建立新的識別提供者設定

Qlik Cloud 為使用者登入、API 存取和多雲端設定提供識別提供者 (IdP) 設定。每個 Qlik Cloud 租用戶支援一個互動式 IdP，例如 Qlik Account、Microsoft Entra ID (之前稱為 Azure AD)、OKTA、Auth0 或另一個與 OpenID Connect (OIDC) 或安全性聲明標記語言 (SAML) 相容的 IdP。

租用戶管理員可以從 管理 活動中心建立各種 IdP 設定：

• 對於使用者登入，設定互動式 IdP。根據支援的識別提供者標準，在 OIDC 或 SAML 之間選擇。

  資訊備註

  • 一次只能啟用一個互動式 IdP。若您部署自訂互動式 IdP，這將會以所選 IdP 定義的驗證流程取代 Qlik Account 登入流程。

  • 處理企業 IdP 的 SSO 失敗必須透過識別提供者來設定。Qlik Cloud 不支援設定後援重新導向 URL。

• 如需順利進行多雲端識別管理，請以本機持有人 Token 設定多雲端 IdP。

建立新的互動式 OIDC IdP 設定

租用戶管理員可以建立新的 IdP 設定。您一次只能有一個單一互動式 IdP。若您已經有一個作用中的 IdP，您需要先停用，才能啟用新的 IdP。如需詳細資訊，請參閱變更公司 IdP 設定。

請執行下列動作：

1. 在 管理 活動中心內，前往識別提供者，並按一下新建。

2. 對於類型，選取 OIDC。

3. 對於提供者，請從清單中選取識別提供者，或者，如未列出特定提供者，請選擇一般。

4. 或者，輸入 IdP 設定的描述。

5. 在應用程式認證之下，您可以輸入探索 URL。若探索 URL 無法使用或沒有提供適當的中繼資料，您也可以選擇手動輸入個別值。只有在尚未輸入探索 URL 時，才應手動設定。

   執行下列其中一個動作：

   1. 輸入探索 URL。此為端點 URL，這為 OAuth 用戶端提供設定資料，以使用 OpenID Connect 通訊協定與 IdP 互動。探索 URL 的命名慣例根據您選擇的提供者而異：

      • ADFS：ADFS 探索 URL

      • Auth0：OpenID 設定

      • Keycloak：Keycloak OpenID 端點設定

      • Okta 或 Generic IdP：OpenID 連接中繼資料 URI

      • Salesforce：Salesforce 探索 URL

   或

   1. 選取手動設定。

   2. 輸入下列值：

      • 授權端點：用於與資源擁有者互動的 URL，您可以在此取得授權，以存取資源。

      • 結束工作階段端點 (選用)：用來觸發單一登出的 URL。

      • 自省端點 (選用)：用來驗證參考 Token 或 JWT 的 URL。

      • 簽發者：識別提供者的 URL。

      • JWKS URI：JSON Web 金鑰集的 URI 包含用於驗證 JSON Web Token (JWT) 的公用金鑰。

      • Token 端點：用來取得存取 Token 的 URL。

      • 使用者資訊端點 (選用)：用來取得使用者資訊的 URL。

   

6. 輸入用戶端 ID：IdP 的已設定用戶端 ID，可進行互動式使用者驗證。

7. 輸入用戶端密碼：在 IdP 設定之用戶端的密碼。

8. 也可以輸入領域。此為與 IdP 關聯的名稱。這與 Qlik Sense Enterprise on Windows 中的網域名稱相同，可在多雲端中達到命名一致性。

9. 填寫宣告對應之下的欄位。

   宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對應可用於 sub、name、groups、email、client_id、picture 和 email_verified (選用)。

   資訊備註

   • 您可以在輸入欄位中輸入以逗號分隔的多個查詢值。系統會使用第一個非 NULL 值。

   • 需要團體宣告才能接收群組。請注意，Microsoft Entra ID 不支援巢狀群組。

10. 也可以選擇設定進階選項。如需更多詳細資訊，請參閱 進階選項。

11. 按一下建立。

    就會顯示確認對話方塊，其中含有用來驗證 IdP 設定的選項。

    • 若要立即驗證，選取驗證 IdP 並按一下建立。這將會啟動驗證流程。按照驗證精靈中的步驟執行登入，並確認使用者設定檔資料是否正確。

    • 若您偏好立即建立設定但之後再驗證，清除驗證 IdP 核取方塊並按一下建立。您之後可以按一下 IdP 設定的 並選取驗證，以便驗證。

    

將租用戶 URL 新增至識別提供者允許清單

在您的識別提供者處，將租用戶 URL 新增至允許清單。此設定會有不同的名稱，例如允許回撥 URL、重新導向 URI 或登入重新導向 URI。

新增 URL 時，您需要將 login/callback 附加至租用戶位址，如同 https://<租用戶名稱>/login/callback。

進階選項

進階選項為某些識別提供者提供附加功能。

電子郵件驗證覆寫

啟用此設定可將 email_verified 宣稱一律設定為「true」。這可確保電子郵件地址可用於 ADFS 和 Microsoft Entra ID 中的身分識別對應。 這在切換 IdP 時特別實用，有助於分辨 管理 活動中心內具有相同名稱的使用者。

範圍

範圍根據 OAuth 2.0 規格，在簽發存取 Token 時定義請求的存取權限。輸入以空格分隔的值，以指定您要向識別提供者請求的權限。例如，如果 IdP 要求支援使用者群組功能，請包含群組範圍。

發佈登出重新導向 URI

使用此欄位指定使用者登出後將重新導向的 URI。如需詳細說明，請參閱使用發佈登出重新導向 URI。

封鎖 offline_access

使用 Google Identity 或 OneLogin 作為識別提供者時，啟用此設定可封鎖將 offline_access 範圍傳遞至識別提供者。這可確保設定與 Qlik Sense Mobile SaaS 和 OAuth 2.0 應用程式正確配合使用。

