Konfigurieren der SCIM-Bereitstellung in Microsoft Entra ID für Qlik Cloud

Nach dem Konfigurieren von Qlik Cloud für SCIM müssen Sie die SCIM-Bereitstellung in Microsoft Entra ID (früher Azure AD) konfigurieren.

Microsoft Entra ID Anforderungen für SCIM

• Microsoft Entra ID mit einem Premium P2-Abonnement (früher Microsoft Azure Active Directory Premium P2) oder höher

• Zugriff auf das Microsoft Azure Portal und Berechtigungen zum Erstellen von Unternehmensanwendungen für Ihr Microsoft Entra ID.

• Zwei verschiedene Anwendungen im Unternehmensanwendungsverzeichnis Ihres Microsoft Entra ID.

Microsoft Entra ID-Konfigurationsschritte für die SCIM-Bereitstellung

Gehen Sie folgendermaßen vor:

1. Navigieren Sie zum Microsoft Entra ID Admin Center unter entra.microsoft.com.

2. Geben Sie zu Identity > Applications > Enterprise applications.

   

   Wenn Sie vom allgemeinen Azure-Portal kommen, wählen Sie alternativ Enterprise applications im Microsoft Entra ID-Menü aus.

   

3. Klicken Sie auf + New application, um die Bereitstellungsanwendung einzurichten.

4. Klicken Sie auf der Seite Browse Microsoft Entra ID Gallery auf Create your own application.

5. Geben Sie im Dialogfeld Create your own application einen Namen für die Bereitstellungsanwendung ein und wählen Sie Integrate any other application you don’t find in the gallery aus.

   

6. Klicken Sie auf Create.

7. Zum Konfigurieren des Bereitstellungsprozesses wählen Sie auf der Seite Overview im Abschnitt Manage die Option Provisioning aus.

   

8. Wählen Sie im Menü Automatic aus. Nach dieser Auswahl werden die Konfigurationsbildschirme angezeigt.

9. Geben Sie zum Beginn der Konfiguration die Administratoranmeldedaten ein.

   • Fügen Sie die Mandanten-URL ein, die beim Aktivieren der automatischen Bereitstellung in Qlik Cloud erstellt wurde.

   • Fügen Sie das Token in das Feld Secret Token ein.

   • Klicken Sie auf Test Connection.

   

   InformationshinweisDer Hostname ist nicht der Qlik Cloud Mandantenalias. Der Hostname ist der Standardname, der dem Qlik Cloud Mandanten bei der Erstellung zugewiesen wurde.

10. Wählen Sie Mappings aus und klicken Sie auf Provision Microsoft Entra ID Users, um den automatischen Bereitstellungsdienst für den Qlik Cloud Mandanten zu konfigurieren.

11. Für Qlik Cloud ist ein bestimmter Satz Attribute erforderlich, um Benutzer aus Microsoft Entra ID zu synchronisieren, wie unten gezeigt.

    

    Damit SCIM mit Qlik Cloud und AMicrosoft Entra ID funktioniert, wird zuerst die E-Mail-Adresse des Benutzers (mail) abgeglichen, um die Bereitstellung vorzunehmen und alle Änderungen zu synchronisieren, die mit der Gruppenmitgliedschaft des Benutzers oder dem Zugriff auf Qlik Cloud zusammenhängen.

    InformationshinweisDas Attribut UserPrincipalName kann anstelle des Attributs mail verwendet werden, wenn „UserPrincipalName“ eine gültige E-Mail-Adresse ist und den gleichen Wert hat wie das Attribut „email“, das während der Benutzerauthentifizierung gesendet wurde.

    Mit den folgenden Schritten werden Benutzerattributzuordnungen konfiguriert.

    1. Behalten Sie im oberen Abschnitt der Attributzuordnungen alle Standardauswahlen bei.

       

    2. Löschen Sie im Abschnitt Attribute Mappings alle Attribute außer den Folgenden:

       • userPrincipalName

       • mail

       • Switch([IsSoftDeleted], , "False", "True", "True", "False")

       • Join(" ", [givenName], [surname])

       • mailNickname

       Wenn diese Attribute nicht gelöscht werden, schlagen die Bereitstellungs- und Synchronisierungsabläufe zwischen Qlik Cloud und Microsoft Entra ID fehl.

       

    3. Klicken Sie auf userPrincipalName, um die Attributkonfiguration zu öffnen.

    4. Legen Sie im Dialogfeld userPrincipalName Attribute Configuration das Source attribute auf objectId und den Wert für Matching precedence auf 2 fest.

       Klicken Sie auf Ok, um die Änderungen zu speichern.

       

    5. Klicken Sie auf mail, um das Dialogfeld Attribute Configuration zu öffnen.

    6. Legen Sie im Dialogfeld mail Attribute Configuration die Option Match objects using this attribute auf Yes und den Wert für Matching precedence auf 1 fest.

