Configurando o provisionamento SCIM no Microsoft Entra ID para o Qlik Cloud

Depois de configurar o Qlik Cloud para o SCIM, você deve configurar o provisionamento do SCIM no Microsoft Entra ID (antigo Azure AD).

Requisitos do Microsoft Entra ID para o SCIM

• Microsoft Entra ID com uma assinatura P2 ou superior (antigo Microsoft Azure Active Directory Premium P2)

• Acesso ao portal Microsoft Azure e permissões para criar aplicativos corporativos para seu Microsoft Entra ID.

• Dois aplicativos separados no registro de aplicativos corporativos no seu Microsoft Entra ID.

Etapas de configuração do Microsoft Entra ID para provisionamento do SCIM

Faça o seguinte:

1. Navegue até o centro de administração do Microsoft Entra ID em entra.microsoft.com.

2. Acesse Identidade > Aplicativos > Aplicativos corporativos.

   

   Como alternativa, se você entrar no portal geral do Azure, selecione Aplicativos corporativos no menu do Microsoft Entra ID.

   

3. Clique em + Novo aplicativo para configurar o aplicativo de provisionamento.

4. Na página Navegar na Galeria do Microsoft Entra ID, clique em + Criar seu próprio aplicativo.

5. No diálogo Criar seu próprio aplicativo, digite um nome para o aplicativo de provisionamento e selecione Integrar qualquer outro aplicativo que você não encontre na galeria.

   

6. Clique em Criar.

7. Para configurar o processo de provisionamento, na página Visão geral, selecione Provisionamento na seção Gerenciar.

   

8. Selecione Automático no menu. Depois de fazer essa seleção, as telas de configuração serão exibidas.

9. Comece a configuração preenchendo as credenciais do administrador.

   • Cole o URL do locatário obtido quando você ativou o provisionamento automático no Qlik Cloud.

   • Cole o token na caixa Token secreto.

   • Clique em Testar conexão.

   

   Nota informativaO nome do host não é o alias do locatário do Qlik Cloud. O nome do host é o nome padrão dado ao locatário do Qlik Cloud quando ele é criado

10. Selecione Mapeamentos e clique em Provisionar usuários do Microsoft Entra ID para configurar o serviço de provisionamento automático para funcionar com seu locatário do Qlik Cloud.

11. O Qlik Cloud exige um conjunto específico de atributos para sincronizar usuários do Microsoft Entra ID, conforme mostrado abaixo.

    

    A forma como o SCIM funciona entre o Qlik Cloud e o Microsoft Entra ID é combinar primeiro o endereço de e-mail do usuário (e-mail) para provisionar e sincronizar quaisquer alterações associadas à associação ao grupo do usuário ou ao acesso ao Qlik Cloud.

    Nota informativaO atributo UserPrincipalName pode ser usado em vez do atributo mail se UserPrincipalName for um endereço de e-mail válido e for igual ao valor no atributo email enviado durante a autenticação do usuário.

    As etapas a seguir configuram os mapeamentos de atributos do usuário.

    1. Na seção superior dos mapeamentos de atributos, mantenha todas as seleções padrão.

       

    2. Na seção Mapeamentos de atributos, exclua todos os atributos, exceto os seguintes:

       • userPrincipalName

       • mail

       • Switch([IsSoftDeleted], , "False", "True", "True", "False")

       • Join(" ", [givenName], [surname])

       • mailNickname

       Se esses atributos não forem excluídos, os fluxos de provisionamento e sincronização entre o Qlik Cloud e o Microsoft Entra ID falharão

       

    3. Clique em userPrincipalName para abrir a configuração do atributo.

    4. Na caixa de diálogo Configuração do atributo userPrincipalName, defina o Atributo de origem como objectId e o valor de Precedência de correspondência como 2.

       Clique em OK para salvar as alterações.

