从 Qlik Account 切换为公司 Idp 配置
以下过程描述如何从 Qlik Account(Qlik 提供的身份提供者 (Idp) )切换到您选择的公司 Idp 配置。Idp 必须支持 OpenID Connect (OIDC) 或 SAML。
所有用户的切换 Idp 过程基于电子邮件地址。
在配置公司 Idp 之前删除区域权限表
在配置公司 Idp 之前,必须从所有应用程序中删除或注释掉区域权限表,然后执行重新加载。
激活公司 Idp 后,您可以使用新配置的 Idp 中提供的新身份重新创建已删除的区域权限表,或删除以前添加的注释。同样,需要重新加载才能重新激活数据模型中的表。
有关区域权限的信息,请参阅用 Section Access 管理数据安全。
配置公司 Idp
在使用 Qlik Account 一段时间后配置公司 Idp 可能需要特别注意以下方面,以便为您的邀请的 Qlik Account 用户切换到公司 Idp 而映射内容(应用程序、空间等)。
执行以下操作:
-
在 管理控制台 中配置交互式 Idp,请参阅身份提供者。
-
测试验证流程并确保结果成功。以租户管理员身份,手动验证 email 和 email_verified 声明是否存在并且值为 true。这对于在切换后成功映射内容非常重要。尚不要激活 Idp。
-
通过 管理控制台 检查租户的用户列表。
-
标识当前电子邮件地址与公司电子邮件地址不匹配的用户。当您切换 IdP 以保留内容时,电子邮件地址应当匹配。
-
对于没有匹配电子邮件地址的用户,租户管理员需要手动将内容移动到新帐户。
-
再次通过 管理控制台 检查用户列表,并验证现在是否已将正确的公司电子邮件地址分配给所有用户。
-
激活交互式 Idp。
-
打开新的浏览器实例或隐藏踪迹窗口,以避免与现有登录会话冲突。访问租户URL (<tenant>.<region>.qlikcloud.com/login) 并验证其是否将您转到新的交互式 Idp。
-
登录并访问应用中心。验证 Qlik Account 内容是否仍然可供用户使用。
-
打开 管理控制台 并验证用户是否已将新的 Idp 主题分配给其现有用户 ID。
-
验证 管理控制台 中的许可证分配是否仍然为已登录到 Idp 新公司的所有用户正确设置。
-
重新创建区域权限表,请参阅在配置公司 Idp 之前删除区域权限表。