       Klicken Sie auf Ok, um die Änderungen zu speichern.

    7. Klicken Sie auf mailNickname, um die Attributkonfiguration zu öffnen.

    8. Legen Sie im Dialogfeld mailNickname Attribute Configuration das Source attribute auf objectId fest.

       Klicken Sie auf Ok, um die Änderungen zu speichern.

    9. Nach Abschluss dieser Schritte sieht der Abschnitt Attribute Mappings wie folgt aus.

       

    10. Klicken Sie oben auf der Konfigurationsseite auf Save, um die Änderungen anzuwenden.

12. Möglicherweise wird eine Meldung angezeigt, dass die Änderungen eine vollständige Neusynchronisierung erfordern. Wenn es sich um die Erstkonfiguration für SCIM mit Qlik Cloud handelt, klicken Sie auf Yes.

    Die Attributzuordnungskonfiguration ist jetzt abgeschlossen.

13. Mit den folgenden Schritten werden Benutzer und Gruppen zur Bereitstellung von Microsoft Entra ID an Qlik Cloud hinzugefügt.

    1. Klicken Sie im Abschnitt Manage der Bereitstellungs- oder Anwendungsmenüs auf Users and groups.

       

    2. Die Tabelle „Users and Groups“ wird angezeigt. Klicken Sie auf Add user/group, um eine Zuweisung hinzuzufügen.

    3. Klicken Sie im Dialogfeld Add Assignment auf None Selected, um Benutzer und Gruppen hinzuzufügen.

       Das Dialogfeld Users and groups wird angezeigt.

    4. Suchen Sie in diesem Dialogfeld nach den Benutzern und Gruppen, die bereitgestellt werden sollen, und fügen Sie sie hinzu. In diesem Beispiel ist die Gruppe Bounty Hunters ausgewählt.

       

       Klicken Sie auf Select, um die Auswahl zu bestätigen.

    5. Wenn Sie eine Gruppe hinzufügen, zeigt das Dialogfeld Add Assignment eine Warnung an, dass nur zur Gruppe hinzugefügte Benutzer bereitgestellt werden. Die Bereitstellung über Microsoft Entra ID und SCIM unterstützt keine kaskadierenden verschachtelten Gruppen.

    6. Klicken Sie auf Assign, um die Gruppe zur Bereitstellungsanwendung hinzuzufügen.

       Die Gruppe wird jetzt im Abschnitt Users and groups der Bereitstellungsanwendung angezeigt.

       

14. Um die automatische Bereitstellung zu aktivieren, gehen Sie zur Seite Overview für den Bereitstellungsabschnitt der Anwendung und klicken Sie auf Start provisioning.

    InformationshinweisAbhängig von der Anzahl der bereitgestellten Benutzer und Gruppen kann die Bereitstellung bei der ersten Bereitstellungsaufgabe von wenigen Minuten bis zu mehreren Stunden dauern. Dies ist eine Einschränkung der Bereitststellungskapazität von SCIM.

15. Aktualisieren Sie die Seite im Browser. Wenn der Bereitstellungsprozess immer noch nicht ausgeführt wurde, klicken Sie im Menü auf Provision on demand.

    

16. Nachdem der Bereitstellungsprozess ausgeführt wurde, wird die Seite Overview bei einer Seitenaktualisierung im Browser aktualisiert und zeigt den Status an.

    

17. Um die Synchronisierung zu prüfen, klicken Sie auf View provisioning logs. Dort finden Sie weitere Einzelheiten.

    

Best Practices für die Verwendung von SCIM zwischen Qlik Cloud und Microsoft Entra ID

• Einer der Vorteile der SCIM-Bereitstellung mit Microsoft Entra ID besteht darin, dass die Administratoren dadurch die Gruppen auswählen können, die auf Zielanwendungen wie Qlik Cloud zugreifen können. Es wird empfohlen, nur die Gruppen hinzuzufügen, die die jeweils benötigten Benutzer und Anwendungsfälle darstellen. Dies vereinfacht die Verwaltung der Zugriffskontrolle auf Qlik Cloud und der Berechtigungen erheblich.

• Beachten Sie, dass das Synchronisieren von Benutzern und Gruppen während eines Bereitstellungsauftrags bei der SCIM-Bereitstellung sehr lange dauern kann. Die Dauer hängt von der Anzahl der Benutzer und Gruppen ab, die Sie der Anwendung in Microsoft Entra ID hinzufügen.

• Wenn Sie eine große Anzahl Benutzer in Qlik Cloud bereitstellen, können Sie der Anwendung eine Gruppe hinzufügen, die diese Benutzer enthält, damit Sie nicht jeden Benutzer einzeln manuell zur Anwendung hinzufügen müssen.