Configurar Microsoft Entra ID como proveedor de identidad SAML

Este tema describe cómo configurar Microsoft Entra ID (anteriormente Azure AD) como proveedor de identidades para Qlik Cloud.

Configurar una aplicación SAML en Microsoft Entra ID

El primer paso es configurar una aplicación SAML en Microsoft Entra ID para confiar en su espacio empresarial inquilino de Qlik Cloud como proveedor de servicios (SP).

Haga lo siguiente:

1. En el centro de administración de Microsoft Entra, vaya a Aplicaciones empresariales > Nueva aplicación.

2. Haga clic en Crear su propia aplicación.

3. Escriba un nombre para la aplicación.

4. Vaya a Inicio de sesión único y seleccione SAML como método de inicio de sesión único.

5. En la página Configurar inicio de sesión único con SAML, introduzca la siguiente información:

   Configuración	Valor
   Identificador (ID de entidad)	El nombre de host original de su espacio empresarial inquilino
   URL de respuesta (URL de servicio al consumidor de aserciones)	l nombre de host original de su espacio inquilino con la ruta /login/saml añadida al final del nombre de host.

   

6. Vaya a la sección Atributos y notificaciones del usuario y haga clic en Editar para configurar el nombre que se mostrará y los grupos.

7. Seleccione Agregar nueva notificación e introduzca la siguiente información:

   Configuración	Valor
   Name	displayname
   Source	Attribute
   Source attribute	user.displayname

   

8. Haga clic en Guardar.

9. Seleccione Agregar una notificación de grupo.

   La configuración de las notificaciones de grupo depende de dónde se administren los grupos.

   1. Si sus grupos se administran en la nube:

      • Seleccione Grupos asignados a la aplicación como grupos asociados.

      • Como Atributo de origen, seleccione Nombres para mostrar del grupo solo en la nube.
        

        Nota informativaTambién debe asignar los grupos pertinentes a la aplicación para que aparezcan en las notificaciones.

   2. Si está utilizando Microsoft Entra Connect:

      • Seleccione Todos los grupos como grupos asociados.

      • Para el Para el atributo de origen, seleccione sAMAccountName.

10. Haga clic en Guardar.

11. En atributos y notificaciones, ahora deberían aparecer las siguientes notificaciones:

    • displayname

    • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Guarde estos valores para utilizarlos más adelante cuando establezca la configuración del IdP en su espacio inquilino de Qlik Cloud.

    

12. Asignar usuarios y grupos.

    1. Vaya a Usuarios y grupos y haga clic en Agregar usuario/grupo.

    2. Asigne los usuarios y grupos que utilizarán la aplicación para iniciar sesión.

       

13. Recuperar metadatos de IdP.

    1. Vaya a Certificados SAML.

    2. Descargue el archivo Federation Metadata XML.
       Necesitará este archivo más adelante durante la instalación de Qlik Cloud.

       

Cree y valide una configuración de IdP en Qlik Cloud

Inicie sesión en Qlik Cloud como administrador del espacio inquilino para crear una configuración de IdP.

Haga lo siguiente:

1. En la Consola de gestión, vaya a Proveedor de identidad y haga clic en Crear nuevo.

2. En Tipo, seleccione SAML.

3. Para Proveedor, seleccione Microsoft Entra ID (Azure AD).

4. Opcionalmente, escriba una descripción para la configuración del IdP.

5. Seleccione Metadatos de IdP.

6. En Metadatos de IdP de SAML, haga clic en Cargar archivo y seleccione el archivo de metadatos que descargó durante la configuración de Microsoft Entra ID.

   

7. En Asignación de notificaciones, configure nombre, email y grupos conforme a los nombres de las notificaciones de Microsoft Entra ID.

   

8. Haga clic en Crear.

9. En el cuadro de diálogo Crear proveedor de identidad interactivo, desactive la casilla de verificación Validar IdP y, a continuación, haga clic en Crear.
   Esto crea la configuración del IdP sin validación inmediata. La validación se realizará en una fase posterior.

   Nota informativaSi lo prefiere, puede validarlo ahora. Sin embargo, le recomendamos que primero complete la siguiente sección y cargue el archivo del certificado en Microsoft Entra ID.

Configurar la validación de firma de la solicitud SAML

Descargue el certificado de firma de solicitud SAML de Qlik Cloud y cárguelo en Microsoft Entra ID.

Haga lo siguiente:

1. En la Consola de gestión de Qlik Cloud, vaya a Proveedores de identidad.

2. En la configuración de su IdP de SAML, haga clic en y seleccione Ver configuración del proveedor.

3. Seleccione Descargar certificado de firma y después haga clic en Listo.

Regrese a su aplicación SAML en Microsoft Entra ID.

Haga lo siguiente:

1. En Microsoft Entra ID, seleccione su aplicación SAML y vaya a Inicio de sesión único.

2. En Certificados de verificación (opcional), haga clic en Editar.

   

3. Seleccione Requerir certificados de verificación.

   

4. Haga clic en Cargar certificado y luego busque el archivo del certificado de firma.

5. Haga clic en Guardar.

Microsoft Entra ID ahora está configurado para validar firmas de solicitudes SAML. Regrese a Qlik Cloud para iniciar la validación.

Validar su proveedor de identidad en Qlik Cloud

Después de configurar correctamente Microsoft Entra ID, puede validar la configuración del IdP en Qlik Cloud.

Haga lo siguiente:

1. En la Consola de gestión, vaya a Proveedores de identidad.

2. En su configuración del IdP de SAML, haga clic en y seleccione Validar.

3. Siga los pasos del asistente de validación para iniciar sesión como usuario agregado a la aplicación Microsoft Entra ID. Compruebe que los datos del perfil de usuario son correctos.

   Se le presentarán las opciones para promover al usuario a administrador del espacio empresarial inquilino en Qlik Cloud y activar el IdP. Tenga en cuenta que la activación del IdP desactivará cualquier proveedor de identidad interactivo previamente configurado en el espacio inquilino.