跳到主要内容 跳到补充内容
Qlik 资源

创建交互式 OIDC IdP 配置

本主题介绍如何在 Qlik Cloud 中配置身份提供者设置。

身份提供者端的配置

除了 Qlik Cloud 中的配置外,您还需要在身份提供者端进行配置。有关这些配置的详细介绍,请参阅以下以下资源:

Qlik Cloud 中的配置

租户管理员可以创建新的 IdP 配置。

信息注释一次只能有一个交互式 IdP。如果你已经有一个活动的,您需要先停用它,然后才能激活新的。有关更多信息,请参阅更换公司身份提供者

执行以下操作:

  1. Administration 活动中心中,转到身份提供者,然后单击新建

  2. 选择 OIDC 作为类型

  3. 对于提供者,请从列表中选择一个身份提供者,如果未列出您的特定提供者,请选择常规

  4. (可选)输入 IdP 配置的描述。

  5. 应用程序凭据下,可以输入发现 URL。如果发现 URL 不可用或没有提供正确的元数据,您还可以选择手动输入各个值。只有在未输入发现 URL 时才应使用手动配置。

    执行以下操作之一:

    1. 输入发现 URL。这是端点的 URL,它为 OAuth 客户端提供配置数据,以便使用 OpenID Connect 协议与 IdP 接合。发现 URL 的命名约定因您选择的提供者而异:

      • ADFS:ADFS 发现 URL

      • Auth0:OpenID 配置

      • Keycloak:Keycloak OpenID endpoint configuration

      • Okta 或 Generic IdP:OpenID 连接元数据 URI

      • Salesforce:Salesforce 探索 URL

    1. 选择手动配置

    2. 输入以下值:

      • 授权端点:用于与资源所有者交互的 URL,从中您可以获得访问资源的授权。

      • 结束会话端点(可选):用于触发单个注销的 URL。

      • 反思端点(可选):用于验证引用令牌或 JWT 的 URL。

      • 发布者:身份提供者的 URL。

      • JWKS URI:JSON Web 密钥集的 URI,其中包含用于验证 JSON Web 令牌 (JWT) 的公开密钥。

      • 令牌端点:获取访问令牌的 URL。

      • 用户信息端点(可选):用于获取用户信息的 URL。

    使用发现 URL 和手动配置进行配置。

    使用和不使用发现 URL 显示的配置窗格。

  6. 输入客户端 ID:用于交互式用户身份验证的 IdP 处配置的客户端的 ID。

  7. 输入客户端密钥:在 IdP 配置的客户端的密钥。

  8. (可选)输入一个 Realm。这是要与 IdP 关联的名称。它与 Qlik Sense Enterprise on Windows 中的域名相同,用于多云中的命名一致性。

  9. 填写声明映射下的字段。

    声明是关于实体(在许多情况下是用户)的语句(名称/值对)和关于 OpenID Connect 服务的元数据。映射可用于 subnamegroupsemailclient_idpictureemail_verified(可选)。

    信息注释

    • 可以在输入字段中输入多个查找值,值之间使用逗号分开。将使用找到的第一个非空值。

    • groups 声明需要组声明是接收组所必需的。请注意,Microsoft Entra ID 中不支持嵌套组。

  10. (可选)配置高级选项。有关详细信息,请参阅高级选项

  11. 单击创建

    此时会出现一个确认对话框,其中包含验证 IdP 配置的选项。

    • 要立即验证,请选择验证 IdP,然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。

    • 如果您希望现在创建配置,但稍后进行验证,请清除验证 IdP 复选框,然后单击创建。您可以稍后通过单击 IdP 配置上的 更多 并选择验证进行验证。

    验证和创建 IdP 配置。

    选择了“验证 IdP”选项的“确认”对话框

将租户 URL 添加到身份提供者允许列表

在您的身份提供者处,将您的租户 URL 添加到允许列表中。此设置有不同的名称,例如,允许的回调 URL、重定向 URI 或登录重定向 URI。

添加 URL 时,需要将 login/callback 附加到租户地址,如 https://<tenant name>/login/callback。

信息注释设置重定向 URI 时,请使用原始租户主机名,而不是别名主机名。您可以在用户配置文件菜单的关于部分找到租户主机名称。

高级选项

高级选项可为某些身份提供者提供额外功能。

电子邮件经验证的覆盖

启用此设置可始终将 email_verified 声明设置为 "true"。这确保了电子邮件地址可用于 ADFS 和 Microsoft Entra ID 中的身份映射。它在切换 IdP 时特别有用,可帮助您区分 Administration 活动中心中名称相同的用户。

范围

根据 OAuth 2.0 规范,作用域定义了在颁发访问令牌时请求的访问权限。输入用空格分隔的值,以指定要向身份提供者请求的权限。例如,如果 IdP 需要范围才能支持用户组功能,则可以包含组范围。

登出后重定向 URI

使用该字段:指定一个 URI,用户登录后将被重定向到该 URI。有关详细说明,请参阅使用注销后重定向 URI

阻止离线访问

使用 Google Identity 或 OneLogin 作为身份提供者时,启用此设置可阻止将 offline_access 范围传递给身份提供者。这可确保配置可结合 Qlik Sense Mobile SaaS 和 OAuth 2.0 应用程序正常工作。

ID 令牌签名算法

RSA 签名算法确保 ID 令牌的真实性和完整性。Qlik Cloud 支持两个选项:

  • RS256(默认)

  • RS512

根据您的安全需求选择算法。

令牌签名验证和解密

生成密钥对以验证签名并解密加密的 JSON Web 令牌 (JWT)。有关详细说明,请参阅管理签名和加密 ID 令牌的密钥对

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进!

在此处留下您的反馈