設定 Okta 作為 SAML 識別提供者
此主題描述如何設定 Okta 作為 Qlik Cloud 的識別提供者。
在 Okta 中設定 SAML 應用程式
第一步是在 Okta 中設定 SAML 應用程式,以服務提供者 (SP) 的身分信任 Qlik Cloud 租用戶。
請執行下列動作:
-
在 Okta 的管理員主控台,前往應用程式 > 應用程式。
-
按一下建立應用程式整合。
-
對於登入方法,選取 SAML 2.0 並按一下下一步。
-
根據需要填寫整合的一般資訊,然後按一下下一步。
-
在 SAML 設定之下,輸入下列資訊:
設定 值 單一登入 URL 路徑為 /login/saml 的原始租用戶主機名稱已附加至主機名稱末尾 對象 URI (SP 實體 ID) 您的原始租用戶主機名稱 (沒有任何附加路徑,也沒有後置斜線) 名稱 ID 格式 未指定 SAML 設定。
-
在屬性陳述式之下,新增名稱和電子郵件的屬性陳述式。
輸入下列資訊:名稱 名稱格式 值 名稱 未指定 ${user.firstName} ${user.lastName}
電子郵件 未指定 user.email 提示備註Okta 支援使用字串格式的運算式,以將多個值整合為單一屬性。此處建議的值會將名字和姓氏合併為名稱屬性。屬性陳述式。
-
在群組屬性陳述式之下,新增群組的屬性陳述式。
輸入下列資訊:名稱 名稱格式 篩選 值 群組 未指定 比對 regex .+ 提示備註此處建議的篩選條件和值擷取所有使用者群組。篩選條件可以調整為根據您的偏好,僅傳回特定群組子集。群組屬性陳述式。
-
為了完成 Okta 設定,選取我是新增內部應用程式的 Okta 客戶和此為我們已建立的內部應用程式,然後按一下完成。
建立應用程式後,您還需要在 Okta 中進行兩件事:
-
下載 IdP 中繼資料:您應該會看見中繼資料 URL。如果沒有看見,您可以在應用程式的登入索引標籤找到。在瀏覽器中複製並開啟 URL,然後儲存頁面作為之後要使用的檔案。(若使用 Chrome,用滑鼠右鍵按一下頁面並選取另存新檔。)
-
新增使用者和群組:在指派索引標籤,新增可登入 Qlik Cloud 租用戶的使用者和群組。
在 Qlik Cloud 中建立 IdP 設定
以租用戶管理員的身分登入 Qlik Cloud,以建立 IdP 設定。
請執行下列動作:
-
在 管理主控台 中,前往識別提供者,並按一下新建。
-
對於類型,選取 SAML。
-
對於提供者,選取 Okta。
-
或者,輸入 IdP 設定的描述。
-
選取使用 IdP 中繼資料。
-
在 SAML IdP 中繼資料之下,按一下上傳檔案並選取在 Okta 設定期間下載的 IdP 中繼資料檔案。
IdP 設定。
-
按一下建立。
-
在建立互動式識別提供者對話方塊中,清除驗證 IdP 核取方塊,然後按一下建立。
這會建立 IdP 設定,而不必立即驗證。將會在之後的階段執行驗證。資訊備註如有偏好,您可以立即驗證。不過,我們建議您先完成下一個區段並在 Okta 上傳憑證檔案。
設定 SAML 請求簽名驗證
下載簽署憑證的 Qlik Cloud SAML 請求並在 Okta 上傳。
請執行下列動作:
-
在 Qlik Cloud 管理主控台中,前往識別提供者。
-
在 SAML IdP 設定,按一下
,並選取檢視提供者設定。 -
選取下載簽署憑證,然後按一下完成。
在 Okta 中返回 SAML 應用程式。
請執行下列動作:
-
在 Okta 中,前往應用程式的一般索引標籤。
-
在 SAML 設定之下,按一下編輯。
-
按一下下一步以來到設定 SAML。
-
在 SAML 設定之下,按一下顯示進階設定。
-
在簽名憑證旁邊,按一下瀏覽檔案並上傳簽署憑證檔案。
成功上傳後,Okta 會顯示關於憑證的詳細資訊。
憑證詳細資訊。
-
在簽署請求旁邊,選取透過簽名憑證驗證 SAML 請求。
-
按一下下一步以繼續進行 Okta 的設定流程並儲存變更。
現在已設定 Okta,可驗證 SAML 請求簽名。返回 Qlik Cloud 以開始驗證。
在 Qlik Cloud 中驗證識別提供者
成功設定 Okta 之後,您可以在 Qlik Cloud 中驗證 IdP 設定。
請執行下列動作:
-
在 管理主控台 中,前往識別提供者。
-
在 SAML IdP 設定上,按一下
並選取驗證。 -
按照驗證精靈中的步驟,以新增至 Okta 應用程式的使用者身分執行登入。驗證使用者設定檔資料是否正確。
將會向您呈現選項,以將使用者晉升為 Qlik Cloud 租用戶管理員,並啟用 IdP。請注意,啟用 IdP 將會在租用戶中停用任何先前設定的互動式識別提供者。