Configurazione del provisioning SCIM in Microsoft Entra ID per Qlik Cloud
Dopo aver configurato Qlik Cloud per SCIM, è necessario configurare il provisioning SCIM in Microsoft Entra ID (noto in precedenza come Azure AD).
Requisiti Microsoft Entra ID per SCIM
-
Microsoft Entra ID con un abbonamento P1 o superiore (noto in precedenza come Microsoft Azure Active Directory P1)
-
Accesso al portale Microsoft Azure e autorizzazioni per la creazione di applicazioni aziendali per il proprio Microsoft Entra ID.
-
Due applicazioni separate nel registro delle applicazioni aziendali nel proprio Microsoft Entra ID.
Fasi di configurazione di Microsoft Entra ID per il provisioning SCIM
Procedere come indicato di seguito:
-
Andare al centro di amministrazione di Microsoft Entra ID all'indirizzo entra.microsoft.com.
-
Andare a Identità > Applicazioni > Applicazioni enterprise.
In alternativa, se si accede dal portale generale di Azure, selezionare Applicazioni enterprise dal menu Microsoft Entra ID.
-
Fare clic su + Nuova applicazione per impostare l'applicazione di provisioning.
-
Dalla pagina Sfoglia galleria Microsoft Entra ID, fare clic su + Crea la tua applicazione.
-
Nella finestra di dialogo Crea la tua applicazione, inserire un nome per l'applicazione di provisioning e selezionare Integra qualsiasi altra applicazione non presente nella galleria.
-
Fare clic su Crea.
-
Per configurare la procedura di provisioning, dalla pagina Panoramica, selezionare Provisioning dalla sezione Gestisci.
-
Selezionare Automatico dal menu. Dopo aver effettuato questa selezione, vengono visualizzate le schermate di configurazione.
-
Iniziare la configurazione completando le credenziali amministratore.
-
Incollare l'URL del tenant ottenuto quando si è abilitato il provisioning automatico in Qlik Cloud.
-
Incollare il token nella casella Token segreto.
-
Fare clic su Testa connessione.
Nota informaticaIl nome host non è l'alias del tenant di Qlik Cloud. Il nome host è il nome predefinito assegnato al tenant di Qlik Cloud quando viene creato. -
-
Selezionare Mapping e fare clic su Fornitura utenti Microsoft Entra ID per configurare il servizio di provisioning automatico per utilizzare il tenant Qlik Cloud.
-
Qlik Cloud richiede una serie specifica di attributi per la sincronizzazione degli utenti da Microsoft Entra ID, come mostrato di seguito.
Il modo in cui SCIM funziona tra Qlik Cloud e Microsoft Entra ID consiste nell'abbinare prima l'indirizzo e-mail dell'utente (posta elettronica) per eseguire il provisioning e sincronizzare qualsiasi modifica associata all'appartenenza al gruppo dell'utente o all'accesso a Qlik Cloud.
Nota informaticaL'attributo UserPrincipalName può essere usato al posto dell'attributo mail se UserPrincipalName è un indirizzo e-mail valido ed è uguale al valore dell'attributo e-mail inviato durante l'autenticazione dell'utente.I passaggi seguenti configurano i mapping degli attributi utente.
-
Nella sezione superiore dei mapping degli attributi, mantenere tutte le selezioni predefinite.
-
Nella sezione Mapping attributi, eliminare tutti gli attributi tranne i seguenti:
-
userPrincipalName
-
mail
-
Switch([IsSoftDeleted], , "False", "True", "True", "False")
-
Join(" ", [givenName], [surname])
-
mailNickname
Se questi attributi non vengono eliminati, i flussi di provisioning e sincronizzazione tra Qlik Cloud e Microsoft Entra ID non funzionano.
-
-
Fare clic su userPrincipalName per aprire la configurazione dell'attributo.
-
Nella finestra di dialogo Configurazione attributo userPrincipalName, impostare l'Attributo origine su objectId e il valore Precedenza corrispondenza su 2.
Fare clic su Ok per salvare le modifiche.
-
Fare clic su e-mail per aprire la finestra di dialogo Configurazione attributi.
-
Nella finestra di dialogo Configurazione attributi e-mail, impostare Abbina oggetti usando questo attributo su Sì e il valore Precedenza corrispondenza su 1.
Fare clic su Ok per salvare le modifiche.
-
Fare clic su mailNickname per aprire la configurazione attributi.
