跳到主要內容

建立新的識別提供者設定

在此頁面

建立新的識別提供者設定

租用戶管理員可以從 Management Console 建立新的 IdP 設定。Qlik Sense SaaS 為使用者登入、API 存取和多雲端設定提供 IdP 設定。

請執行下列動作:

  1. Management Console,開啟區段識別提供者

  2. 按一下新建

    建立 IdP 設定的頁面會開啟。

  3. 選取 IdP 類型:

    • 互動適用於使用者登入
    • 機器對機器 (M2M) 適用於 API 存取
    • 多雲端適用於輸入本機持有人 Token,以建立識別提供者設定,請參閱 MSC - 部署 (僅提供英文版)
  4. 選取 IdP 提供者。若特定 IdP 無法作為選項使用,請選取一般

  5. 也可以選擇輸入說明。

  6. 填寫應用程式認證區段中的欄位:

    1. 第一個欄位是前往端點的 URL,向 OAuth 用戶端提供設定資訊,以便使用 OpenID Connect 通訊協定使用 IdP 的介面。這透過不同名稱進行:

      • ADFS:ADFS 探索 URL
      • Auth0:OpenID 設定
      • Keycloak:Keycloak OpenID 端點設定
      • Okta/Generic: OpenID 連接中繼資料 URI
      • Salesforce:Salesforce 探索 URL

      手動設定

      有時候探索 URL 無法使用或不提供適當的中繼資料。您可以不必輸入端點 URL 以擷取中繼資料,而改為在表單中輸入對應資料。只有在您尚未輸入任何探索 URL 時,才要使用手動設定。

      1. 建立識別提供者設定面板中,選取提供者。

      2. 開啟手動設定

        這會停用 OpenID 設定欄位,並讓欄位能夠進行手動設定。

      3. 新增簽發者,亦即識別提供者的 URL。

      4. 新增授權端點,亦即與資源擁有者互動的 URL,您可在此取得授權以存取資源。

      5. 新增 Token 端點,亦即取得存取 Token 的 URL。

      6. 新增使用者資訊端點,亦即取得使用者資訊的 URL 。

      7. 新增JWKS URI,亦即包含用於驗證 JSON Web Token (JWT) 之公開金鑰的 JSON Web Key Set 的 URI 。

      8. 也可以選擇新增結束工作階段端點,亦即用來觸發單一登出的 URL。

      9. 也可以選擇新增自我檢查端點,亦即驗證參考 Token 或 JWT 的 URL。

      10. 填寫宣告對應區段中的欄位。

        宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對於每個宣告,您可以使用多個值,並以逗號分隔。

        • subnamegroupsemailclient_idpictureemail_verified (選擇性) 用於互動,而subclient_id 用於機器對機器。
          需要團體宣告才能接收群組。
      11. 在您的識別提供者處,將租用戶 URL 列入允許清單。設定會有不同的名稱,例如允許回撥 URL重新導向 URI登入重新導向 URI

        設定允許清單時,您需要將 login/callback 新增至租用戶位址。範例:https://<tenant name>/login/callback

        備註: 設定重新導向 URI 時,必須使用原始主機名稱,而不是別名主機名稱。您可在設定 > 租用戶 > 主機名稱之下找到主機名稱。
    2. 用戶端 ID (適用於互動):在 IdP 用於互動式使用者驗證的設定用戶端的 ID。

    3. 用戶端密碼 (適用於互動):在 IdP 設定的用戶端密碼。

    4. 領域 (選填):要與 IdP 聯結的名稱。這與 Qlik Sense Enterprise on Windows 中的網域名稱相同,以保持多雲端中的命名一致性。

  7. 填寫宣告對應區段中的欄位。

    宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對於每個宣告,您可以使用多個值,並以逗號分隔。

    • subnamegroupsemailclient_idpictureemail_verified (選擇性) 用於互動,而subclient_id 用於機器對機器。
      需要團體宣告才能接收群組。
  8. 在您的識別提供者處,將租用戶 URL 列入允許清單。設定會有不同的名稱,例如允許回撥 URL重新導向 URI登入重新導向 URI

    設定允許清單時,您需要將 login/callback 新增至租用戶位址。範例:https://<tenant name>/login/callback

    備註: 設定重新導向 URI 時,必須使用原始主機名稱,而不是別名主機名稱。您可在設定 > 租用戶 > 主機名稱之下找到主機名稱。

進階選項

進階選項可延伸某些 IdP 的功能。

電子郵件驗證覆寫:用於 ADFSAzure AD 以確保使用者的電子郵件地址可用於識別對應。此選項在切換 IdP 時很實用,但也能在 Management Console 中用來辨識兩個名稱確切相同的使用者。

範圍:用於 OAuth 2.0 規格,用來在發佈存取 Token 時指定存取權限。例如,若 IdP 需要此以支援使用者群組功能,則可使用此選項新增群組範圍。

發佈登出重新導向 URI (選用):在登出後用來將使用者重新導向至定義的 URI 。

如需如何使用發佈登出重新導向 URI 的範例,請參閱:使用發佈登出重新導向 URI

封鎖將 'offline_access' 範圍傳遞至識別提供者:使用 Google Identity 或 OneLogin 作為識別提供者時,必須開啟此設定以讓設定能夠搭配 Qlik Sense Mobile for SaaSOAuth 2.0 應用程式運作。

啟用群組自動建立

啟用群組自動建立可在設定頁面上的 Management Console 中開啟。

群組用於使用者的存取控制,也可以選擇從 idp 群組自動建立。

啟用群組自動建立屬性
屬性 描述
啟用群組自動建立

啟用後,群組會承自識別提供者,因此可向 IdP 中相同的使用者群組授予存取權限。相較於一次向一個使用者授予存取權限,這可簡化存取管理。

這需要您使用單一登入並擁有 IdP 的管理權限,以便設定群組。

請注意,在使用者登入 (或重新登入) Qlik Sense Enterprise 租用戶時,新的 IdP 群組將會出現在 Qlik Sense Enterprise 中。IdP 群組不會全部同時匯入。而是會在登入時間探索 IdP 群組。此外,只有與 Qlik Sense Enterprise 中使用者有關的群組可提供使用,如上所述。

請執行下列動作:

  1. Management Console 中,前往設定頁面。
  2. 群組區段之下,開啟啟用群組自動建立按鈕。

刪除此文字並以自己的內容取代。