创建交互式 SAML IdP 配置

本主题介绍如何在 Qlik Cloud 中配置身份提供者设置。

身份提供者端的配置

除了 Qlik Cloud 中的配置外，您还需要在身份提供者端进行配置。有关这些配置的详细介绍，请参阅以下以下主题：

Qlik Cloud 中的配置

租户管理员可以创建新的 IdP 配置。

执行以下操作：

1. 在 Administration 活动中心中，转到身份提供者，然后单击新建。

2. 选择 SAML 作为类型。

3. 对于提供者，请从列表中选择一个身份提供者，如果未列出您的特定提供者，请选择常规。

4. （可选）输入 IdP 配置的描述。

5. 在配置下，您可以选择从身份提供者上传 SAML XML 元数据，也可以手动输入单个值。

   执行以下操作之一：

   1. 选择使用 IdP 元数据。

   2. 单击 SAML-IdP 元数据下的上传文件，然后从您的身份提供者中选择包含元数据的文件。或者，如果您的身份提供者元数据不能作为文件使用，您可以直接在 IdP 元数据字段中复制和粘贴元数据。

   或

   1. 单击签名证书下的上传文件以上传证书文件。
      这是身份提供者用来对发送到 Qlik Cloud 的 SAML 断言进行签名的证书。

   2. 输入身份提供者的实体 ID。

   3. 输入单点登录 URL。

      这是在其中发送 SAML 身份验证请求的端点。它是用户重定向到的 URL，用于进行身份验证。

   4. 选择名称 ID 格式。

   

6. （可选）选择启用 IdP 启动的 登录。

   默认登录流是用户首先转到 Qlik Cloud，然后重定向到 IdP 进行身份验证。如果希望用户首先登录到身份提供者，然后重定向到 Qlik Cloud，请启用 IdP 启动的登录。

7. 修改声明映射下的字段或保留默认值。

   声明映射定义身份提供者中的用户属性如何与 Qlik Cloud 用户模型中的字段相关联。映射可用于 sub、name、email、groups 和 picture。调整这些值以适应组织的需要和身份提供者的属性。

   信息注释

   • 可以在输入字段中输入多个查找值，值之间使用逗号分开。将使用找到的第一个非空值。

   • groups 声明需要组声明是接收组所必需的。请注意，Microsoft Entra ID 中不支持嵌套组。

8. （可选）在高级选项下配置注销后重定向 URI。

   此项用于在注销后将用户重定向到定义的 URI。有关如何使用注销后重定向 URI 的示例，请参阅使用注销后重定向 URI。

9. 单击创建。

   此时会出现一个确认对话框，其中包含验证 IdP 配置的选项。

   SAML 服务提供者元数据和签名证书仅在创建 IdP 配置后可用。如果您需要这些信息来设置身份提供者，您可以在最初不进行验证的情况下创 建IdP，并在身份提供者的配置完成后进行验证。

   • 要立即验证，请选择验证 IdP，然后单击创建。这将启动验证过程。按照验证向导中的步骤进行登录并确认用户配置文件数据是否有效。

   • 如果您希望现在创建配置，但稍后进行验证，请清除验证 IdP 复选框，然后单击创建。您可以稍后通过单击 IdP 配置上的 并选择验证进行验证。

   

正在将服务提供者元数据上传到您的身份提供者

执行以下操作：

1. 在 Administration 活动中心中，在新创建的 IdP 配置上，单击 并选择查看提供者配置。

   一个对话框，显示服务提供者元数据和元数据端点的 URL。

   

2. 根据您的身份提供者的设置，下载元数据文件或复制 URL 并保存以备将来使用。如果需要，请下载签名证书文件。单击完成。

3. 在您的身份提供者处，输入服务提供者元数据。确保配置以下所需设置：

   • Assertion Consumer Service (ACS) URL。这是身份提供者在身份验证后发送 SAML 断言的位置。

   • 服务提供者的实体 ID。

   • 用于验证身份验证请求的证书。这由身份提供者用来验证服务提供者的真实性。

4. 一旦您的身份提供者的配置完成，您就可以在 Administration 活动中心中验证您的 IdP 配置。单击您的配置上的 并选择验证。按照验证向导中的步骤进行登录并验证用户配置文件数据是否正确。