-
Nella finestra di dialogo Configurazione attributo emailNickname, impostare l'Attributo origine su objectId.
Fare clic su Ok per salvare le modifiche.
-
Al completamento di questi passaggi, la sezione Mapping attributi avrà un aspetto simile a questo.
-
Fare clic su Salva nella parte superiore della pagina di configurazione per applicare le modifiche.
-
-
Gli utenti potrebbero ricevere un messaggio che spiega che le modifiche richiedono una risincronizzazione completa. Supponendo che questa sia la configurazione iniziale di SCIM con Qlik Cloud, fare clic su Sì.
La configurazione del mapping degli attributi è ora completa.
-
I passaggi seguenti aggiungono utenti e gruppi da fornire da Microsoft Entra ID a Qlik Cloud.
-
Fare clic su Utenti e gruppi nella sezione Gestisci del menu di provisioning o delle applicazioni.
-
Viene visualizzata la tabella Utenti e gruppi. Fare clic su Aggiungi utente/gruppo per aggiungere un'assegnazione.
-
Nella finestra di dialogo Aggiungi assegnazione, fare clic su Nessuno selezionato per aggiungere utenti e gruppi.
Viene visualizzata la finestra di dialogo Utenti e gruppi.
-
Cercare e aggiungere gli utenti e i gruppi da fornire attraverso questa finestra di dialogo. In questo esempio, è stato selezionato il gruppo Cacciatori di taglie.
Fare clic su Seleziona per confermare la selezione.
-
Se si aggiunge un gruppo, la finestra di dialogo Aggiungi assegnazione visualizza un avviso che spiega che solo gli utenti aggiunti direttamente al gruppo saranno sottoposti a provisioning. Il provisioning di Microsoft Entra ID e SCIM non supporta i gruppi nidificati a cascata.
-
Fare clic su Assegna per aggiungere il gruppo all'applicazione di provisioning.
Il gruppo viene ora visualizzato nella sezione Utenti e gruppi dell'applicazione di provisioning.
-
-
Per attivare il provisioning automatico, accedere alla pagina Panoramica della sezione provisioning dell'applicazione e fare clic su Avvia provisioning.
Nota informaticaIl completamento del provisioning può richiedere da pochi minuti a diverse ore durante la prima attività di provisioning, a seconda del numero di utenti e gruppi da sottoporre a provisioning. Si tratta di una limitazione della capacità di provisioning di SCIM. -
Aggiornare la pagina nel browser. Se il processo di provisioning non è ancora stato eseguito, fare clic su Provisioning su richiesta dal menu.
-
Una volta eseguito il processo di provisioning, la pagina Panoramica si aggiorna con un refresh della pagina nel browser e mostra lo stato.
-
Per esaminare la sincronizzazione, fare clic su Visualizza registri di provisioning per visualizzare maggiori dettagli.
Aggiornamento del token SCIM
Alla scadenza del token SCIM, è necessario rinnovarlo manualmente in Qlik Cloud. Quindi, aggiungere il nuovo token alle credenziali amministratore del provisioning utilizzato al centro di amministrazione di Microsoft Entra.
Procedere come indicato di seguito:
-
Nella pagina Panoramica, fare clic su Modifica provisioning.
-
In Credenziali amministratore, incollare il nuovo token nella casella Token segreto, quindi fare clic su Salva.
Migliori pratiche per l'utilizzo di SCIM tra Qlik Cloud e Microsoft Entra ID
-
Uno dei vantaggi del provisioning SCIM con Microsoft Entra ID è che consente agli amministratori di selezionare i gruppi che hanno accesso a un'applicazione di destinazione come Qlik Cloud. Si raccomanda di aggiungere nel tempo solo i gruppi che rappresentano gli utenti e i casi d'uso necessari. In questo modo il controllo degli accessi e dei diritti di Qlik Cloud è molto più facile da gestire.
-
Prepararsi al fatto che il provisioning SCIM richiede un tempo prolungato per sincronizzare gli utenti e i gruppi durante un processo di provisioning. Il tempo necessario dipende dal numero di utenti e gruppi aggiunti all'applicazione in Microsoft Entra ID.
-
Se si intende eseguire il provisioning di un numero elevato di utenti a Qlik Cloud, considerare di aggiungere un gruppo all'applicazione contenente il maggior numero di utenti, in modo da non dover aggiungere manualmente ogni utente all'applicazione.