跳到主要內容

管理識別提供者

Qlik Sense Enterprise SaaS 中,您可以在設定部署時使用已存在的識別提供者 (IdP)。您也可以選擇使用 Qlik Account。在 Qlik Sense Business 中,您只能使用 Qlik Account

備註: 如需如何設定識別提供者的概述,請參閱 設定識別提供者

本主題說明如何在 Qlik Sense Enterprise SaaS 中設定識別提供者設定。您也需要在識別提供者方進行設定。對於這些設定的逐步說明,請參閱下列資源:

使用 Salesforce.com 作為 Qlik Sense Enterprise SaaS 的 IDP (OIDC 驗證)

使用 Active Directory 同盟服務作為 Qlik Sense Enterprise SaaS 的 IDP

如何:設定 Qlik Sense Enterprise SaaS 以使用 Azure AD 作為 IdP

備註:

若您的 Qlik Sense Enterprise SaaS 使用者正在使用 Qlik Sense Mobile for SaaS,您必須使用下列識別提供者之一:

  • Okta

  • Auth0

  • Salesforce

  • Azure AD

  • Qlik Account (不可用於 Qlik Sense Enterprise SaaS - Government (US))

建立新的識別提供者設定

請執行下列動作:

  1. Management Console,開啟區段識別提供者

  2. 按一下新建

    建立 IdP 設定的頁面會開啟。

  3. 選取 IdP 類型:

    • 互動適用於使用者登入
    • 機器對機器 (M2M) 適用於 API 存取
    • 多雲端適用於輸入本機持有人 Token,以建立識別提供者設定,請參閱 MSC - 部署 (僅提供英文版)
  4. 選取 IdP 提供者。若特定 IdP 無法作為選項使用,請選取一般

  5. 也可以選擇輸入說明。

  6. 填寫應用程式認證區段中的欄位:

    1. 第一個欄位是前往端點的 URL,向 OAuth 用戶端提供設定資訊,以便使用 OpenID Connect 通訊協定使用 IdP 的介面。這透過不同名稱進行:

      • ADFS:ADFS 探索 URL
      • Auth0:OpenID 設定
      • Keycloak:Keycloak OpenID 端點設定
      • Okta/Generic: OpenID 連接中繼資料 URI
      • Salesforce:Salesforce 探索 URL

      手動設定

      有時候探索 URL 無法使用或不提供適當的中繼資料。您可以不必輸入端點 URL 以擷取中繼資料,而改為在表單中輸入對應資料。只有在您尚未輸入任何探索 URL 時,才要使用手動設定。

      1. 建立識別提供者設定面板中,選取提供者。

      2. 開啟手動設定

        這會停用 OpenID 設定欄位,並讓欄位能夠進行手動設定。

      3. 新增簽發者,亦即識別提供者的 URL。

      4. 新增授權端點,亦即與資源擁有者互動的 URL,您可在此取得授權以存取資源。

      5. 新增 Token 端點,亦即取得存取 Token 的 URL。

      6. 新增使用者資訊端點,亦即取得使用者資訊的 URL 。

      7. 新增JWKS URI,亦即包含用於驗證 JSON Web Token (JWT) 之公開金鑰的 JSON Web Key Set 的 URI 。

      8. 也可以選擇新增結束工作階段端點,亦即用來觸發單一登出的 URL。

      9. 也可以選擇新增自我檢查端點,亦即驗證參考 Token 或 JWT 的 URL。

      10. 填寫宣告對應區段中的欄位。

        宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對於每個宣告,您可以使用多個值,並以逗號分隔。

        • subnamegroupsemailclient_idpictureemail_verified (選擇性) 用於互動,而subclient_id 用於機器對機器。
          需要團體宣告才能接收群組。
      11. 在您的識別提供者處,將租用戶 URL 列入允許清單。設定會有不同的名稱,例如允許回撥 URL重新導向 URI登入重新導向 URI

        設定允許清單時,您需要將 login/callback 新增至租用戶位址。範例:https://<tenant name>/login/callback

        備註: 設定重新導向 URI 時,必須使用原始主機名稱,而不是別名主機名稱。您可在設定 > 租用戶 > 主機名稱之下找到主機名稱。
    2. 用戶端 ID (適用於互動):在 IdP 用於互動式使用者驗證的設定用戶端的 ID。

