Konfigurowanie aprowizacji SCIM w Azure AD dla Qlik Cloud

Po skonfigurowaniu Qlik Cloud dla SCIM należy skonfigurować aprowizację SCIM w Azure AD.

Wymagania Azure AD dla SCIM

• Microsoft Azure Active Directory z subskrypcją Premium P2 lub wyższą

• Dostęp do Portalu Microsoft Azure i uprawnienia do tworzenia aplikacji dla przedsiębiorstw w Microsoft Azure Active Directory.

• Dwie oddzielne aplikacje w rejestrze aplikacji dla przedsiębiorstw w Azure AD.

Kroki konfiguracji usługi Azure AD na potrzeby aprowizacji SCIM

Wykonaj następujące czynności:

1. Przejdź do centrum administracyjnego usługi Azure Active Directory pod adresem https://aad.portal.azure.com/.

2. Wybierz z menu Aplikacje dla przedsiębiorstw.

   

   Jeśli uzyskujesz dostęp do konfiguracji usługi Active Directory za pośrednictwem ogólnego portalu Azure, wybierz zamiast tego Aplikacje dla przedsiębiorstw z menu usługi Active Directory.

   

3. Kliknij opcję Nowa aplikacja, aby skonfigurować aplikację do aprowizacji.

   

4. Na stronie Przeglądanie galerii usługi Azure AD kliknij Utwórz własną aplikację.

   

5. W oknie dialogowym Utwórz własną aplikację wpisz nazwę aplikacji do aprowizacji i wybierz opcję Integruj dowolną inną aplikację, której nie ma w galerii.

   

6. Kliknij polecenie Utwórz.

7. Aby skonfigurować proces aprowizacji, na stronie Przegląd wybierz opcję Aprowizacja w sekcji Zarządzaj.

   

8. Wybierz z menu opcję Automatycznie. Po dokonaniu tego wyboru pojawiają się ekrany konfiguracji.

   

9. Rozpocznij konfigurację, wprowadzając poświadczenia administratora.

   • Wklej adres URL dzierżawy uzyskany po włączeniu automatycznej aprowizacji w Qlik Cloud.

   • Wklej token do pola Token wpisu tajnego.

   • Kliknij Testuj połączenie.

   

   InformacjaNazwa hosta nie jest aliasem dzierżawy Qlik Cloud. Nazwa hosta to domyślna nazwa nadawana dzierżawy Qlik Cloud podczas jej tworzenia

10. Wybierz Mapowania i kliknij Aprowizacja użytkowników usługi Azure Active Directory, aby skonfigurować usługę automatycznej aprowizacji do pracy z dzierżawą Qlik Cloud.

    

11. Qlik Cloud wymaga określonego zestawu atrybutów do synchronizacji użytkowników z Azure AD, jak pokazano poniżej.

    

    Sposób działania SCIM między Qlik Cloud a Azure AD polega na dopasowaniu najpierw adresu e-mail (mail) użytkownika w celu udostępnienia i zsynchronizowania wszelkich zmian związanych z członkostwem użytkownika w grupie lub dostępem do Qlik Cloud.

    InformacjaZamiast atrybutu mail można użyć atrybutu UserPrincipalName, jeśli UserPrincipalName jest prawidłowym adresem e-mail i taką samą wartością jak wartość w atrybucie e-mail wysłanym podczas uwierzytelniania użytkownika.

    Poniższe kroki umożliwiają konfigurację mapowania atrybutów użytkownika.

    1. W górnej części mapowań atrybutów zachowaj wszystkie wybory domyślne.

       

    2. W sekcji Mapowania atrybutów usuń wszystkie atrybuty z wyjątkiem następujących:

       • userPrincipalName

       • mail

       • Switch([IsSoftDeleted], , "False", "True", "True", "False")

       • Join(" ", [givenName], [surname])

       • mailNickname

       Jeśli te atrybuty nie zostaną usunięte, przepływy aprowizacji i synchronizacji między Qlik Cloud a Azure AD zakończą się niepowodzeniem.

       

    3. Kliknij userPrincipalName, aby otworzyć konfigurację atrybutu.

    4. W oknie dialogowym Konfiguracja atrybutu userPrincipalName ustaw Atrybut źródłowy na objectId, a wartość Priorytet dopasowywania na 2.

       Kliknij OK, aby zapisać zmiany.

