Configuration de l'approvisionnement SCIM dans Microsoft Entra ID pour Qlik Cloud

Après avoir configuré Qlik Cloud pour SCIM, vous devez configurer l'approvisionnement SCIM dans Microsoft Entra ID (anciennement Azure AD).

Conditions de Microsoft Entra ID pour SCIM

• Microsoft Entra ID avec un abonnement P2 ou supérieur (anciennement Microsoft Azure Active Directory Premium P2)

• Accès au portail Microsoft Azure et aux autorisations permettant de créer des applications d'entreprise pour Microsoft Entra ID.

• Deux applications distinctes dans le registre d'applications d'entreprise de votre Microsoft Entra ID.

Étapes de configuration de Microsoft Entra ID pour l'approvisionnement SCIM

Procédez comme suit :

1. Accédez au centre d'administration de Microsoft Entra ID à l'adresse entra.microsoft.com.

2. Accédez à Identity > Applications > Enterprise applications.

   

   Sinon, si vous y accédez depuis le portail Azure général, sélectionnez Enterprise applications depuis le menu Microsoft Entra ID.

   

3. Cliquez sur + New application pour configurer l'application d'approvisionnement.

4. Sur la page Browse Microsoft Entra ID Gallery, cliquez sur + Create your own application.

5. Depuis la boîte de dialogue Create your own application, saisissez un nom pour l'application d'approvisionnement et sélectionnez Integrate any other application you don’t find in the gallery.

   

6. Cliquez sur Créer.

7. Pour configurer le processus d'approvisionnement, sur la page Overview, sélectionnez Provisioning dans la section Manage.

   

8. Sélectionnez Automatic dans le menu. Une fois cette sélection effectuée, les écrans de configuration apparaissent.

9. Commencez la configuration en fournissant les informations d'identification Admin.

   • Collez l'URL du client obtenue lors de l'activation de l'approvisionnement automatique dans Qlik Cloud.

   • Collez le jeton dans la zone Secret Token.

   • Cliquez sur Test Connection.

   

   Note InformationsLe nom d'hôte n'est pas l'alias du client Qlik Cloud. Le nom d'hôte est le nom par défaut donné au client Qlik Cloud lors de sa création.

10. Sélectionnez Mappings et cliquez sur Provision Microsoft Entra ID Users pour configurer le service d'approvisionnement automatique de sorte qu'il fonctionne avec votre client Qlik Cloud.

11. Pour pouvoir synchroniser des utilisateurs de Microsoft Entra ID, Qlik Cloud nécessite un ensemble spécifique d'attributs, comme indiqué ci-dessous.

    

    La manière dont SCIM fonctionne entre Qlik Cloud et Microsoft Entra ID consiste à mettre en correspondance l'adresse e-mail de l'utilisateur (mail) à approvisionner, puis à synchroniser toute modification associée à l'appartenance au groupe ou à l'accès à Qlik Cloud de l'utilisateur.

    Note InformationsL'attribut UserPrincipalName peut être utilisé à la place de l'attribut mail si UserPrincipalName est une adresse e-mail valide et s'il est identique à la valeur de l'attribut email envoyé lors de l'authentification de l'utilisateur.

    Les étapes suivantes configurent les mappages d'attributs des utilisateurs.

    1. Dans la section supérieure des mappages d'attributs, conservez l'ensemble des sélections par défaut.

       

    2. Dans la section Attribute Mappings, supprimez tous les attributs, sauf les suivants :

       • userPrincipalName

       • mail

       • Switch([IsSoftDeleted], , "False", "True", "True", "False")

       • Join(" ", [givenName], [surname])

       • mailNickname

       Si ces attributs ne sont pas supprimés, les flux d'approvisionnement et de synchronisation entre Qlik Cloud et Microsoft Entra ID échoueront.

       

    3. Cliquez sur userPrincipalName pour ouvrir la configuration de l'attribut.

    4. Dans la boîte de dialogue userPrincipalName Attribute Configuration, définissez Source attribute sur objectId et la valeur Matching precedence sur 2.

       Cliquez sur Ok pour enregistrer les modifications.

