跳到主要內容 跳至補充內容
Qlik 資源

建立互動式 OIDC IdP 設定

本主題說明如何在 Qlik Cloud 中設定識別提供者設定。

在識別提供者方進行設定

除了 Qlik Cloud 中的設定,您也需要在識別提供者方進行設定。對於這些設定的逐步說明,請參閱下列資源:

Qlik Cloud 中的設定

租用戶管理員可以建立新的 IdP 設定。

資訊備註您一次只能有一個單一互動式 IdP。若您已經有一個作用中的 IdP,您需要先停用,才能啟用新的 IdP。如需詳細資訊,請參閱變更公司識別提供者

請執行下列動作:

  1. 管理 活動中心內,前往識別提供者,並按一下新建

  2. 對於類型,選取 OIDC

  3. 對於提供者,請從清單中選取識別提供者,或者,如未列出特定提供者,請選擇一般

  4. 或者,輸入 IdP 設定的描述。

  5. 應用程式認證之下,您可以輸入探索 URL。若探索 URL 無法使用或沒有提供適當的中繼資料,您也可以選擇手動輸入個別值。只有在尚未輸入探索 URL 時,才應手動設定。

    執行下列其中一個動作:

    1. 輸入探索 URL。此為端點 URL,這為 OAuth 用戶端提供設定資料,以使用 OpenID Connect 通訊協定與 IdP 互動。探索 URL 的命名慣例根據您選擇的提供者而異:

      • ADFS:ADFS 探索 URL

      • Auth0:OpenID 設定

      • Keycloak:Keycloak OpenID 端點設定

      • Okta 或 Generic IdP:OpenID 連接中繼資料 URI

      • Salesforce:Salesforce 探索 URL

    1. 選取手動設定

    2. 輸入下列值:

      • 授權端點:用於與資源擁有者互動的 URL,您可以在此取得授權,以存取資源。

      • 結束工作階段端點 (選用):用來觸發單一登出的 URL。

      • 自省端點 (選用):用來驗證參考 Token 或 JWT 的 URL。

      • 簽發者:識別提供者的 URL。

      • JWKS URI:JSON Web 金鑰集的 URI 包含用於驗證 JSON Web Token (JWT) 的公用金鑰。

      • Token 端點:用來取得存取 Token 的 URL。

      • 使用者資訊端點 (選用):用來取得使用者資訊的 URL。

    使用探索 URL 的設定和手動設定。

    使用和不使用探索 URL 顯示的設定窗格。

  6. 輸入用戶端 ID:IdP 的已設定用戶端 ID,可進行互動式使用者驗證。

  7. 輸入用戶端密碼:在 IdP 設定之用戶端的密碼。

  8. 也可以輸入領域。此為與 IdP 關聯的名稱。這與 Qlik Sense Enterprise on Windows 中的網域名稱相同,可在多雲端中達到命名一致性。

  9. 填寫宣告對應之下的欄位。

    宣告是關於實體 (在許多情況下為使用者) 的陳述式 (名稱/值對) 以及關於 OpenID Connect 服務的中繼資料。對應可用於 subnamegroupsemailclient_idpictureemail_verified (選用)。

    資訊備註

    • 您可以在輸入欄位中輸入以逗號分隔的多個查詢值。系統會使用第一個非 NULL 值。

    • 需要團體宣告才能接收群組。請注意,Microsoft Entra ID 不支援巢狀群組。

  10. 也可以選擇設定進階選項。如需更多詳細資訊,請參閱 進階選項

  11. 按一下建立

    就會顯示確認對話方塊,其中含有用來驗證 IdP 設定的選項。

    • 若要立即驗證,選取驗證 IdP 並按一下建立。這將會啟動驗證流程。按照驗證精靈中的步驟執行登入,並確認使用者設定檔資料是否正確。

    • 若您偏好立即建立設定但之後再驗證,清除驗證 IdP 核取方塊並按一下建立。您之後可以按一下 IdP 設定的 更多 並選取驗證,以便驗證。

    驗證並建立 IdP 設定。

    具有所選驗證 IdP 選項的確認對話方塊

將租用戶 URL 新增至識別提供者允許清單

在您的識別提供者處,將租用戶 URL 新增至允許清單。此設定會有不同的名稱,例如允許回撥 URL、重新導向 URI 或登入重新導向 URI。

新增 URL 時,您需要將 login/callback 附加至租用戶位址,如同 https://<租用戶名稱>/login/callback。

資訊備註設定重新導向 URI 時,請使用原始租用戶主機名稱,而不是別名主機名稱。您可在使用者設定檔的關於區段中找到租用戶主機名稱。

進階選項

進階選項為某些識別提供者提供附加功能。

電子郵件驗證覆寫

啟用此設定可將 email_verified 宣稱一律設定為「true」。這可確保電子郵件地址可用於 ADFS 和 Microsoft Entra ID 中的身分識別對應。 這在切換 IdP 時特別實用,有助於分辨 管理 活動中心內具有相同名稱的使用者。

範圍

範圍根據 OAuth 2.0 規格,在簽發存取 Token 時定義請求的存取權限。輸入以空格分隔的值,以指定您要向識別提供者請求的權限。例如,如果 IdP 要求支援使用者群組功能,請包含群組範圍。

發佈登出重新導向 URI

使用此欄位指定使用者登出後將重新導向的 URI。如需詳細說明,請參閱使用發佈登出重新導向 URI

封鎖 offline_access

使用 Google Identity 或 OneLogin 作為識別提供者時,啟用此設定可封鎖將 offline_access 範圍傳遞至識別提供者。這可確保設定與 Qlik Sense Mobile SaaS 和 OAuth 2.0 應用程式正確配合使用。

ID Token 簽名演算法

RSA 簽章演算法確保 ID Token 的真確性和完整性。Qlik Cloud 支援兩個選項:

  • RS256 (預設)

  • RS512

根據您的安全性需求選取演算法。

Token 簽章驗證和解密

產生金鑰組,以驗證簽章並解密加密的 JSON Web Token (JWT)。如需詳細說明,請參閱管理簽署和加密 ID Token 的金鑰組

此頁面是否對您有幫助?

若您發現此頁面或其內容有任何問題——錯字、遺漏步驟或技術錯誤——請告知我們可以如何改善!

在此留下意見回饋