設定 Active Directory 同盟服務作為 SAML 識別提供者
此主題描述如何設定 Active Directory 同盟服務 (AD FS) 作為 Qlik Cloud 的識別提供者。
必要條件
確保您有功能完整的 Active Directory 同盟服務 (AD FS) 安裝和 Active Directory (AD) 內的一組使用者。
下載 AD FS 伺服器中繼資料
擷取 AD FS 伺服器的中繼資料,因為之後在 Qlik Cloud 中設定時會需要。
存取下列 URL 以下載中繼資料檔案:
在 Qlik Cloud 中建立 IdP 設定
以租用戶管理員的身分登入 Qlik Cloud,以建立 IdP 設定。
請執行下列動作:
-
在 管理主控台 中,前往識別提供者,並按一下新建。
-
對於類型,選取 SAML。
-
對於提供者,選取 ADFS。
-
或者,提供 IdP 設定的描述。
-
選取使用 IdP 中繼資料。
-
在 SAML IdP 中繼資料之下,按一下上傳檔案並選取從 AD FS 下載的中繼資料檔案。
IdP 設定。
-
按一下建立。
-
在建立互動式識別提供者對話方塊中,清除驗證 IdP 核取方塊,然後按一下建立。
這會建立 IdP 設定,而不必立即驗證。將會在之後的階段執行驗證。 -
找到剛才建立的 IdP 設定,按一下
,並選取檢視提供者設定。就會顯示服務提供者中繼資料。
-
按一下下載中繼資料以下載 Qlik Cloud 中繼資料檔案。
-
按一下下載簽署憑證以下載 Qlik Cloud 簽署憑證。
在 AD FS 中設定 SAML 應用程式
在 AD FS 中設定 SAML 應用程式,以服務提供者 (SP) 的身分建立與 Qlik Cloud 租用戶之間的信任。
請執行下列動作:
-
使用管理員認證登入託管 AD FS 的 Windows 伺服器。
-
開啟 AD FS 管理應用程式。
-
用滑鼠右鍵按一下依賴方信任並選取新增依賴方信任。
-
在新增依賴方信任精靈中,選取宣告式並按一下開始。
-
選取從檔案匯入關於依賴方的資料。瀏覽之前儲存的 Qlik Cloud 中繼資料檔案,然後按一下下一步。
匯入 SP 中繼資料。
-
輸入顯示名稱,例如 Qlik Cloud,並按一下下一步以繼續。
-
選取適當的存取控制政策,並按一下下一步。再次按一下下一步,以確認設定。
-
選取設定此應用程式的宣告簽發政策並按一下關閉。
-
在編輯宣告規則對話方塊中,按一下新增規則。
-
選取傳送 LDAP 屬性作為宣告並按一下下一步。
-
提供宣告規則名稱並從清單中選取屬性儲存,例如 Active Directory。
-
設定下列對應 (或根據組織的特定要求自訂對應):
-
SAM 帳戶名稱設定為名稱 ID
-
顯示名稱設定為名稱
-
電子郵件地址設定為電子郵件地址
-
Token 群組 - 不合格名稱設定為群組
宣告規則對應。
-
-
儲存變更。
-
前往 Qlik Cloud 依賴方的屬性並選取簽名索引標籤。
-
按一下新增,然後找到之前下載的 Qlik Cloud 簽署憑證。
指定簽名憑證。
-
儲存變更。
現在已設定 AD FS,可驗證 SAML 請求簽名。回到 Qlik Cloud 以啟動驗證流程。
在 Qlik Cloud 中驗證識別提供者
成功設定 AD FS 之後,您可以在 Qlik Cloud 中驗證 IdP 設定。
請執行下列動作:
-
在 管理主控台 中,前往識別提供者。
-
在 AD FS IdP 設定上,按一下
並選取驗證。 -
按照驗證精靈中的步驟,以新增至 AD FS 應用程式的使用者身分執行登入。驗證使用者設定檔資料是否正確。
將會向您呈現選項,以將使用者晉升為 Qlik Cloud 租用戶管理員,並啟用 IdP。請注意,啟用 IdP 將會在租用戶中停用任何先前設定的互動式識別提供者。