Configuration de Microsoft Entra ID comme fournisseur d'identité SAML
Cette rubrique explique comment configurer Microsoft Entra ID (anciennement Azure AD) comme fournisseur d'identité pour Qlik Cloud.
Configuration d'une application SAML dans Microsoft Entra ID
La première étape consiste à configurer une application SAML dans Microsoft Entra ID pour faire confiance à votre client Qlik Cloud en tant que fournisseur de services (SP).
Procédez comme suit :
-
Dans le centre d'administration Microsoft Entra, accédez à Enterprise applications (Applications d'entreprise) > New application (Nouvelle application).
-
Cliquez sur Create your own application (Créer votre propre application).
-
Saisissez un nom pour l'application.
-
Accédez à Single sign-on (Authentification unique) et sélectionnez SAML comme méthode d'authentification unique.
-
Sur la page Set up Single Sign-On with SAML (Configurer l'authentification unique avec SAML), saisissez les informations suivantes :
Paramètre Valeur Identifier (Entity ID) (Identifiant (ID d'entité)) Votre nom d'hôte de client d'origine Reply URL (Assertion Consumer Service URL) (URL de réponse (URL Assertion Consumer Service (ACS))) Votre nom d'hôte de client d'origine avec le chemin d'accès /login/saml ajouté à la fin du nom d'hôte -
Accédez à la section Attributes & Claims (Attributs et revendications) et cliquez sur Edit (Modifier) pour configurer le nom d'affichage et les groupes.
-
Sélectionnez Add new claim (Ajouter une nouvelle revendication) et saisissez les informations suivantes :
Paramètre Valeur Name (Nom) displayname (nom d'affichage) Source Attribute (Attribut) Source attribute (Attribut source) user.displayname (nom d'affichage utilisateur) -
Cliquez sur Save (Enregistrer).
-
Sélectionnez Add a group claim (Ajouter une revendication de groupe).
La configuration des revendications de groupe dépend de l'endroit où les groupes sont gérés.
-
Si vos groupes sont gérés dans le cloud :
-
Sélectionnez Groups assigned to the application (Groupes affectés à l'application) comme groupes associés.
-
Pour Source attribute (Attribut source), sélectionnez Cloud-only group display names (Noms d'affichage de groupes dans le cloud uniquement).
Note InformationsVous devez également affecter les groupes pertinents à l'application pour qu'ils puissent apparaître dans les revendications.
-
-
Si vous utilisez Microsoft Entra Connect :
-
Sélectionnez All groups (Tous les groupes) comme groupes associés.
-
Pour Source attribute (Attribut source), sélectionnez sAMAccountName (Nom de compte SAM).
-
-
-
Cliquez sur Save (Enregistrer).
-
Sous Attributes & Claims (Attributs et revendications), vous devriez maintenant voir une liste des revendications suivantes :
-
displayname (nom d'affichage)
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Enregistrez ces valeurs à des fins d'utilisation ultérieure lors du paramétrage de la configuration IdP dans votre client Qlik Cloud.
-
-
Affectez des utilisateurs et des groupes.
-
Accédez à Users and groups (Utilisateurs et groupes) et cliquez sur Add user/group (Ajouter un utilisateur/groupe).
-
Affectez les utilisateurs et les groupes qui utiliseront l'application pour se connecter.
-
-
Récupérez les métadonnées IdP.
-
Accédez à SAML Certificates (Certificats SAML).
-
Téléchargez le fichier Federation Metadata XML (XML des métadonnées de fédération).
Vous aurez besoin de ce fichier ultérieurement lors de la configuration dans Qlik Cloud.
-
Création et validation d'une configuration IdP dans Qlik Cloud
Connectez-vous à Qlik Cloud en tant qu'administrateur de clients pour créer une configuration IdP.
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Fournisseur d'identité et cliquez sur Créer nouveau.
-
Pour Type, sélectionnez SAML.
-
Pour Fournisseur, sélectionnez Microsoft Entra ID (Azure AD).
-
Vous pouvez éventuellement saisir une description pour la configuration IdP.
-
Sélectionnez Utiliser les métadonnées IdP.
-
Sous Métadonnées IdP SAML, cliquez sur Charger le fichier et sélectionnez le fichier de métadonnées téléchargé lors de la configuration de Microsoft Entra ID.
-
Sous Mapping de revendications, définissez name (nom), email (e-mail) et groups (groupes) sur les noms des revendications de Microsoft Entra ID.
-
Cliquez sur Créer.
-
Dans la boîte de dialogue Créer un fournisseur d'identité interactif, décochez la case Valider l'IdP, puis cliquez sur Créer.
Cette opération permet de créer la configuration IdP sans validation immédiate. La validation sera effectuée ultérieurement.Note InformationsSi vous le préférez, vous pouvez valider maintenant. Cependant, nous vous recommandons de commencer par appliquer la section suivante et charger le fichier de certificat dans Microsoft Entra ID.
Configuration de la validation de signature de requête SAML
Téléchargez le certificat de signature de requête SAML Qlik Cloud et chargez-le dans Microsoft Entra ID.
Procédez comme suit :
-
Dans le centre d'activités Qlik Cloud Administration, accédez à Fournisseurs d'identité.
-
Dans votre configuration IdP SAML, cliquez sur et sélectionnez Afficher la configuration du fournisseur.
-
Sélectionnez Télécharger le certificat de signature et cliquez sur Terminé.
Revenez à votre application SAML dans Microsoft Entra ID.
Procédez comme suit :
-
Dans Microsoft Entra ID, sélectionnez votre application SAML et accédez à Single sign-on (Authentification unique).
-
Sous Verification certificates (optional) (Certificats de vérification (en option)), cliquez sur Edit (Modifier).
-
Sélectionnez Require verification certificates (Demander des certificats de vérification).
-
Cliquez sur Upload certificate (Charger le certificat) et recherchez le fichier de certificat de signature.
-
Cliquez sur Save (Enregistrer).
Microsoft Entra ID est désormais configuré de sorte à pouvoir valider les signatures de requêtes SAML. Revenez à Qlik Cloud pour démarrer la validation.
Validation de votre fournisseur d'identité dans Qlik Cloud
Après avoir correctement configuré Microsoft Entra ID, vous pouvez valider la configuration IdP dans Qlik Cloud.
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Fournisseurs d'identité.
-
Dans votre configuration IdP SAML, cliquez sur et sélectionnez Valider.
-
Suivez les étapes de l'assistant de validation pour établir une connexion en tant qu'utilisateur ajouté à l'application Microsoft Entra ID. Vérifiez que les données du profil utilisateur sont correctes.
Les options permettant de promouvoir l'utilisateur au rôle d'administrateur de clients Qlik Cloud et d'activer l'IdP vous sont proposées. Notez que l'activation de l'IdP désactivera tout fournisseur d'identité interactif précédemment configuré dans le client.