       

    5. Kliknij mail, aby otworzyć okno dialogowe Konfiguracja atrybutu.

    6. W oknie dialogowym Konfiguracja atrybutu mail ustaw Dopasuj obiekty korzystające z tego atrybutu na Tak, a wartość Priorytet dopasowywania na 1.

       Kliknij OK, aby zapisać zmiany.

       

    7. Kliknij mailNickname, aby otworzyć konfigurację atrybutu.

    8. W oknie dialogowym Konfiguracja atrybutu mailNickname ustaw Atrybut źródłowy na objectId.

       Kliknij OK, aby zapisać zmiany.

       

    9. Po wykonaniu tych kroków sekcja Mapowania atrybutów wygląda następująco.

       

    10. Kliknij przycisk Zapisz u góry strony konfiguracji, aby zastosować zmiany.

12. Możesz otrzymać komunikat z platformy Azure wyjaśniający, że zmiany wymagają pełnej ponownej synchronizacji. Zakładając, że jest to początkowa konfiguracja SCIM z Qlik Cloud, kliknij Tak.

    

    Konfiguracja mapowania atrybutów została zakończona.

13. Poniższe kroki umożliwiają dodanie użytkowników i grup do aprowizacji z Azure Active Directory do Qlik Cloud.

    1. Kliknij Użytkownicy i grupy w sekcji Zarządzaj w menu aprowizacji lub aplikacji.

       

    2. Zostanie wyświetlona tabela Użytkownicy i grupy. Kliknij Dodaj użytkownika/grupę, aby dodać przypisanie.

    3. W oknie dialogowym Dodawanie przypisania kliknij opcję Niczego nie wybrano, aby dodać użytkowników i grupy.

       

       Zostanie wyświetlone okno dialogowe Użytkownicy i grupy.

    4. W tym oknie dialogowym wyszukaj i dodaj użytkowników oraz grupy do obsługi administracyjnej. W tym przykładzie wybrana jest grupa Bounty Hunters.

       

       Kliknij Wybierz, aby potwierdzić wybór.

    5. Jeśli dodajesz grupę, w oknie dialogowym Dodawanie przypisania zostanie wyświetlone ostrzeżenie, że aprowizacja obejmie tylko użytkowników dodanych bezpośrednio do grupy. Aprowizacja usługi Azure AD i SCIM nie obsługuje kaskadowych grup zagnieżdżonych.

       

    6. Kliknij Przypisz, aby dodać grupę do aplikacji do aprowizacji.

       Grupa jest teraz wyświetlana w sekcji Użytkownicy i grupy aplikacji do aprowizacji.

       

14. Aby włączyć automatyczną aprowizację, przejdź do strony Przegląd w sekcji aprowizacji aplikacji i kliknij Rozpocznij aprowizację.

    

    InformacjaAprowizacja może zająć od kilku minut do kilku godzin podczas pierwszego zadania aprowizacji, w zależności od liczby objętych nią użytkowników i grup. Jest to ograniczenie możliwości aprowizacji SCIM.

15. Odśwież stronę w przeglądarce. Jeśli proces aprowizacji nadal nie został uruchomiony, kliknij opcję Aprowizacja na żądanie w menu.

    

16. Po uruchomieniu aprowizacji strona Przegląd jest aktualizowana po odświeżeniu strony w przeglądarce i pokazuje stan.

    

17. Aby przejrzeć synchronizację, kliknij Wyświetl dzienniki aprowizacji, aby zobaczyć więcej szczegółów.

    

Najlepsze praktyki dotyczące używania SCIM między Qlik Cloud i Azure AD

• Jedną z zalet aprowizacji w standardzie SCIM przy użyciu Microsoft Azure Active Directory jest umożliwienie administratorom wyboru grup mających dostęp do aplikacji docelowej, takiej jak Qlik Cloud. Zaleca się dodawanie tylko grup reprezentujących użytkowników i przypadki potrzebne z czasem. To znacznie ułatwia zarządzanie kontrolą dostępu i uprawnieniami do Qlik Cloud.

• Przygotuj się na to, że aprowizacja SCIM wymaga więcej czasu na synchronizację użytkowników i grup podczas zadania aprowizacji. Czas ten zależy od liczby użytkowników i grup dodanych do aplikacji w Microsoft Azure.

• Jeśli zamierzasz dokonać aprowizacji dużej liczby użytkowników w Qlik Cloud, rozważ dodanie do aplikacji grupy zawierającej wielu użytkowników, aby nie trzeba było dodawać każdego użytkownika ręcznie.