Przeskocz do zawartości głównej Przejdź do treści uzupełniającej

Konfigurowanie aprowizacji SCIM w Microsoft Entra ID dla Qlik Cloud

Po skonfigurowaniu Qlik Cloud dla SCIM należy skonfigurować aprowizację SCIM w Microsoft Entra ID (poprzednio Azure AD).

Wymagania Microsoft Entra ID dla SCIM

  • Microsoft Entra ID z subskrypcją P1 lub wyższą (poprzednio Microsoft Azure Active Directory P1)

  • Dostęp do Portalu Microsoft Azure i uprawnienia do tworzenia aplikacji dla przedsiębiorstw w Microsoft Entra ID.

  • Dwie oddzielne aplikacje w rejestrze aplikacji dla przedsiębiorstw w Microsoft Entra ID.

Kroki konfiguracji usługi Microsoft Entra ID na potrzeby aprowizacji SCIM

Wykonaj następujące czynności:

  1. Przejdź do centrum administracyjnego Microsoft Entra ID pod adresem entra.microsoft.com.

  2. Przejdź do Tożsamość > Aplikacje > Aplikacje dla przedsiębiorstw.

    Centrum administracyjne usługi Azure Active Directory

    Jeśli wejdziesz z ogólnego portalu Azure, wybierz zamiast tego Aplikacje dla przedsiębiorstw z menu Microsoft Entra ID.

    Portal Azure
  3. Kliknij opcję + Nowa aplikacja, aby skonfigurować aplikację do aprowizacji.

  4. Na stronie Przeglądanie galerii Microsoft Entra ID kliknij + Utwórz własną aplikację.

  5. W oknie dialogowym Utwórz własną aplikację wprowadź nazwę aplikacji do aprowizacji i wybierz opcję Integruj dowolną inną aplikację, której nie ma w galerii.

    Okno dialogowe Utwórz własną aplikację
  6. Kliknij polecenie Utwórz.

  7. Aby skonfigurować proces aprowizacji, na stronie Przegląd wybierz opcję Aprowizacja w sekcji Zarządzaj.

    Strona Przegląd
  8. Wybierz z menu opcję Automatycznie. Po dokonaniu tego wyboru pojawiają się ekrany konfiguracji.

  9. Rozpocznij konfigurację, wprowadzając poświadczenia administratora.

    • Wklej adres URL dzierżawy uzyskany po włączeniu automatycznej aprowizacji w Qlik Cloud.

    • Wklej token do pola Token wpisu tajnego.

    • Kliknij Testuj połączenie.

    Tryb automatycznej aprowizacji
    InformacjaNazwa hosta nie jest aliasem dzierżawy Qlik Cloud. Nazwa hosta to domyślna nazwa nadawana dzierżawy Qlik Cloud podczas jej tworzenia
  10. Wybierz Mapowania i kliknij Aprowizacja użytkowników usługiMicrosoft Entra ID, aby skonfigurować usługę automatycznej aprowizacji do pracy z dzierżawą Qlik Cloud.

  11. Qlik Cloud wymaga określonego zestawu atrybutów do synchronizacji użytkowników z Microsoft Entra ID, jak pokazano poniżej.

    Mapowanie atrybutów

    Sposób działania SCIM między Qlik Cloud a Microsoft Entra ID polega na dopasowaniu najpierw adresu e-mail (mail) użytkownika w celu udostępnienia i zsynchronizowania wszelkich zmian związanych z członkostwem użytkownika w grupie lub dostępem do Qlik Cloud.

    InformacjaZamiast atrybutu mail można użyć atrybutu UserPrincipalName, jeśli UserPrincipalName jest prawidłowym adresem e-mail i taką samą wartością jak wartość w atrybucie e-mail wysłanym podczas uwierzytelniania użytkownika.

    Poniższe kroki umożliwiają konfigurację mapowania atrybutów użytkownika.

    1. W górnej części mapowań atrybutów zachowaj wszystkie wybory domyślne.

      Mapowanie atrybutów
    2. W sekcji Mapowania atrybutów usuń wszystkie atrybuty z wyjątkiem następujących:

      • userPrincipalName

      • mail

      • Switch([IsSoftDeleted], , "False", "True", "True", "False")

      • Join(" ", [givenName], [surname])

      • mailNickname

      Jeśli te atrybuty nie zostaną usunięte, przepływy aprowizacji i synchronizacji między Qlik Cloud a Microsoft Entra ID zakończą się niepowodzeniem.

      Mapowania atrybutów
    3. Kliknij userPrincipalName, aby otworzyć konfigurację atrybutu.

    4. W oknie dialogowym Konfiguracja atrybutu userPrincipalName ustaw Atrybut źródłowy na objectId, a wartość Priorytet dopasowywania na 2.

      Kliknij OK, aby zapisać zmiany.

      Okno dialogowe Konfiguracja atrybutu userPrincipalName
    5. Kliknij mail, aby otworzyć okno dialogowe Konfiguracja atrybutu.

    6. W oknie dialogowym Konfiguracja atrybutu mail ustaw Dopasuj obiekty korzystające z tego atrybutu na Tak, a wartość Priorytet dopasowywania na 1.

