建立互動式 SAML IdP 設定
本主題說明如何在 Qlik Cloud 中設定識別提供者設定。
在識別提供者方進行設定
除了 Qlik Cloud 中的設定,您也需要在識別提供者方進行設定。對於這些設定的逐步說明,請參閱下列主題:
Qlik Cloud 中的設定
租用戶管理員可以建立新的 IdP 設定。
請執行下列動作:
-
在 管理 活動中心內,前往識別提供者,並按一下新建。
-
對於類型,選取 SAML。
-
對於提供者,請從清單中選取識別提供者,或者,如未列出特定提供者,請選擇一般。
-
或者,輸入 IdP 設定的描述。
-
在設定之下,您可以選擇從識別提供者上傳 SAML XML 中繼資料,或手動輸入個別值。
執行下列其中一個動作:
-
選取使用 IdP 中繼資料。
-
按一下 SAML IdP 中繼資料之下的上傳檔案,並從識別提供者中選擇包含中繼資料的檔案。或者,若識別提供者中繼資料無法作為檔案使用,您可以直接在 IdP 中繼資料欄位中複製並貼上中繼資料。
或
-
按一下簽署憑證之下的上傳檔案以上傳憑證檔案。
此為識別提供者使用的憑證,用來簽署傳送至 Qlik Cloud 的 SAML 判斷。 -
輸入識別提供者的實體 ID。
-
輸入單一登入 URL。
此為傳送 SAML 驗證請求的端點。此為重新導向使用者以進行驗證的 URL。
-
選取名稱 ID 格式。
使用中繼資料的設定和手動設定。
-
-
也可以選取啟用 IdP 發起的登入。
預設登入流程是使用者先前往 Qlik Cloud,然後重新導向至 IdP 進行驗證。若您希望使用者先登入識別提供者,然後再重新導向至 Qlik Cloud,請啟用 IdP 發起的登入。
-
修改宣告對應之下的欄位或保留預設值。
宣告對應定義來自識別提供者的使用者屬性如何聯結 Qlik Cloud 使用者模型中的欄位。對應可用於 sub、name、email、groups 和 picture。調整值,以因應組織的需求和來自識別提供者的屬性。
資訊備註-
您可以在輸入欄位中輸入以逗號分隔的多個查詢值。系統會使用第一個非 NULL 值。
-
需要團體宣告才能接收群組。請注意,Microsoft Entra ID 不支援巢狀群組。
-
-
也可以在進階選項之下設定登出後重新導向 URI。
這用來在登出後將使用者重新導向至定義的 URI。如需如何使用登出後重新導向 URI 的範例,請參閱 使用發佈登出重新導向 URI。
-
按一下建立。
就會顯示確認對話方塊,其中含有用來驗證 IdP 設定的選項。
SAML 服務提供者中繼資料和簽署憑證只有在建立 IdP 設定後才能使用。若您需要此資訊以設定識別提供者,您可以先在沒有驗證的情況下建立 IdP,然後在識別提供者的設定完成後進行驗證。
-
若要立即驗證,選取驗證 IdP 並按一下建立。這將會啟動驗證流程。按照驗證精靈中的步驟執行登入,並確認使用者設定檔資料是否有效。
-
若您偏好立即建立設定但之後再驗證,清除驗證 IdP 核取方塊並按一下建立。您之後可以按一下 IdP 設定的
並選取驗證,以便驗證。
驗證並建立 IdP 設定。
-
將服務提供者中繼資料上傳至識別提供者。
請執行下列動作:
-
在 管理 活動中心內,於新建立的 IdP 設定上,按一下
,並選取檢視提供者設定。對話方塊顯示服務提供者中繼資料和中繼資料端點的 URL。
服務提供者中繼資料。
-
根據識別提供者的設定,下載中繼資料檔案或複製 URL,並儲存以供之後使用。如有需要,下載簽署憑證檔案。按一下完成。
-
在服務提供者輸入服務提供者中繼資料。確保設定下列所需設定:
-
判斷消費者服務 (ACS) URL。識別提供者可於驗證後在此傳送 SAML 判斷。
-
服務提供者的實體 ID。
-
用於驗證驗證請求的憑證。這由識別提供者用來確認服務提供者的真確性。
-
-
識別提供者的設定完成後,您可以驗證 管理 活動中心內的 IdP 設定。 按一下設定上的
並選取驗證。按照驗證精靈中的步驟執行登入,並確認使用者設定檔資料是否正確。