       

    5. Clique em email para abrir a caixa de diálogo Configuração do atributo.

    6. Na caixa de diálogo Configuração do atributo mail, defina Corresponder objetos usando este atributo como Sim e o valor de Precedência de correspondência como 1.

       Clique em OK para salvar as alterações.

    7. Clique em mailNickname para abrir a configuração do atributo.

    8. Na caixa de diálogo Configuração do atributo mailNickname, defina o Atributo de origem como objectId.

       Clique em OK para salvar as alterações.

    9. Ao concluir essas etapas, a seção Mapeamentos de atributos tem a seguinte aparência.

       

    10. Clique em Salvar na parte superior da página de configuração para aplicar as alterações.

12. Talvez você receba uma mensagem explicando que as alterações exigem uma ressincronização completa. Supondo que essa seja a configuração inicial do SCIM com o Qlik Cloud, clique em Sim.

    A configuração do mapeamento de atributos agora está concluída.

13. As etapas a seguir adicionam usuários e grupos para provisionamento a partir do Microsoft Entra ID para o Qlik Cloud.

    1. Clique em Usuários e grupos na seção Gerenciar dos menus de provisionamento ou aplicativos.

       

    2. A tabela Usuários e grupos é exibida. Clique em Adicionar usuário/grupo para adicionar uma atribuição.

    3. Na caixa de diálogo Adicionar atribuição, clique em Nenhum selecionado para adicionar usuários e grupos.

       A caixa de diálogo Usuários e grupos é exibida.

    4. Pesquise e adicione usuários e grupos a serem provisionados por meio dessa caixa de diálogo. Nesse exemplo, o grupo Bounty Hunters é selecionado.

       

       Clique em Selecionar para confirmar a seleção.

    5. Se estiver adicionando um grupo, o diálogo Adicionar atribuição exibirá um aviso que explica que somente usuários adicionados diretamente ao grupo serão provisionados. O provisionamento do Microsoft Entra ID e do SCIM não oferece suporte a grupos aninhados em cascata.

    6. Clique em Atribuir para adicionar o grupo ao aplicativo de provisionamento.

       O grupo agora é exibido na seção Usuários e grupos do aplicativo de provisionamento.

       

14. Para ativar o provisionamento automático, acesse a página Visão geral da seção de provisionamento do aplicativo e clique em Iniciar provisionamento.

    Nota informativaO provisionamento pode levar de alguns minutos a várias horas para ser concluído durante a primeira tarefa de provisionamento, dependendo do número de usuários e grupos que estão sendo provisionados. Essa é uma limitação da capacidade de provisionamento do SCIM.

15. Atualize a página no navegador. Se o processo de provisionamento ainda não tiver sido executado, clique em Provisionar sob demanda no menu.

    

16. Depois que o processo de provisionamento for executado, a página Visão geral será atualizada em uma atualização de página no navegador e mostrará o status.

    

17. Para revisar a sincronização, clique em Exibir registros de provisionamento para ver mais detalhes.

    

Práticas recomendadas para usar o SCIM entre o Qlik Cloud e o Microsoft Entra ID

• Um dos benefícios do provisionamento do SCIM com o Microsoft Entra ID é que ele permite que os administradores selecionem os grupos que têm acesso a um aplicativo de destino, como o Qlik Cloud. É recomendável adicionar somente os grupos que representam os usuários e os casos de uso de que você precisa ao longo do tempo. Isso torna o controle de acesso e os direitos do Qlik Cloud muito mais fáceis de gerenciar.

• Esteja preparado para que o provisionamento do SCIM demore muito tempo para sincronizar usuários e grupos durante um trabalho de provisionamento. O tempo necessário depende do número de usuários e grupos que você adiciona ao aplicativo no Microsoft Entra ID.

• Se quiser provisionar um grande número de usuários para o Qlik Cloud, considere adicionar um grupo ao aplicativo contendo o grande número de usuários, para que você não precise adicionar cada usuário ao aplicativo manualmente.