      Kliknij OK, aby zapisać zmiany.

    7. Kliknij mailNickname, aby otworzyć konfigurację atrybutu.

    8. W oknie dialogowym Konfiguracja atrybutu mailNickname ustaw Atrybut źródłowy na objectId.

      Kliknij OK, aby zapisać zmiany.

    9. Po wykonaniu tych kroków sekcja Mapowania atrybutów wygląda następująco.

      Ukończone Mapowania atrybutów
    10. Kliknij przycisk Zapisz u góry strony konfiguracji, aby zastosować zmiany.

  12. Możesz otrzymać komunikat wyjaśniający, że zmiany wymagają pełnej ponownej synchronizacji. Zakładając, że jest to początkowa konfiguracja SCIM z Qlik Cloud, kliknij Tak.

    Konfiguracja mapowania atrybutów została zakończona.

  13. Poniższe kroki umożliwiają dodanie użytkowników i grup do aprowizacji z Microsoft Entra ID do Qlik Cloud.

    1. Kliknij Użytkownicy i grupy w sekcji Zarządzaj w menu aprowizacji lub aplikacji.

      Strona Przegląd
    2. Zostanie wyświetlona tabela Użytkownicy i grupy. Kliknij Dodaj użytkownika/grupę, aby dodać przypisanie.

    3. W oknie dialogowym Dodawanie przypisania kliknij opcję Niczego nie wybrano, aby dodać użytkowników i grupy.

      Zostanie wyświetlone okno dialogowe Użytkownicy i grupy.

    4. W tym oknie dialogowym wyszukaj i dodaj użytkowników oraz grupy do obsługi administracyjnej. W tym przykładzie wybrana jest grupa Bounty Hunters.

      Okno dialogowe Użytkownicy i grupy

      Kliknij Wybierz, aby potwierdzić wybór.

    5. Jeśli dodajesz grupę, w oknie dialogowym Dodawanie przypisania zostanie wyświetlone ostrzeżenie, że aprowizacja obejmie tylko użytkowników dodanych bezpośrednio do grupy. Aprowizacja Microsoft Entra ID i SCIM nie obsługuje kaskadowych grup zagnieżdżonych.

    6. Kliknij Przypisz, aby dodać grupę do aplikacji do aprowizacji.

      Grupa jest teraz wyświetlana w sekcji Użytkownicy i grupy aplikacji do aprowizacji.

      Sekcja Użytkownicy i grupy w aplikacji do aprowizacji
  14. Aby włączyć automatyczną aprowizację, przejdź do strony Przegląd w sekcji aprowizacji aplikacji i kliknij Rozpocznij aprowizację.

    InformacjaAprowizacja może zająć od kilku minut do kilku godzin podczas pierwszego zadania aprowizacji, w zależności od liczby objętych nią użytkowników i grup. Jest to ograniczenie możliwości aprowizacji SCIM.
  15. Odśwież stronę w przeglądarce. Jeśli proces aprowizacji nadal nie został uruchomiony, kliknij opcję Aprowizacja na żądanie w menu.

    Aprowizacja na żądanie
  16. Po uruchomieniu aprowizacji strona Przegląd jest aktualizowana po odświeżeniu strony w przeglądarce i pokazuje stan.

    Aktualny stan cyklu
  17. Aby przejrzeć synchronizację, kliknij Wyświetl dzienniki aprowizacji, aby zobaczyć więcej szczegółów.

    Dzienniki aprowizacji

Aktualizowanie tokena SCIM

Kiedy Twój token SCIM wygaśnie, musisz go ręcznie odnowić w Qlik Cloud. Następnie dodaj nowy token do poświadczeń administratora używanych do aprowizacji w centrum administracyjnym Microsoft Entra.

Wykonaj następujące czynności:

  1. Na stronie Przegląd kliknij Edytuj aprowizację.

  2. W obszarze Poświadczenia administratora wklej nowy token w polu Tajny token, a następnie kliknij Zapisz.

Najlepsze praktyki dotyczące używania SCIM między Qlik Cloud i Microsoft Entra ID

  • Jedną z zalet aprowizacji w standardzie SCIM przy użyciu Microsoft Entra ID jest umożliwienie administratorom wyboru grup mających dostęp do aplikacji docelowej, takiej jak Qlik Cloud. Zaleca się dodawanie tylko grup reprezentujących użytkowników i przypadki potrzebne z czasem. To znacznie ułatwia zarządzanie kontrolą dostępu i uprawnieniami do Qlik Cloud.

  • Przygotuj się na to, że aprowizacja SCIM wymaga więcej czasu na synchronizację użytkowników i grup podczas zadania aprowizacji. Czas ten zależy od liczby użytkowników i grup dodanych do aplikacji w Microsoft Entra ID.

  • Jeśli zamierzasz dokonać aprowizacji dużej liczby użytkowników w Qlik Cloud, rozważ dodanie do aplikacji grupy zawierającej wielu użytkowników, aby nie trzeba było dodawać każdego użytkownika ręcznie.

InformacjaAprowizacja Microsoft Entra ID przy użyciu standardu SCIM nie obsługuje aprowizacji użytkowników, którzy są członkami grup zagnieżdżonych.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!