在 Microsoft Entra ID 中为 Qlik Cloud 配置 SCIM 配置

配置 SCIM 的 Qlik Cloud 后，必须在 Microsoft Entra ID（之前名为 Azure AD）中配置 SCIM 配置。

SCIM 的 Microsoft Entra ID 要求

• Microsoft Entra ID 带 P1 订阅或更高版本（之前名为 Microsoft Azure Active Directory P1）

• Microsoft Azure 门户访问权限和为您的 Microsoft Entra ID 创建企业应用程序的权限。

• 您 Microsoft Entra ID 中的企业应用程序注册表中有两个独立的应用程序。

SCIM 配置的 Microsoft Entra ID 配置步骤

执行以下操作：

1. 导航到 entra.microsoft.com 上的 Microsoft Entra ID 管理中心。

2. 前往标识 > 应用程序 > 企业应用程序。

   

   或者，如果您从常规 Azure 门户进入，请从 Microsoft Entra ID 菜单中选择企业应用程序。

   

3. 单击 +新建应用程序以设置配置应用程序。

4. 在浏览 Microsoft Entra ID 库页面中，单击 + 创建自己的应用程序。

5. 在创建自己的应用程序对话框中，键入配置应用程序的名称，然后选择集成库中找不到的任何其他应用程序。

   

6. 单击创建。

7. 要对配置过程进行配置，请从概览页面的管理部分选择配置。

   

8. 从菜单中选择自动。进行此选择后，将显示配置屏幕。

9. 通过完成管理员凭据开始配置。

   • 粘贴在 Qlik Cloud 中启用自动配置时获得的租户 URL。

   • 将令牌粘贴到密钥令牌框。

   • 单击测试连接。

   

   信息注释主机名不是 Qlik Cloud 租户别名。主机名是创建 Qlik Cloud 租户时提供给它的默认名称

10. 选择映射，然后单击配置 Microsoft Entra ID 用户以配置自动配置服务，用于 Qlik Cloud 租户。

11. Qlik Cloud 需要一组特定的属性来同步 Microsoft Entra ID 中的用户，如下所示。

    

    SCIM 在 Qlik Cloud 和 Microsoft Entra ID 之间的工作方式是首先匹配用户的电子邮件地址（邮件），以配置和同步与用户的组成员资格或对 Qlik Cloud 的访问权限相关的任何更改。

    信息注释如果 UserPrincipalName 是有效的电子邮件地址，并且与用户身份验证期间发送的电子邮件属性中的值相同，则可以使用 UserPrincipal Name 属性代替 mail 属性。

    以下步骤配置用户属性映射。

    1. 在属性映射的顶部，保留所有默认选择。

       

    2. 在属性映射部分中，删除以下属性之外的所有属性：

       • userPrincipalName

       • 邮件

       • Switch([IsSoftDeleted], , "False", "True", "True", "False")

       • Join(" ", [givenName], [surname])

       • mailNickname

       如果未删除这些属性，Qlik Cloud 和 Microsoft Entra ID 之间的配置和同步流将失败

       

    3. 单击 userPrincipalName 打开属性配置。

    4. 在 userPrincipalName 属性配置对话框中，将源属性设置为 objectId，将匹配优先级值设置为 2。

       单击确定保存更改。

       

    5. 单击 mail 打开属性配置对话框。

    6. 在 mail 属性配置对话框中，将“使用此属性匹配对象设置为是，将匹配优先级值设置为 1。

       单击确定保存更改。

    7. 单击 mailNickname 打开属性配置。

    8. 在 mailNickname 属性配置对话框中，将源属性设置为 objectId。

       单击确定保存更改。

    9. 完成这些步骤后，属性映射部分如下所示。

       

    10. 单击配置页面顶部的保存以应用更改。

12. 您可能会收到消息，解释更改需要完全重新同步。假设这是使用 Qlik Cloud 的 SCIM 的初始配置，请单击是。

    属性映射配置现在已完成。

13. 以下步骤将用户和组从 Microsoft Entra ID 添加到 Qlik Cloud。

    1. 单击配置或应用程序菜单的管理部分下的用户和组。

       

    2. 将显示“用户和组”表。单击添加用户/组以添加分配。

    3. 在添加分配对话框中，单击未选择以添加用户和组。

       将显示用户和组对话框。

    4. 搜索并添加要通过此对话框配置的用户和组。在本例中，已选中赏金猎手组。

       

       单击选择确认选择。

    5. 如果要添加组，添加分配对话框将显示一条警告，说明将只配置直接添加到组的用户。Microsoft Entra ID 和 SCIM 配置不支持级联嵌套组。

    6. 单击分配将组添加到配置应用程序。

       该组现在显示在配置应用程序的用户和组部分中。

       

14. 要启用自动配置，请转到应用程序的配置部分的概览页面，然后单击开始配置。

    信息注释在第一个配置任务期间，配置可能需要几分钟到几个小时才能完成，具体取决于要配置的用户和组的数量。这是 SCIM 配置功能的限制。

15. 刷新浏览器中的页面。如果配置过程仍未运行，请从菜单中单击按需配置。

    

16. 配置过程运行后，概览页面将在浏览器中的页面刷新时更新并显示状态。

    

17. 要查看同步，请单击查看配置日志以查看更多详细信息。

    

在 Qlik Cloud 和 Microsoft Entra ID 之间使用 SCIM 的最佳实践

• 使用 Microsoft Entra ID 进行 SCIM 配置的一个好处是，它使管理员能够选择有权访问目标应用程序的组，如 Qlik Cloud。建议随时间推移按需要只添加代表用户和用例的组。这使得 Qlik Cloud 访问控制和权限更易于管理。

• 为 SCIM 配置做好准备，以便在配置作业期间花费较长时间同步用户和组。所需的时间取决于在 Microsoft Entra ID 中添加到应用程序的用户和组的数量。

• 如果要向 Qlik Cloud 提供大量用户，可以考虑向包含大量用户的应用程序添加一个组，这样就不必手动将每个用户添加到应用程序中。