将 Microsoft Entra ID 配置为 SAML 身份提供者
本主题介绍如何将 Microsoft Entra ID(以前称为 Azure AD)设置为 Qlik Cloud 的身份提供者。
在 Microsoft Entra ID 中配置 SAML 应用程序
第一步是在Microsoft Entra ID中设置 SAML 应用程序,以信任您的 Qlik Cloud 租户作为服务提供者 (SP)。
执行以下操作:
-
在 Microsoft Entra 管理员中心中,转到企业应用程序 > 新建应用程序。
-
单击创建您自己的应用程序。
-
输入应用程序的名称。
-
转到单点登录,然后选择 SAML 作为单点登录方法。
-
在使用 SAML 设置单点登录页面上,输入以下信息:
设置 值 标识符(实体 ID) 您的原始租户主机名 回复 URL (Assertion Consumer Service URL) 原始租户主机名,主机名末尾附加路径 /login/saml -
转到属性和声明部分,然后单击编辑以配置显示名称和组。
-
选择添加新索赔并输入以下信息:
设置 值 名称 displayname 源 属性 源属性 user.displayname -
单击保存。
-
选择添加组声明。
组声明的配置取决于管理组的位置。
-
如果您的组是云管理的:
-
选择分配给应用程序作为关联组的组。
-
选择仅云组显示名称作为源属性。
信息注释您还必须将相关组分配给应用程序,以便它们出现在声明中。
-
-
如果您使用的是 Microsoft Entra Connect:
-
选择所有组作为关联组。
-
选择 sAMAccountName 作为源属性。
-
-
-
单击保存。
-
在“属性和声明”下,现在应该列出以下声明:
-
displayname
-
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
-
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
保存这些值,以便以后在 Qlik Cloud 租户中设置 IdP 配置时使用。
-
-
分配用户和组。
-
转到用户和组,然后单击添加用户/组。
-
分配将使用该应用程序进行登录的用户和组。
-
-
检索 IdP 元数据。
-
转到 SAML 证书。
-
下载联合元数据 XML。
稍后在 Qlik Cloud 中进行安装时需要此文件。
-
在 Qlik Cloud 中创建和验证 IdP 配置
以租户管理员身份登录 Qlik Cloud 以创建 IdP 配置。
执行以下操作:
-
在 Administration 活动中心中,转到身份提供者,然后单击新建。
-
选择 SAML 作为类型。
-
选择 Microsoft Entra ID (Azure AD) 作为提供者。
-
(可选)输入 IdP 配置的描述。
-
选择使用 IdP 元数据。
-
在 SAML-IdP 元数据下,单击上传文件并选择在 Microsoft Entra ID 设置过程中下载的元数据文件。
-
在声明映射下,将名称、电子邮件和组设置为 Microsoft Entra ID 中的声明名称。
-
单击创建。
-
在创建交互式身份提供者对话框中,清除验证 IdP复选框,然后单击创建。
这样会在没有立即验证的情况下创建 IdP 配置。验证将在稍后阶段进行。信息注释如果愿意,现在可以进行验证。但是,我们建议您先完成下一部分并上传 Microsoft Entra ID 中的证书文件。
配置 SAML 请求签名验证
下载 Qlik Cloud SAML 请求签名证书,并将其上传到 Microsoft Entra ID 中。
执行以下操作:
-
在 Qlik Cloud Administration 活动中心,转到身份提供者。
-
在 SAML IdP 配置中,单击 并选择查看提供者配置。
-
选择下载签名证书,然后单击完成。
返回到 Microsoft Entra ID 中的 SAML 应用程序。
执行以下操作:
-
在 Microsoft Entra ID 中,选择您的 SAML 应用程序,然后转到单点登录。
-
在验证证书(可选)下,单击编辑。
-
选择要求验证证书。
-
单击上传证书,然后找到签名证书文件。
-
单击保存。
Microsoft Entra ID 现已设置为可验证 SAML 请求签名。返回 Qlik Cloud 以开始验证。
在 Qlik Cloud 中验证您的身份提供者
成功设置 Microsoft Entra ID 后,您可以在 Qlik Cloud 中验证 IdP 配置。
执行以下操作:
-
在 Administration 活动中心,转到身份提供者。
-
在 SAML IdP 配置中,单击 并选择验证。
-
按照验证向导中的步骤,作为添加到 Microsoft Entra ID 应用程序的用户执行登录。验证用户配置文件数据是否正确。
您将看到将用户提升为 Qlik Cloud 租户管理员和激活 IdP 的选项。请注意,激活 IdP 将停用租户中任何先前配置的交互式身份提供者。