    3. 用戶端密碼 (適用於互動):在 IdP 設定的用戶端密碼。

    4. 領域 (選填):要與 IdP 聯結的名稱。這與 Qlik Sense Enterprise on Windows 中的網域名稱相同,以保持多雲端中的命名一致性。

  7. 填寫宣告對應區段中的欄位。

    宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對於每個宣告,您可以使用多個值,並以逗號分隔。

    • subnamegroupsemailclient_idpictureemail_verified (選擇性) 用於互動,而subclient_id 用於機器對機器。
      需要團體宣告才能接收群組。
  8. 在您的識別提供者處,將租用戶 URL 列入允許清單。設定會有不同的名稱,例如允許回撥 URL重新導向 URI登入重新導向 URI

    設定允許清單時,您需要將 login/callback 新增至租用戶位址。範例:https://<tenant name>/login/callback

    備註: 設定重新導向 URI 時,必須使用原始主機名稱,而不是別名主機名稱。您可在設定 > 租用戶 > 主機名稱之下找到主機名稱。

進階選項

進階選項可延伸某些 IdP 的功能。

電子郵件驗證覆寫:用於 ADFSAzure AD 以確保使用者的電子郵件地址可用於識別對應。此選項在切換 IdP 時很實用,但也能在 Management Console 中用來辨識兩個名稱確切相同的使用者。

範圍:用於 OAuth 2.0 規格,用來在發佈存取 Token 時指定存取權限。例如,若 IdP 需要此以支援使用者群組功能,則可使用此選項新增群組範圍。

發佈登出重新導向 URI (選用):在登出後用來將使用者重新導向至定義的 URI 。

如需如何使用發佈登出重新導向 URI 的範例,請參閱:IdP: 使用發佈登出重新導向 URI

啟用群組自動建立

啟用群組自動建立可在設定頁面上的 Management Console 中開啟。

Groups are used for access control of users, and can optionally be automatically created from idp-groups.

Enable auto-creation of groups property
Property Description
Enable auto-creation of groups

When enabled, groups are inherited from the identity provider so that access can be granted to the same groups of users that exist in the IdP. This simplifies access administration compared to granting access to one user at a time.

It is required that you use single sign-on and have administrative access to your IdP to configure groups.

Note that new IdP groups will show up in Qlik Sense Enterprise as users log in (or log in again) to the Qlik Sense Enterprise tenant. IdP groups are not imported all at the same time. Instead, IdP groups are discovered at login time. Further, only groups associated with users in Qlik Sense Enterprise will be available as described earlier.

請執行下列動作:

  1. Management Console 中,前往設定頁面。
  2. 群組區段之下,開啟啟用群組自動建立按鈕。

變更現有的 IdP 設定

您可以變更現有的 IdP 設定。

請執行下列動作:

  1. Management Console,開啟區段識別提供者

  2. 在表格中最右側,針對您想要編輯的 IdP 按一下 ...

    就會顯示子功能表,其中含有用於啟用/停用、驗證、編輯和刪除 IdP 的選項。

啟用/停用 IdP

您可以擁有數個平行設定的不同互動式 IdP,但一次只能有一個處於作用中狀態。其他需要停用或刪除。停用某個互動式 IdP 時,您會自動還原為 Qlik Account 設定。如需詳細資訊,請參閱 刪除 IdP

驗證 IdP

驗證會在儲存互動式 IdP 時自動發生,但您也可以在需要時手動觸發驗證,例如在編輯 IdP 之後。選取驗證時,將帶您前往識別提供者以便登入,然後進行一系列的其他驗證步驟。

編輯 IdP

您可以編輯所有類型的 IdP。編輯後,請驗證變更,以確保 IdP 正常運作。驗證選項不可用於機器對機器設定。

刪除 IdP

Qlik Sense Enterprise SaaS 中,預設 IdPQlik Account。您可以變更為您選擇的公司 IdP。若您之後決定刪除公司 IdP,則需要注意結果。

警告: 刪除識別提供者會造成使用者無法存取租用戶。

若您刪除公司 IdP,租用戶會恢復為 Qlik Account。透過已刪除的公司 IdP 存取租用戶的使用者再也無法登入,也無法存取他們建立的內容。不過,可調整擁有權的 Qlik Account 租用戶管理員可看見內容。

此外,若這些使用者先前使用了 Qlik Account,且電子郵件地址與公司 IdP 相同,則會保留在該期間透過 Qlik Account 建立的任何內容。

備註: 您可以停用 IdP,而非刪除 IdP。然後租用戶會還原為 Qlik Account