Konfigurieren von Microsoft Entra ID als SAML-Identitätsanbieter

In diesem Thema wird beschrieben, wie Microsoft Entra ID (früher Azure AD) als Identitätsanbieter für Qlik Cloud eingerichtet wird.

Eine SAML-Anwendung in Microsoft Entra ID konfigurieren

Der erste Schritt besteht im Einrichten einer SAML-Anwendung in Microsoft Entra ID, um eine Vertrauensbeziehung für Ihren Qlik Cloud Mandanten als Dienstanbieter (SP) festzulegen.

Gehen Sie folgendermaßen vor:

1. Gehen Sie im Microsoft Entra Admin Center zu Enterprise applications > New application.

2. Klicken Sie auf Create your own application.

3. Geben Sie einen Namen für die Anwendung ein.

4. Gehen Sie zu Single sign-on und wählen Sie SAML als Single Sign-On-Methode aus.

5. Geben Sie auf der Seite Set up Single Sign-On with SAML folgende Informationen ein:

   Einstellung	Wert
   Identifier (Entity ID)	Ihr ursprünglicher Mandantenhostname
   Reply URL (Assertion Consumer Service URL)	Ihr ursprünglicher Mandantenhostname, mit am Ende des Hostnamens angehängtem Pfad /login/saml

   

6. Gehen Sie zum Abschnitt Attributes & Claims und klicken Sie auf Edit, um den Anzeigenamen und Gruppen zu konfigurieren.

7. Wählen Sie Add new claim aus und geben Sie folgende Informationen ein:

   Einstellung	Wert
   Name	displayname
   Source	Attribute
   Source attribute	user.displayname

   

8. Klicken Sie auf Save.

9. Wählen Sie Add a group claim aus.

   Die Konfiguration von Gruppenansprüchen hängt davon ab, wo die Gruppen verwaltet werden.

   1. Wenn Ihre Gruppen in der Cloud verwaltet werden:

      • Wählen Sie Groups assigned to the application als verknüpfte Gruppen aus.

      • Wählen Sie für Source attribute die Option Cloud-only group display names aus.
        

        InformationshinweisSie müssen die relevanten Gruppen auch der Anwendung zuweisen, damit sie in den Ansprüchen angezeigt werden.

   2. Wenn Sie Microsoft Entra Connect verwenden:

      • Wählen Sie All groups als verknüpfte Gruppen aus.

      • Wählen Sie für Source attribute die Option sAMAccountName aus.

10. Klicken Sie auf Save.

11. Unter den Attributen und Ansprüchen sind jetzt die folgenden Ansprüche aufgelistet:

    • displayname

    • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Speichern Sie diese Werte für später, wenn Sie die IdP-Konfiguration in Ihrem Qlik Cloud Mandanten einrichten.

    

12. Benutzer und Gruppen zuweisen.

    1. Gehen Sie zu Users and groups und klicken Sie auf Add user/group.

    2. Weisen Sie die Benutzer und Gruppen zu, die die Anwendung für die Anmeldung verwenden.

       

13. IdP-Metadaten abrufen.

    1. Gehen Sie zu SAML Certificates.

    2. Laden Sie die Federation Metadata XML herunter.
       Sie benötigen diese Datei später während der Einrichtung in Qlik Cloud.

       

Eine IdP-Konfiguration in Qlik Cloud erstellen und validieren

Melden Sie sich bei Qlik Cloud als Mandantenadministrator an, um eine IdP-Konfiguration zu erstellen.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter und klicken Sie auf Neu erstellen.

2. Wählen Sie als Typ die Option SAML aus.

3. Wählen Sie für Provider die Option Microsoft Entra ID (Azure AD) aus.

4. Geben Sie optional eine Beschreibung für die IdP-Konfiguration an.

5. Wählen Sie IdP-Metadaten verwenden aus.

6. Klicken Sie unter SAML-IdP-Metadaten auf Datei hochladen und wählen Sie die Metadatendatei aus, die während der Einrichtung von Microsoft Entra ID heruntergeladen wurde.

   

7. Legen Sie unter Anspruchszuordnung name, email und groups auf die Anspruchsnamen aus Microsoft Entra ID fest.

   

8. Klicken Sie auf Create.

9. Deaktivieren Sie im Dialogfeld Interaktiven Identitätsanbieter erstellen das Kontrollkästchen IdP validieren und klicken Sie dann auf Erstellen.
   Damit wird die IdP-Konfiguration ohne sofortige Validierung erstellt. Die Validierung kann zu einem späteren Zeitpunkt erfolgen.

   InformationshinweisAuf Wunsch können Sie jetzt validieren. Es wird jedoch empfohlen, zuerst den nächsten Abschnitt abzuschließen und die Zertifikatdatei in Microsoft Entra ID hochzuladen.

Validierung der SAML-Anforderungssignatur konfigurieren

Laden Sie das Qlik Cloud SAML-Anforderungs-Signaturzertifikat herunter und laden Sie es in Microsoft Entra ID hoch.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Qlik Cloud Verwaltungskonsole zu Identitätsanbieter.

2. Klicken Sie in der SAML-IdP-Konfiguration auf und wählen Sie Anbieterkonfiguration anzeigen aus.

3. Wählen Sie Signaturzertifikat herunterladen aus und klicken Sie auf Fertig.

Kehren Sie zu Ihrer SAML-Anwendung in Microsoft Entra ID zurück.

Gehen Sie folgendermaßen vor:

1. Wählen Sie in Microsoft Entra ID Ihre SAML-Anwendung aus und gehen Sie zu Single sign-on.

2. Klicken Sie unter Verification certificates (optional) auf Edit.

   

3. Wählen Sie Require verification certificates aus.

   

4. Klicken Sie auf Upload certificate und suchen Sie nach der Signaturzertifikatdatei.

5. Klicken Sie auf Save.

Microsoft Entra ID ist jetzt eingerichtet und kann SAML-Anforderungssignaturen validieren. Gehen Sie zurück zu Qlik Cloud, um mit der Validierung zu beginnen.

Den Identitätsanbieter in Qlik Cloud validieren

Nachdem Sie Microsoft Entra ID erfolgreich eingerichtet haben, können Sie die IdP-Konfiguration in Qlik Cloud validieren.

Gehen Sie folgendermaßen vor:

1. Gehen Sie in der Verwaltungskonsole zu Identitätsanbieter.

2. Klicken Sie in Ihrer SAML-IdP-Konfiguration auf und wählen Sie Validieren aus.

3. Befolgen Sie die Schritte im Validierungs-Assistenten, um sich als der zur Microsoft Entra ID-Anwendung hinzugefügte Benutzer anzumelden. Überprüfen Sie, dass die Benutzerprofildaten korrekt sind.

   Die Optionen zum Höherstufen des Benutzers zu einem Qlik Cloud Mandantenadministrator und zum Aktivieren des IdP werden angezeigt. Beachten Sie, dass beim Aktivieren des IdP ein zuvor konfigurierter interaktiver Identitätsanbieter im Mandanten deaktiviert wird.