Accéder au contenu principal Passer au contenu complémentaire

Configuration d'Active Directory Federation Services comme fournisseur d'identité SAML

Cette rubrique explique comment configurer Active Directory Federation Services (AD FS) comme fournisseur d'identité pour Qlik Cloud.

Conditions préalables requises

Assurez-vous de disposer d'une installation entièrement fonctionnelle d'Active Directory Federation Services (AD FS) et d'un ensemble d'utilisateurs au sein de votre Active Directory (AD).

Téléchargement des métadonnées du serveur AD FS

Récupérez les métadonnées de votre serveur AD FS, car vous en aurez besoin pour la configuration ultérieure dans Qlik Cloud.

Téléchargez le fichier de métadonnées en accédant à l'URL suivante :

https://<adfs-server.example.com>/FederationMetadata/2007-06/FederationMetadata.xml

Création d'une configuration IdP dans Qlik Cloud

Connectez-vous à Qlik Cloud en tant qu'administrateur de clients pour créer une configuration IdP.

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.

  2. Pour Type, sélectionnez SAML.

  3. Pour Fournisseur, sélectionnez AD FS.

  4. Vous pouvez éventuellement fournir une description pour la configuration IdP.

  5. Sélectionnez Utiliser les métadonnées IdP.

  6. Sous Métadonnées IdP SAML, cliquez sur Charger le fichier et sélectionnez le fichier de métadonnées téléchargé auprès d'AD FS.

    Configuration IdP.

    Volet Configuration IdP.
  7. Cliquez sur Créer.

  8. Dans la boîte de dialogue Créer un fournisseur d'identité interactif, décochez la case Valider l'IdP, puis cliquez sur Créer.
    Cette opération permet de créer la configuration IdP sans validation immédiate. La validation sera effectuée ultérieurement.

  9. Recherchez la configuration IdP que vous venez de créer, cliquez sur Plus et sélectionnez Afficher la configuration du fournisseur.

    Les métadonnées du fournisseur de services apparaissent.

  10. Cliquez sur Télécharger les métadonnées pour télécharger le fichier de métadonnées Qlik Cloud.

  11. Cliquez sur Télécharger le certificat de signature pour télécharger le certificat de signature Qlik Cloud.

Configuration d'une application SAML dans AD FS

Configurez une application SAML dans AD FS pour établir la confiance avec votre client Qlik Cloud en tant que fournisseur de services (SP).

Procédez comme suit :

  1. Connectez-vous au serveur Windows qui héberge AD FS via les identifiants d'administrateur.

  2. Ouvrez l'application AD FS Management (Gestion AD FS).

  3. Cliquez sur Relying Party Trusts (Approbation de parties de confiance) à l'aide du bouton droit de la souris et sélectionnez Add Relying Party Trust (Ajouter une approbation de partie de confiance).

  4. Dans l'assistant Add Relying Party Trust Wizard (Assistant Ajouter une approbation de partie de confiance), sélectionnez Claims aware (Prise en charge des revendications) et cliquez sur Start (Démarrer).

  5. Sélectionnez Import data about the relying party from a file (Importer les données de la partie de confiance depuis un fichier). Accédez au fichier de métadonnées Qlik Cloud précédemment enregistré, puis cliquez sur Next (Suivant).

    Import des métadonnées SP.

    Sélectionnez le volet Data source (Source de données) dans AD FS.
  6. Saisissez un nom d'affichage (Display name) tel que Qlik Cloud, puis cliquez sur Next (Suivant) pour poursuivre.

  7. Sélectionnez la stratégie de contrôle d'accès appropriée et cliquez sur Next (Suivant). Cliquez de nouveau sur Next (Suivant) pour confirmer la configuration.

  8. Sélectionnez Configure claims issuance policy for this application (Configurer la stratégie d'émission de revendications pour cette application) et cliquez sur Close (Fermer).

  9. Dans la boîte de dialogue Edit Claim Rules (Modifier les règles de revendication), cliquez sur Add Rule (Ajouter une règle).

  10. Sélectionnez Send LDAP Attributes as Claims (Envoyer les attributs LADP sous forme de revendications) et cliquez sur Next (Suivant).

  11. Fournissez un nom de règle de revendication (Claim rule name) et sélectionnez votre magasin d'attributs (Attribute store) dans la liste, par exemple, Active Directory.

  12. Configurez les mappings suivants (ou personnalisez-les en fonction des besoins spécifiques de votre entreprise) :

    • SAM-Account-Name (Nom de compte SAM) vers Name ID (ID de nom)

    • Display-Name (Nom d'affichage) vers Name (Nom)

    • E-Mail-Addresses (Adresses e-mail) vers E-Mail Address (Adresse e-mail)

    • Token-Groups - Unqualified Names (Groupes de jetons - Noms non qualifiés) vers groups (groupes)

    Mappings des règles de revendication.

    Volet Claim rule (Règles de revendication) dans AD FS.
  13. Enregistrez les modifications.

  14. Accédez aux propriétés (Properties) de la partie de confiance Qlik Cloud et sélectionnez l'onglet Signature.

  15. Cliquez sur Add (Ajouter), puis recherchez le certificat de signature Qlik Cloud précédemment téléchargé.

    Spécification du certificat de signature.

    Onglet Signature de la boîte de dialogue Properties (Propriétés) dans AD FS.
  16. Enregistrez les modifications.

AD FS est désormais configuré de sorte à pouvoir valider les signatures de requêtes SAML. Revenez à Qlik Cloud pour démarrer le processus de validation.

Validation de votre fournisseur d'identité dans Qlik Cloud

Après avoir correctement configuré AD FS, vous pouvez valider la configuration IdP dans Qlik Cloud.

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseurs d'identité.

  2. Dans votre configuration IdP AD FS, cliquez sur Plus et sélectionnez Valider.

  3. Suivez les étapes de l'assistant de validation pour établir une connexion en tant qu'utilisateur ajouté à l'application AD FS. Vérifiez que les données du profil utilisateur sont correctes.

    Les options permettant de promouvoir l'utilisateur au rôle d'administrateur de clients Qlik Cloud et d'activer l'IdP vous sont proposées. Notez que l'activation de l'IdP désactivera tout fournisseur d'identité interactif précédemment configuré dans le client.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !