Konfigurieren von Active Directory Federation Services als SAML-Identitätsanbieter
In diesem Thema wird beschrieben, wie Active Directory Federation Services (AD FS) als Identitätsanbieter für Qlik Cloud eingerichtet wird.
Voraussetzungen
Vergewissern Sie sich, dass Sie über eine vollständig funktionsfähige Installation von Active Directory Federation Services (AD FS) und eine Reihe von Benutzern in Ihrem Active Directory (AD) verfügen.
AD FS-Server-Metadaten herunterladen
Rufen Sie die Metadaten für Ihren AD FS-Server ab, da diese für die anschließende Konfiguration in Qlik Cloud benötigt werden.
Laden Sie die Metadatendatei über die folgende URL herunter:
Eine IdP-Konfiguration in Qlik Cloud erstellen
Melden Sie sich bei Qlik Cloud als Mandantenadministrator an, um eine IdP-Konfiguration zu erstellen.
Gehen Sie folgendermaßen vor:
-
Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter und klicken Sie auf Neu erstellen.
-
Wählen Sie als Typ die Option SAML aus.
-
Wählen Sie als Anbieter die Option ADFS aus.
-
Geben Sie optional eine Beschreibung für die IdP-Konfiguration ein.
-
Wählen Sie IdP-Metadaten verwenden aus.
-
Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die Metadatendatei aus, die von AD FS heruntergeladen wurde.
-
Klicken Sie auf Create.
-
Deaktivieren Sie im Dialogfeld Interaktiven Identitätsanbieter erstellen das Kontrollkästchen IdP validieren und klicken Sie dann auf Erstellen.
Damit wird die IdP-Konfiguration ohne sofortige Validierung erstellt. Die Validierung kann zu einem späteren Zeitpunkt erfolgen. -
Suchen Sie nach der soeben erstellten IdP-Konfiguration, klicken Sie auf und wählen Sie Anbieterkonfiguration anzeigen aus.
Die Metadaten des Dienstanbieters werden angezeigt.
-
Klicken Sie auf Metadaten herunterladen, um die Qlik Cloud Metadatendatei herunterzuladen.
-
Klicken Sie auf Signaturzertifikat herunterladen, um das Qlik Cloud Signaturzertifikat herunterzuladen.
Eine SAML-Anwendung in AD FS konfigurieren
Richten Sie eine SAML-Anwendung in AD FS ein, um eine Vertrauensbeziehung mit Ihrem Qlik Cloud Mandanten als Dienstanbieter (SP) festzulegen.
Gehen Sie folgendermaßen vor:
-
Melden Sie sich bei dem Windows-Server, der AD FS hostet, mit Administrator-Anmeldedaten an.
-
Öffnen Sie die Anwendung AD FS Management.
-
Klicken Sie mit der rechten Maustaste auf Relying Party Trusts und wählen Sie Add Relying Party Trust aus.
-
Wählen Sie im Assistenten Add Relying Party Trust Wizard die Option Claims aware aus und klicken Sie auf Start.
-
Wählen Sie Import data about the relying party from a file aus. Navigieren Sie zu der vorher gespeicherten Qlik Cloud Metadatendatei und klicken Sie dann auf Next.
-
Geben Sie unter Display name einen Anzeigenamen wie Qlik Cloud ein und klicken Sie auf Next, um fortzufahren.
-
Wählen Sie die geeignete Zugriffskontrollrichtlinie und klicken Sie auf Next. Klicken Sie erneut auf Next, um die Konfiguration zu bestätigen.
-
Wählen Sie Configure claims issuance policy for this application aus und klicken Sie auf Close.
-
Klicken Sie im Dialogfeld Edit Claim Rules auf Add Rule.
-
Wählen Sie Send LDAP Attributes as Claims aus und klicken Sie auf Next.
-
Geben Sie einen Claim rule name an und wählen Sie Ihren Attribute store aus der Liste aus, z. B. Active Directory.
-
Konfigurieren Sie die folgenden Zuordnungen (oder passen Sie sie entsprechend den spezifischen Anforderungen Ihrer Organisation an):
-
SAM-Account-Name zu Name ID
-
Display-Name zu Name
-
E-Mail-Addresses zu E-Mail Address
-
Token-Groups - Unqualified Names zu groups
-
-
Speichern Sie die Änderungen.
-
Gehen Sie zu Properties für die vertrauende Qlik Cloud Seite und wählen Sie die Registerkarte Signature aus.
-
Klicken Sie auf Add und suchen Sie nach dem zuvor heruntergeladenen Qlik Cloud Signaturzertifikat.
-
Speichern Sie die Änderungen.
AD FS ist jetzt eingerichtet und kann SAML-Anforderungssignaturen validieren. Kehren Sie zu Qlik Cloud zurück, um den Validierungsprozess zu beginnen.
Den Identitätsanbieter in Qlik Cloud validieren
Nachdem Sie AD FS erfolgreich eingerichtet haben, können Sie die IdP-Konfiguration in Qlik Cloud validieren.
Gehen Sie folgendermaßen vor:
-
Gehen Sie im Aktivitätscenter Verwaltung zu Identitätsanbieter.
-
Klicken Sie in Ihrer IdP-Konfiguration für AD FS auf und wählen Sie Validieren aus
-
Befolgen Sie die Schritte im Validierungs-Assistenten, um sich als der zur AD FS-Anwendung hinzugefügte Benutzer anzumelden. Überprüfen Sie, dass die Benutzerprofildaten korrekt sind.
Die Optionen zum Höherstufen des Benutzers zu einem Qlik Cloud Mandantenadministrator und zum Aktivieren des IdP werden angezeigt. Beachten Sie, dass beim Aktivieren des IdP ein zuvor konfigurierter interaktiver Identitätsanbieter im Mandanten deaktiviert wird.