Configurando o Microsoft Entra ID como um provedor de identidade SAML
Este tópico descreve como configurar o Microsoft Entra ID (antigo Azure AD) como um provedor de identidade do Qlik Cloud.
Configurar um aplicativo SAML no Microsoft Entra ID
O primeiro passo é configurar um aplicativo SAML no Microsoft Entra ID para confiar no locatário do Qlik Cloud como um provedor de serviços (SP).
Faça o seguinte:
-
No centro de administração do Microsoft Entra, acesse Aplicativos corporativos > Novo aplicativo.
-
Clique em Criar seu próprio aplicativo.
-
Insira um nome para o aplicativo.
-
Acesse Logon único e selecione SAML como método de logon único.
-
Na página Configurar Logon Único com SAML, insira as seguintes informações:
Configuração Valor Identificador (ID da entidade) Seu nome do host de locatário original URL de resposta (URL de serviço do consumidor de declaração) Seu nome do host de locatário original com o caminho /login/saml anexado ao final do nome do host Configurações de SSO.
-
Acesse a seção Atributos e Declarações e clique em Editar para configurar o nome de exibição e os grupos.
-
Selecione Adicionar nova declaração e insira as seguintes informações:
Configuração Valor Nome displayname Origem Atributo Atributo de origem user.displayname Configurações de declaração.
-
Clique em Salvar.
-
Selecione Adicionar uma declaração de grupo.
A configuração das declarações de grupo depende de onde os grupos são gerenciados.
-
Se seus grupos forem gerenciados na nuvem:
-
Selecione Grupos atribuídos ao aplicativo como grupos associados.
-
Para Atributo de origem, selecione Nomes de exibição de grupos somente na nuvem.
Nota informativaVocê também deve atribuir os grupos relevantes ao aplicativo para que eles apareçam nas declarações.
-
-
Se você estiver usando o Microsoft Entra Connect:
-
Selecione Todos os grupos como grupos associados.
-
Para Atributo de origem, selecione sAMAccountName.
-
-
-
Clique em Salvar.
-
Em atributos e declarações, agora você deve ter as seguintes declarações listadas:
-
displayname
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Salve esses valores para uso posterior ao definir a configuração do IdP em seu locatário do Qlik Cloud.
Mapeamentos de declarações.
-
-
Atribua usuários e grupos.
-
Vá para Usuários e grupos e clique em Adicionar usuário/grupo.
-
Atribua os usuários e grupos que usarão o aplicativo para login.
Atribuindo usuários ao aplicativo.
-
-
Recupere metadados do IdP.
-
Vá para Certificados SAML.
-
Baixe o XML de metadados da federação.
Você precisará deste arquivo posteriormente durante a configuração no Qlik Cloud.Certificados SAML.
-
Crie e valide uma configuração de IdP no Qlik Cloud
Faça login no Qlik Cloud como administrador de locatários para criar uma configuração de IdP.
Faça o seguinte:
-
No Console de gerenciamento, acesse Provedor de identidade e clique em Criar novo.
-
Para Tipo, selecione SAML.
-
Para Provedor, selecione Microsoft Entra ID (Azure AD).
-
Opcionalmente, insira uma descrição para a configuração de IdP.
-
Selecione Usar metadados do IdP.
-
Em Metadados do IdP SAML, clique em Carregar arquivo e selecione o arquivo de metadados que você baixou durante a configuração do Microsoft Entra ID.
Configuração do IdP.
-
Em Mapeamento de declarações, defina name, email e groups como os nomes de declaração do Microsoft Entra ID.
Mapeamento de declarações na configuração do IdP.
-
Clique em Criar.
-
No diálogo Criar provedor de identidade interativo, desmarque a caixa de seleção Validar IdP e clique em Criar.
Isso cria a configuração do IdP sem validação imediata. A validação será realizada posteriormente.Nota informativaSe preferir, você pode validar agora. No entanto, recomendamos que você conclua a próxima seção e carregue primeiro o arquivo do certificado no Microsoft Entra ID.
Configurar a validação de assinatura de solicitação SAML
Baixe o certificado de assinatura de solicitação SAML do Qlik Cloud e carregue-o no Microsoft Entra ID.
Faça o seguinte:
-
No Console de gerenciamento do Qlik Cloud, acesse Provedores de identidade.
-
Na configuração do IdP SAML, clique em
e selecione Exibir configuração do provedor. -
Selecione Baixar certificado de assinatura e clique em Concluído.
Retorne ao aplicativo SAML no Microsoft Entra ID.
Faça o seguinte:
-
No Microsoft Entra ID, selecione seu aplicativo SAML e vá para Logon único.
-
Em Certificados de verificação (opcional), clique em Editar.
Certificados de verificação.
-
Selecione Exigir certificados de verificação.
Carregando certificados de verificação.
-
Clique em Carregar certificado e localize o arquivo do certificado de assinatura.
-
Clique em Salvar.
O Microsoft Entra ID agora está configurado para validar assinaturas de solicitação SAML. Volte para o Qlik Cloud para iniciar a validação.
Valide seu provedor de identidade no Qlik Cloud
Depois de configurar o Microsoft Entra ID com êxito, você poderá validar a configuração do IdP no Qlik Cloud.
Faça o seguinte:
-
No Console de gerenciamento, acesse Provedores de identidade.
-
Na configuração do IdP do SAML, clique em
e selecione Validar. -
Siga as etapas do assistente de validação para realizar um logon como usuário adicionado ao aplicativo Microsoft Entra ID. Verifique se os dados do perfil do usuário estão corretos.
Serão apresentadas a você as opções para promover o usuário a administrador de locatários do Qlik Cloud e ativar o IdP. Observe que a ativação do IdP desativará qualquer provedor de identidade interativo configurado anteriormente no locatário.