Fournisseurs d'identité
En plus de l'authentification avec les informations d'identification Windows et l'e-mail/mot de passe, Qalyptus prend en charge l'authentification SSO avec SAML 2 à l'aide de fournisseurs d'identité (Okta, Auth0, etc.) et JWT.
Les quatre méthodes d'authentification proposées par Qalyptus Server sont prises en charge dans nos extensions Qlik Sense : Qalyptus On-demand, Qalyptus Self-Reporting et Qalyptus Notify.
Vous pouvez configurer un ou plusieurs fournisseurs d'identité.
Configurer un fournisseur d'identité
Créer un fournisseur d'identité SAML
Pour créer un nouveau fournisseur d'identité SAML, procédez comme suit :
- Se connecter à Qalyptus Server en tant qu'administrateur
- Accédez à Administration de Qalyptus > Système > Fournisseurs d'identité
- Cliquez sur Créer fournisseur d'identité
- Entrez un nom
- Saisissez une description (facultatif)
- Sélectionnez le type SAML
- Cochez l'option Signer la demande d'authentification Si vous souhaitez signer la demande d'authentification et si elle est prise en charge par votre IdP
- Utilisez le fichier de métadonnées ou les informations ci-dessous dans les paramètres de votre fournisseur d'identité.
- URL du service consommateur d'assertion (ACS)
- ID d'entité du fournisseur de services (SP) Le fichier de métadonnées contient toutes les informations sur le fournisseur de services (SP). Qalyptus récupère automatiquement les certificats du Fournisseur d'Identité.
- Entrez le fournisseur d'ID d'entité par l'IdP (URL de l'émetteur)
- Saisissez l'URL de connexion unique (URL SSO)
- Saisissez le libellé du bouton. Exemple : Connectez-vous avec Okta
- Cliquez sur Enregistrer
Si votre IDP est Ping Identity, ajoutez l'attribut Email Address avec la valeur email dans les paramètres de l'application.
Utiliser un fournisseur d'identité SAML
Un fournisseur d'identité SAML doit être ajouté à une organisation. Seuls les membres (utilisateurs) de l'organisation peuvent utiliser le fournisseur d'identité en question.
Vous pouvez ajouter plusieurs fournisseurs d'identité à une organisation. Le membre de l'organisation verra un bouton de connexion pour chaque fournisseur d'identité.
Si une organisation n'utilise qu'un seul fournisseur d'identité, l'utilisateur est automatiquement redirigé pour s'authentifier (le bouton de connexion n'est pas affiché).
Page de connexion
Paramètres d'authentification Qalyptus On-Demand
Configurer un fournisseur d'identité JWT
Créer un fournisseur d'identité JWT
Pour créer un nouveau fournisseur d'identité JWT, procédez comme suit :
- Connectez-vous au serveur Qalyptus en tant qu'administrateur
- Accédez à Administration Qalyptus > Système > Fournisseurs d'identité
- Cliquez sur Créer fournisseur d'identité
- Entrez un nom
- Saisissez une description (facultatif)
- Sélectionnez le type JWT
- Entrez une clé publique de certificat. Vous pouvez utiliser OpenSSL pour générer les clés privées et publiques. Saisissez la clé publique et stockez la clé privée dans un emplacement sécurisé
- Les Attributs JWT est le JWT Payload à avoir dans le jeton JWT
- Cliquez sur Enregistrer
Ouvrez une fenêtre de terminal et utilisez OpenSSL pour générer des clés publiques et privées. Conservez la clé privée dans un endroit sécurisé. La clé publique est utilisée dans la configuration du fournisseur d'Identité.
Tout d'abord, téléchargez OpenSSSL depuis le site officiel ;
Ensuite, exécutez les deux lignes de commande suivantes. vous pouvez modifier le paramètre 'days'.
openssl genrsa -out privatekey.pem 4096
openssl req -new -x509 -key privatekey.pem -out publickey.cer -days 1825
Enfin, ouvrez les fichiers .pem générés avec un éditeur de texte.
Vous ne pouvez créer qu'un seul fournisseur d'identité JWT dans Qalyptus Server. Un fournisseur d'identité JWT n'est pas attribué à une organisation.
Qalyptus ne prend en charge que les algorithmes de chiffrement : RS256, RS384 et RS512.
Utiliser un fournisseur d'identité JWT
Le fournisseur d'identité JWT créé dans Qalyptus Server est utilisé pour authentifier un utilisateur avec un jeton JWT. Le jeton est créé comme suit :
- Le Playload doit contenir les informations utilisateur en utilisant les attributs userId et userDirectory. Les identifiants userId et userDirectory doivent être identiques à ceux de l'utilisateur dans Qlik Sense.
- Utilisez l'un des algorithmes de cryptage suivants : RS256, RS384 ou RS512.
- Signez le jeton JWT avec la clé privée générée avec la clé publique utilisée dans la configuration du fournisseur d'identité JWT.
Vous pouvez utiliser différents langages de programmation pour signer le jeton JWT.
Un exemple de jeton JWT de test créé à l'aide du site Web jwt.io est le suivant.
Se connecter avec le jeton JWT
Utilisez l'API de Qalyptus Server pour authentifier un utilisateur. Le point de terminaison à utiliser est GET /api/v1/login/jwt-session.
La requête API doit envoyer le token JWT, créé précédemment, dans l'en-tête Authorization en utilisant le schéma Bearer.
Visitez la documentation de l'API pour en savoir plus.
Vous pouvez utiliser la méthode d'authentification JWT pour authentifier les utilisateurs dans Qalyptus On-Demand, Qalyptus Self-Reporting ou Qalyptus Notify dans une application Qlik Sense ou des analyses intégrées (embedded analytics).