設定 Microsoft Entra ID 作為 SAML 識別提供者

此主題描述如何設定 Microsoft Entra ID (之前稱為 Azure AD) 作為 Qlik Cloud 的識別提供者。

在 Microsoft Entra ID 中設定 SAML 應用程式

第一步是在 Microsoft Entra ID 中設定 SAML 應用程式，以服務提供者 (SP) 的身分信任 Qlik Cloud 租用戶。

請執行下列動作：

1. 在 Microsoft Entra 管理員中心，前往企業應用程式 > 新的應用程式。

2. 按一下建立自己的應用程式。

3. 輸入應用程式的名稱。

4. 前往單一登入並選取 SAML 作為單一登入方法。

5. 在透過 SAML 設定單一登入頁面，輸入下列資訊：

   設定	值
   識別碼 (實體 ID)	您的原始租用戶主機名稱
   回覆 URL (判斷消費者服務 URL)	路徑為 /login/saml 的原始租用戶主機名稱已附加至主機名稱末尾

   

6. 前往屬性與宣告區段，並按一下編輯以設定顯示名稱和群組。

7. 選取新增宣告並輸入下列資訊：

   設定	值
   名稱	顯示名稱
   來源	屬性
   來源屬性	user.displayname

   

8. 按一下儲存。

9. 選取新增群組宣告。

   群組宣告的設定取決於管理群組的位置。

   1. 若群組是雲端管理：

      • 選取指派至應用程式的群組作為關聯群組。

      • 對於來源屬性，選取僅雲端群組顯示名稱。
        

        資訊備註您也必須將相關群組指派至應用程式，以顯示在宣告中。

   2. 若您使用 Microsoft Entra Connect：

      • 選取所有群組作為關聯群組。

      • 對於來源屬性，選取 sAMAccountName。

10. 按一下儲存。

11. 在屬性和宣告之下，現在應列出了下列宣告：

    • 顯示名稱

    • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    儲存這些值，以供之後在 Qlik Cloud 租用戶中進行 IdP 設定時使用。

    

12. 指派使用者和群組。

    1. 前往使用者和群組並按一下新增使用者/群組。

    2. 指派將會使用應用程式進行登入的使用者和群組。

       

13. 擷取 IdP 中繼資料。

    1. 前往 SAML 憑證。

    2. 下載同盟中繼資料 XML。
       您之後在 Qlik Cloud 中設定時需要此檔案。

       

在 Qlik Cloud 中建立並驗證 IdP 設定

以租用戶管理員的身分登入 Qlik Cloud，以建立 IdP 設定。

請執行下列動作：

1. 在 管理主控台 中，前往識別提供者，並按一下新建。

2. 對於類型，選取 SAML。

3. 對於提供者，選取 Microsoft Entra ID (Azure AD)。

4. 或者，輸入 IdP 設定的描述。

5. 選取使用 IdP 中繼資料。

6. 在 SAML IdP 中繼資料之下，按一下上傳檔案並選取在 Microsoft Entra ID 設定期間下載的中繼資料檔案。

   

7. 在宣告對應之下，從 Microsoft Entra ID 將名稱、電子郵件和群組設定為宣告名稱。

   

8. 按一下建立。

9. 在建立互動式識別提供者對話方塊中，清除驗證 IdP 核取方塊，然後按一下建立。
   這會建立 IdP 設定，而不必立即驗證。將會在之後的階段執行驗證。

   資訊備註如有偏好，您可以立即驗證。不過，我們建議您先完成下一個區段並在 Microsoft Entra ID 上傳憑證檔案。

設定 SAML 請求簽名驗證

下載簽署憑證的 Qlik Cloud SAML 請求並在 Microsoft Entra ID 上傳。

請執行下列動作：

1. 在 Qlik Cloud 管理主控台中，前往識別提供者。

2. 在 SAML IdP 設定，按一下 ，並選取檢視提供者設定。

3. 選取下載簽署憑證，然後按一下完成。

在 Microsoft Entra ID 中返回 SAML 應用程式。

請執行下列動作：

1. 在 Microsoft Entra ID 中，選取 SAML 應用程式並前往單一登入。

2. 在驗證憑證 (選用) 之下，按一下編輯。

   

3. 選取需要驗證憑證。

   

4. 按一下上傳憑證，然後找到簽署憑證檔案。

5. 按一下儲存。

現在已設定 Microsoft Entra ID，可驗證 SAML 請求簽名。返回 Qlik Cloud 以開始驗證。

在 Qlik Cloud 中驗證識別提供者

成功設定 Microsoft Entra ID 之後，您可以在 Qlik Cloud 中驗證 IdP 設定。

請執行下列動作：

1. 在 管理主控台 中，前往識別提供者。

2. 在 SAML IdP 設定上，按一下 並選取驗證。

3. 按照驗證精靈中的步驟，以新增至 Microsoft Entra ID 應用程式的使用者身分執行登入。驗證使用者設定檔資料是否正確。

   將會向您呈現選項，以將使用者晉升為 Qlik Cloud 租用戶管理員，並啟用 IdP。請注意，啟用 IdP 將會在租用戶中停用任何先前設定的互動式識別提供者。