ID Token 簽名演算法

RSA 簽章演算法確保 ID Token 的真確性和完整性。Qlik Cloud 支援兩個選項：

• RS256 (預設)

• RS512

根據您的安全性需求選取演算法。

Token 簽章驗證和解密

產生金鑰組，以驗證簽章並解密加密的 JSON Web Token (JWT)。如需詳細說明，請參閱管理簽署和加密 ID Token 的金鑰組。

建立新的互動式 SAML IdP 設定

租用戶管理員可以建立新的 IdP 設定。您一次只能有一個單一互動式 IdP。若您已經有一個作用中的 IdP，您需要先停用，才能啟用新的 IdP。如需詳細資訊，請參閱變更公司 IdP 設定。

請執行下列動作：

1. 在 管理 活動中心內，前往識別提供者，並按一下新建。

2. 對於類型，選取 SAML。

3. 對於提供者，請從清單中選取識別提供者，或者，如未列出特定提供者，請選擇一般。

4. 或者，輸入 IdP 設定的描述。

5. 在設定之下，您可以選擇從識別提供者上傳 SAML XML 中繼資料，或手動輸入個別值。

   執行下列其中一個動作：

   1. 選取使用 IdP 中繼資料。

   2. 按一下 SAML IdP 中繼資料之下的上傳檔案，並從識別提供者中選擇包含中繼資料的檔案。或者，若識別提供者中繼資料無法作為檔案使用，您可以直接在 IdP 中繼資料欄位中複製並貼上中繼資料。

   或

   1. 按一下簽署憑證之下的上傳檔案以上傳憑證檔案。
      此為識別提供者使用的憑證，用來簽署傳送至 Qlik Cloud 的 SAML 判斷。

   2. 輸入識別提供者的實體 ID。

   3. 輸入單一登入 URL。

      此為傳送 SAML 驗證請求的端點。此為重新導向使用者以進行驗證的 URL。

   4. 選取名稱 ID 格式。

   

6. 也可以選取啟用 IdP 發起的登入。

   預設登入流程是使用者先前往 Qlik Cloud，然後重新導向至 IdP 進行驗證。若您希望使用者先登入識別提供者，然後再重新導向至 Qlik Cloud，請啟用 IdP 發起的登入。

7. 修改宣告對應之下的欄位或保留預設值。

   宣告對應定義來自識別提供者的使用者屬性如何聯結 Qlik Cloud 使用者模型中的欄位。對應可用於 sub、name、email、groups 和 picture。調整值，以因應組織的需求和來自識別提供者的屬性。

   資訊備註

   • 您可以在輸入欄位中輸入以逗號分隔的多個查詢值。系統會使用第一個非 NULL 值。

   • 需要團體宣告才能接收群組。請注意，Microsoft Entra ID 不支援巢狀群組。

8. 也可以在進階選項之下設定登出後重新導向 URI。

   這用來在登出後將使用者重新導向至定義的 URI。如需如何使用登出後重新導向 URI 的範例，請參閱 使用發佈登出重新導向 URI。

9. 按一下建立。

   就會顯示確認對話方塊，其中含有用來驗證 IdP 設定的選項。

   SAML 服務提供者中繼資料和簽署憑證只有在建立 IdP 設定後才能使用。若您需要此資訊以設定識別提供者，您可以先在沒有驗證的情況下建立 IdP，然後在識別提供者的設定完成後進行驗證。

   • 若要立即驗證，選取驗證 IdP 並按一下建立。這將會啟動驗證流程。按照驗證精靈中的步驟執行登入，並確認使用者設定檔資料是否有效。

   • 若您偏好立即建立設定但之後再驗證，清除驗證 IdP 核取方塊並按一下建立。您之後可以按一下 IdP 設定的 並選取驗證，以便驗證。

   

將服務提供者中繼資料上傳至識別提供者。

請執行下列動作：

1. 在 管理 活動中心內，於新建立的 IdP 設定上，按一下 ，並選取檢視提供者設定。

   對話方塊顯示服務提供者中繼資料和中繼資料端點的 URL。

   

2. 根據識別提供者的設定，下載中繼資料檔案或複製 URL，並儲存以供之後使用。如有需要，下載簽署憑證檔案。按一下完成。

3. 在服務提供者輸入服務提供者中繼資料。確保設定下列所需設定：

   • 判斷消費者服務 (ACS) URL。識別提供者可於驗證後在此傳送 SAML 判斷。

   • 服務提供者的實體 ID。

   • 用於驗證驗證請求的憑證。這由識別提供者用來確認服務提供者的真確性。

4. 識別提供者的設定完成後，您可以驗證 管理 活動中心內的 IdP 設定。 按一下設定上的 並選取驗證。按照驗證精靈中的步驟執行登入，並確認使用者設定檔資料是否正確。

啟用群組自動建立

群組用來控制使用者存取，也可以從 IdP 群組自動建立。啟用自動建立群組後，群組會承自識別提供者，因此可向 IdP 中相同的使用者群組授予存取權限。相較於一次向一個使用者授予存取權限，這可簡化存取管理。

使用者登入時，新的 IdP 群組會動態顯示在 Qlik Cloud。不會同時匯入所有這些群組；而是會在登入流程期間探索 IdP 群組。只能使用與 Qlik Cloud 使用者關聯的群組。

若要設定群組，您必須使用單一登入並擁有 IdP 的管理權限。

請執行下列動作：

1. 在 管理 活動中心內，前往設定頁面。
2. 在功能控制之下，選取群組建立。