Настройка Microsoft Entra ID в качестве поставщика удостоверений SAML
В этом разделе описывается, как настроить Microsoft Entra ID (ранее Azure AD) в качестве поставщика удостоверений для Qlik Cloud.
Настройка приложения SAML в Microsoft Entra ID
В качестве первого шага необходимо настроить приложение SAML в Microsoft Entra ID, чтобы сделать клиент Qlik Cloud доверенным поставщиком услуг (SP).
Выполните следующие действия.
-
В центре администрирования Microsoft Entra выберите Enterprise applications (Корпоративные приложения) > New application (Новое приложение).
-
Щелкните Create your own application (Создать собственное приложение).
-
Введите имя приложения.
-
Откройте Single sign-on (Единый вход) и выберите SAML в качестве метода единого входа.
-
На странице Set up Single Sign-On with SAML (Настройка единого входа с помощью SAML) введите следующую информацию:
Параметр Значение Identifier (Entity ID) (Идентификатор (ИД объекта)) Первоначальное имя хоста клиента Reply URL (Assertion Consumer Service URL) (URL ответа (URL потребительской службы заявлений)) Первоначальное имя хоста клиента, в конце которого добавлен путь /login/saml. -
Откройте раздел Attributes & Claims (Атрибуты и утверждения) и щелкните Edit (Редактировать), чтобы настроить отображаемое имя и группы.
-
Выберите Add new claim (Добавить новое утверждение) и введите следующую информацию:
Параметр Значение Имя displayname Источник Атрибут Исходный атрибут user.displayname -
Нажмите Сохранить.
-
Выберите Add a group claim (Добавить утверждение группы).
Конфигурация утверждений групп зависит от того, где осуществляется управление группами.
-
Если управление группами осуществляется в облаке:
-
Выберите в качестве связанных групп вариант Groups assigned to the application (Группы, назначенные приложению).
-
В поле Source attribute (Исходный атрибут) выберите Cloud-only group display names (Отображаемые имена групп только в облаке).
Примечание к информацииТакже необходимо назначить релевантные группы приложению, чтобы они отображались в утверждениях.
-
-
Если используется Microsoft Entra Connect:
-
В качестве связанных групп выберите All groups (Все группы).
-
В поле Source attribute (Исходный атрибут) выберите sAMAccountName.
-
-
-
Нажмите Сохранить.
-
В списке атрибутов и утверждений теперь должны быть перечислены следующие утверждения:
-
displayname
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Сохраните эти значения для дальнейшего использования при настройке конфигурации поставщика удостоверений в клиенте Qlik Cloud.
-
-
Назначение пользователей и групп
-
Откройте Users and groups (Пользователи и группы) и щелкните Add user/group (Добавить пользователя/группу).
-
Назначьте пользователей и группы, которые будут использовать приложение для входа.
-
-
Получение метаданных поставщика удостоверений.
-
Откройте SAML Certificates (Сертификаты SAML).
-
Загрузите файл Federation Metadata XML (XML метаданных федерации).
Этот файл потребуется в дальнейшем при настройке в Qlik Cloud.
-
Создание и проверка конфигурации поставщика удостоверений в Qlik Cloud
Выполните вход в Qlik Cloud в качестве администратора клиента, чтобы настроить конфигурацию поставщика удостоверений.
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщик удостоверений и выберите Создать.
-
В поле Тип выберите SAML.
-
В поле Поставщик выберите Microsoft Entra ID (Azure AD).
-
Также можно ввести описание для конфигурации поставщика удостоверений.
-
Установите флажок Использовать метаданные IdP.
-
В поле Метаданные SAML IdP щелкните Загрузить файл и выберите файл метаданных, загруженный при настройке Microsoft Entra ID.
-
В области Сопоставление утверждений настройте имя, адрес электронной почты и группы в соответствии с именами утверждений из Microsoft Entra ID.
-
Щелкните Создать.
-
В диалоговом окне Создание интерактивного поставщика удостоверений снимите флажок Проверить IdP, затем нажмите кнопку Создать.
Это создает конфигурацию поставщика удостоверений без немедленной проверки. Проверка будет выполняться на более позднем этапе.Примечание к информацииПри необходимости можно выполнить проверку сейчас. Однако рекомендуется сначала выполнить инструкции следующего раздела и загрузить файл сертификата в Microsoft Entra ID.
Настройка проверки подписи запроса SAML
Загрузите сертификат подписи запроса SAML для Qlik Cloud и загрузите его в Microsoft Entra ID.
Выполните следующие действия.
-
В центре активности Qlik Cloud Администрирование перейдите в раздел Поставщики удостоверений.
-
В конфигурации поставщика удостоверений SAML щелкните и выберите Просмотреть конфигурацию поставщика.
-
Выберите Загрузить сертификат подписи, затем нажмите кнопку Готово.
Вернитесь к приложению SAML в Microsoft Entra ID.
Выполните следующие действия.
-
В Microsoft Entra ID выберите приложение SAML и откройте Single sign-on (Единый вход).
-
В поле Verification certificates (optional) (Сертификаты верификации (необязательно)) щелкните Edit (Редактировать).
-
Установите флажок Require verification certificates (Требовать сертификаты верификации).
-
Нажмите кнопку Upload certificate (Загрузить сертификат), затем укажите путь к файлу сертификата подписи.
-
Нажмите Сохранить.
Служба Microsoft Entra ID сейчас настроена для проверки подписей запросов SAML. Вернитесь в Qlik Cloud, чтобы начать проверку.
Проверка поставщика удостоверений в Qlik Cloud
После успешной настройки Microsoft Entra ID можно выполнить проверку поставщика удостоверений в Qlik Cloud.
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Поставщики удостоверений.
-
Рядом с конфигурацией поставщика удостоверений SAML щелкните и выберите Проверить.
-
Следуйте инструкциям мастера проверки, чтобы выполнить вход в качестве пользователя, добавленного в приложение Microsoft Entra ID. Проверьте правильность данных профиля пользователя.
Будет предоставлена возможность повысить пользователя до администратора клиента Qlik Cloud и активировать поставщика удостоверений. Обратите внимание, что при активации поставщика удостоверений деактивируется ранее настроенный интерактивный поставщик удостоверений в клиенте.