将 Microsoft Entra ID 配置为 SAML 身份提供者

本主题介绍如何将 Microsoft Entra ID（以前称为 Azure AD）设置为 Qlik Cloud 的身份提供者。

在 Microsoft Entra ID 中配置 SAML 应用程序

第一步是在Microsoft Entra ID中设置 SAML 应用程序，以信任您的 Qlik Cloud 租户作为服务提供者 (SP)。

执行以下操作：

1. 在 Microsoft Entra 管理员中心中，转到企业应用程序 > 新建应用程序。

2. 单击创建您自己的应用程序。

3. 输入应用程序的名称。

4. 转到单点登录，然后选择 SAML 作为单点登录方法。

5. 在使用 SAML 设置单点登录页面上，输入以下信息：

   设置	值
   标识符（实体 ID）	您的原始租户主机名
   回复 URL (Assertion Consumer Service URL)	原始租户主机名，主机名末尾附加路径 /login/saml

   

6. 转到属性和声明部分，然后单击编辑以配置显示名称和组。

7. 选择添加新索赔并输入以下信息：

   设置	值
   名称	displayname
   源	属性
   源属性	user.displayname

   

8. 单击保存。

9. 选择添加组声明。

   组声明的配置取决于管理组的位置。

   1. 如果您的组是云管理的：

      • 选择分配给应用程序作为关联组的组。

      • 选择仅云组显示名称作为源属性。
        

        信息注释您还必须将相关组分配给应用程序，以便它们出现在声明中。

   2. 如果您使用的是 Microsoft Entra Connect：

      • 选择所有组作为关联组。

      • 选择 sAMAccountName 作为源属性。

10. 单击保存。

11. 在“属性和声明”下，现在应该列出以下声明：

    • displayname

    • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    保存这些值，以便以后在 Qlik Cloud 租户中设置 IdP 配置时使用。

    

12. 分配用户和组。

    1. 转到用户和组，然后单击添加用户/组。

    2. 分配将使用该应用程序进行登录的用户和组。

       

13. 检索 IdP 元数据。

    1. 转到 SAML 证书。

    2. 下载联合元数据 XML。
       稍后在 Qlik Cloud 中进行安装时需要此文件。

       

在 Qlik Cloud 中创建和验证 IdP 配置

以租户管理员身份登录 Qlik Cloud 以创建 IdP 配置。

执行以下操作：

1. 在 Administration 活动中心中，转到身份提供者，然后单击新建。

2. 选择 SAML 作为类型。

3. 选择 Microsoft Entra ID (Azure AD) 作为提供者。

4. （可选）输入 IdP 配置的描述。

5. 选择使用 IdP 元数据。

6. 在 SAML-IdP 元数据下，单击上传文件并选择在 Microsoft Entra ID 设置过程中下载的元数据文件。

   

7. 在声明映射下，将名称、电子邮件和组设置为 Microsoft Entra ID 中的声明名称。

   

8. 单击创建。

9. 在创建交互式身份提供者对话框中，清除验证 IdP复选框，然后单击创建。
   这样会在没有立即验证的情况下创建 IdP 配置。验证将在稍后阶段进行。

   信息注释如果愿意，现在可以进行验证。但是，我们建议您先完成下一部分并上传 Microsoft Entra ID 中的证书文件。

配置 SAML 请求签名验证

下载 Qlik Cloud SAML 请求签名证书，并将其上传到 Microsoft Entra ID 中。

执行以下操作：

1. 在 Qlik Cloud Administration 活动中心，转到身份提供者。

2. 在 SAML IdP 配置中，单击 并选择查看提供者配置。

3. 选择下载签名证书，然后单击完成。

返回到 Microsoft Entra ID 中的 SAML 应用程序。

执行以下操作：

1. 在 Microsoft Entra ID 中，选择您的 SAML 应用程序，然后转到单点登录。

2. 在验证证书（可选）下，单击编辑。

   

3. 选择要求验证证书。

   

4. 单击上传证书，然后找到签名证书文件。

5. 单击保存。

Microsoft Entra ID 现已设置为可验证 SAML 请求签名。返回 Qlik Cloud 以开始验证。

在 Qlik Cloud 中验证您的身份提供者

成功设置 Microsoft Entra ID 后，您可以在 Qlik Cloud 中验证 IdP 配置。

执行以下操作：

1. 在 Administration 活动中心，转到身份提供者。

2. 在 SAML IdP 配置中，单击 并选择验证。

3. 按照验证向导中的步骤，作为添加到 Microsoft Entra ID 应用程序的用户执行登录。验证用户配置文件数据是否正确。

   您将看到将用户提升为 Qlik Cloud 租户管理员和激活 IdP 的选项。请注意，激活 IdP 将停用租户中任何先前配置的交互式身份提供者。