Configurazione di Microsoft Entra ID come un provider di identità SAML

In questa sezione si descrive come configurare Microsoft Entra ID (anteriormente denominato Azure AD) come un provider di identità per Qlik Cloud.

Configurazione di un'applicazione SAML in Microsoft Entra ID

Per iniziare, è necessario configurare un'applicazione SAML in Microsoft Entra ID per impostare come attendibile il tenant Qlik Cloud come provider di servizi (SP).

Procedere come indicato di seguito:

1. Nel centro di amministrazione di Microsoft Entra, andare a Enterprise applications > New application.

2. Fare clic su Create your own application.

3. Inserire un nome per l'applicazione.

4. Andare a Single sign-on e selezionare SAML come metodo Single Sign-On.

5. Nella pagina Set up Single Sign-On with SAML, inserire le seguenti informazioni:

   Impostazione	Valore
   Identifier (Entity ID)	Il nome host originale del tenant
   Reply URL (Assertion Consumer Service URL)	Il nome host originale del tenant con il percorso /login/saml aggiunto alla fine del nome host

   

6. Andare alla sezione Attributes & Claims, quindi fare clic su Modifica per configurare il nome visualizzato e i gruppi.

7. Selezionare Add new claim e inserire le seguenti informazioni:

   Impostazione	Valore
   Name	displayname
   Source	Attribute
   Source attribute	user.displayname

   

8. Fare clic su Save.

9. Selezionare Add a group claim.

   La configurazione delle attestazioni di gruppo dipende da dove vengono gestiti i gruppi.

   1. Se i gruppi sono gestiti sul cloud:

      • Selezionare Groups assigned to the application come gruppi associati.

      • Per Source attribute, selezionare Cloud-only group display names.
        

        Nota informaticaPer fare in modo che i gruppi rilevanti vengano visualizzati nelle attestazioni, è necessario anche assegnarli all'applicazione.

   2. Se si utilizza Microsoft Entra Connect:

      • Selezionare Tutti i gruppi come gruppi associati.

      • Per Attributo sorgente, selezionare sAMAccountName.

10. Fare clic su Salva.

11. Nella sezione Attributi e attestazioni, dovrebbero essere elencate le seguenti attestazioni:

    • displayname

    • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    Salvare i valori per utilizzarli successivamente quando si imposta la configurazione IdP nel tenant Qlik Cloud.

    

12. Assegnazione di utenti e gruppi.

    1. Andare a Utenti e gruppi e fare clic su Aggiungi utente/gruppo.

    2. Assegnare gli utenti e i gruppi che utilizzeranno l'applicazione per l'accesso.

       

13. Recuperare i metadati IdP.

    1. Andare a Certificati SAML.

    2. Scaricare il file Federation Metadata XML.
       Questo file è necessario successivamente, durante la configurazione in Qlik Cloud.

       

Creazione e convalida di una configurazione IdP in Qlik Cloud

Accedere a Qlik Cloud come amministratore tenant per creare una configurazione IdP.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, andare in Provider di identità, quindi fare clic su Crea nuovo.

2. Per l'opzione Tipo, selezionare SAML.

3. In Provider, selezionare Microsoft Entra ID (Azure AD).

4. Facoltativamente, inserire una descrizione per la configurazione IdP.

5. Selezionare Usa metadati IdP.

6. In Metadati SAML IdP, fare clic su Carica file e selezionare il file di metadati scaricato durante la configurazione di Microsoft Entra ID.

   

7. In Mapping attestazioni, impostare le opzioni name, email e groups utilizzando i nomi delle attestazioni di Microsoft Entra ID.

   

8. Fare clic su Crea.

9. Nella finestra di dialogo Crea provider di identità interattivo, deselezionare la casella di selezione Convalida IdP, quindi fare clic su Crea.
   In questo modo, la configurazione IdP viene creata senza una convalida immediata. La convalida verrà completata in una fase successiva.

   Nota informaticaSe si preferisce, è possibile eseguire subito la convalida. Tuttavia, prima di farlo si consiglia di completare la sezione successiva e si caricare il file del certificato in Microsoft Entra ID.

Configurazione della convalida della firma per la richiesta SAML

Scaricare il certificato di firma della richiesta SAML per Qlik Cloud e caricarlo in Microsoft Entra ID.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione di Qlik Cloud, andare a Provider di identità.

2. Nella configurazione IdP SAML, fare clic su e selezionare Visualizza configurazione provider.

3. Selezionare Scarica certificato di firma, quindi fare clic su Fine.

Tornare all'applicazione SAML in Microsoft Entra ID.

Procedere come indicato di seguito:

1. In Microsoft Entra ID, selezionare l'applicazione SAML e andare a Single Sign-On.

2. In Verification certificates (facoltativo), fare clic su Edit.

   

3. Selezionare Require verification certificates.

   

4. Fare clic su Upload certificate, quindi individuare il file del certificato di firma.

5. Fare clic su Save.

Microsoft Entra ID ora è configurato per convalidare le firme della richiesta SAML. Tornare a Qlik Cloud per avviare la convalida.

Convalida del provider di identità in Qlik Cloud

Dopo aver configurato correttamente Microsoft Entra ID, è possibile convalidare la configurazione IdP in Qlik Cloud.

Procedere come indicato di seguito:

1. Nel centro attività Amministrazione, andare in Provider di identità.

2. Nell'opzione di configurazione IdP di SAML, fare clic su e selezionare Validate.

3. Seguire i passaggi nella procedura guidata di convalida per eseguire l'accesso come l'utente aggiunto all'applicazione Microsoft Entra ID. Verificare che i dati del profilo utente siano corretti.

   Verranno visualizzate le opzioni che consentono di promuovere l'utente come amministratore del tenant Qlik Cloud e di attivare l'IdP. Notare che quando si attiva c qualsiasi provider di identità interattivo configurato in precedenza nel tenant verrà disattivato.