       

    5. Cliquez sur mail pour ouvrir la boîte de dialogue Attribute Configuration.

    6. Dans la boîte de dialogue mail Attribute Configuration, définissez Match objects using this attribute sur Yes et la valeur Matching precedence sur 1.

       Cliquez sur Ok pour enregistrer les modifications.

    7. Cliquez sur mailNickname pour ouvrir la configuration de l'attribut.

    8. Dans la boîte de dialogue mailNickname Attribute Configuration, définissez Source attribute sur objectId.

       Cliquez sur Ok pour enregistrer les modifications.

    9. Une fois ces étapes terminées, la section Attribute Mappings ressemble à ceci.

       

    10. Cliquez sur Save en haut de la page Configuration pour appliquer les modifications.

12. Il se peut que vous receviez un message expliquant que les modifications nécessitent une resynchronisation complète. En supposant qu'il s'agisse de la configuration initiale de SCIM avec Qlik Cloud, cliquez sur Yes.

    La configuration du mappage des attributs est maintenant terminée.

13. Les étapes suivantes ajoutent des utilisateurs et des groupes à approvisionner de Microsoft Entra ID vers Qlik Cloud.

    1. Cliquez sur Users and groups sous la section Manage des menus Provisioning ou Application.

       

    2. Le tableau Users and Groups apparaît. Cliquez sur Add user/group pour ajouter une affectation.

    3. Dans la boîte de dialogue Add Assignment, cliquez sur None Selected pour ajouter des utilisateurs et des groupes.

       La boîte de dialogue Users and Groups apparaît.

    4. Recherchez et ajoutez des utilisateurs et des groupes à approvisionner via cette boîte de dialogue. Dans cet exemple, le groupe Bounty Hunters est sélectionné.

       

       Cliquez sur Select pour confirmer la sélection.

    5. Si vous ajoutez un groupe, la boîte de dialogue Add Assignment affiche un avertissement qui explique que seuls les utilisateurs directement ajoutés au groupe seront approvisionnés. L'approvisionnement de Microsoft Entra ID et de SCIM ne prend pas en charge les groupes imbriqués en cascade.

    6. Cliquez sur Assign pour ajouter le groupe à l'application d'approvisionnement.

       Le groupe apparaît maintenant dans la section Users and groups de l'application d'approvisionnement.

       

14. Pour activer l'approvisionnement automatique, accédez à la page Overview de la section Provisioning de l'application et cliquez sur Start provisioning.

    Note InformationsL'approvisionnement peut prendre quelques minutes à plusieurs heures lors de la première tâche d'approvisionnement, suivant le nombre d'utilisateurs et de groupes en cours d'approvisionnement. Il s'agit d'une limite de la fonctionnalité d'approvisionnement SCIM.

15. Actualisez la page dans le navigateur. Si le processus d'approvisionnement n'a pas encore été exécuté, cliquez sur Provision on demand dans le menu.

    

16. Une fois le processus d'approvisionnement exécuté, la page Overview se met à jour lors de l'actualisation de la page dans le navigateur et affiche le statut.

    

17. Pour examiner la synchronisation, cliquez sur View provisioning logs pour afficher plus de détails.

    

Meilleures pratiques pour l'utilisation de SCIM entre Qlik Cloud et Microsoft Entra ID

• L'un des avantages de l'approvisionnement SCIM avec Microsoft Entra ID réside dans le fait que cela permet aux administrateurs de sélectionner les groupes ayant accès à une application cible telle que Qlik Cloud. Il est recommandé d'ajouter uniquement les groupes représentant les utilisateurs et cas d'utilisation dont vous avez besoin au fil du temps. Cela facilite considérablement la gestion du contrôle d'accès et des droits Qlik Cloud.

• Notez que l'approvisionnement SCIM peut prendre beaucoup de temps en raison de la synchronisation des utilisateurs et des groupes lors d'une tâche d'approvisionnement. Le temps nécessaire dépend du nombre d'utilisateurs et de groupes que vous ajoutez à l'application dans Microsoft Entra ID.

• Si vous prévoyez d'approvisionner un grand nombre d'utilisateurs dans Qlik Cloud, pensez à ajouter à l'application un groupe contenant ce grand nombre d'utilisateurs, afin de ne pas avoir à ajouter manuellement chaque utilisateur à l'application.