级选项下配置注销后重定向 URI。

   此项用于在注销后将用户重定向到定义的 URI。有关如何使用注销后重定向 URI 的示例，请参阅使用注销后重定向 URI。

9. 单击创建。

   此时会出现一个确认对话框，其中包含验证 IdP 配置的选项。

   SAML 服务提供者元数据和签名证书仅在创建 IdP 配置后可用。如果您需要这些信息来设置身份提供者，您可以在最初不进行验证的情况下创 建IdP，并在身份提供者的配置完成后进行验证。

   • 要立即验证，请选择验证 IdP，然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并确认用户配置文件数据是否有效。

   • 如果您希望现在创建配置，但稍后进行验证，请清除验证 IdP 复选框，然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。

   

正在将服务提供者元数据上传到您的身份提供者

执行以下操作：

1. 在 管理控制台 中，在新创建的 IdP 配置上，单击 并选择查看提供者配置。

   一个对话框，显示服务提供者元数据和元数据端点的 URL。

   

2. 根据身份提供者的设置，复制元数据或 URL 并保存以备将来使用。如果需要，请下载签名证书文件。单击完成。

3. 在您的身份提供者处，输入服务提供者元数据。确保配置以下所需设置：

   • Assertion Consumer Service (ACS) URL。这是身份提供者在身份验证后发送 SAML 断言的位置。

   • 服务提供者的实体 ID。

   • 用于验证身份验证请求的证书。这由身份提供者用来验证服务提供者的真实性。

4. 一旦您的身份提供者的配置完成，您就可以在 管理控制台 中验证您的 IdP 配置。单击您的配置上的 并选择验证。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。

创建新的机器到机器 IdP 配置

要配置机器到机器 IdP，请按照 创建新的交互式 OIDC IdP 配置 的说明进行操作，但选择机器到机器（M2M）作为 IdP 类型。

与交互式 OIDC 配置相比，一些设置有所不同：字段客户端 ID 和 客户端密钥不适用于此上下文，并且在声明映射下，您将只具有 sub 和 Client_ID 的映射。

启用群组的自动创建

组用于控制用户访问，并且可以从 Idp 组中自动创建。如果启用组的自动创建，会从身份提供者继承群组，从而可将访问权限授予存在于 Idp 中的相同用户群组。与一次向一个用户分配访问权限相比，这简化了访问权限管理。

当用户登录时，新的 IdP 组动态显示在 Qlik Cloud。这些组不是同时导入的；相反，Idp 组是在登录过程中发现的。只有与 Qlik Cloud 用户关联的组才可用。

若要配置组，您必须使用单点登录并具有对 Idp 的管理访问权限。

执行以下操作：

1. 在 管理控制台 中，转到设置页面。
2. 在功能控制下，选择创建组。