Kurz: Integrace jednotného přihlašování Microsoft Entra s využitím podnikového klienta Qlik Sense
V tomto kurzu se dozvíte, jak integrovat Qlik Sense Enterprise Client-Managed s Microsoft Entra ID. Když integrujete klienta Qlik Sense Enterprise spravovaného s Microsoft Entra ID, můžete:
- Řízení v Microsoft Entra ID, který má přístup k Qlik Sense Enterprise.
- Povolte uživatelům, aby se k Qlik Sense Enterprise automaticky přihlásili pomocí svých účtů Microsoft Entra.
- Spravujte účty v jednom centrálním umístění.
Existují dvě verze Qlik Sense Enterprise. I když se tento kurz zabývá integrací s verzemi spravovanými klientem, pro Qlik Sense Enterprise SaaS (verze Qlik Cloudu) se vyžaduje jiný proces.
Požadavky
Abyste mohli začít, potřebujete následující položky:
- Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
- Předplatné s povoleným jednotným přihlašováním (SSO) pro Qlik Sense Enterprise
- Spolu se správcem cloudových aplikací může správce aplikací také přidávat nebo spravovat aplikace v Microsoft Entra ID. Další informace najdete v tématu Předdefinované role v Azure.
Popis scénáře
V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.
- Qlik Sense Enterprise podporuje jednotné přihlašování iniciované aktualizací SP .
- Qlik Sense Enterprise podporuje zřizování za běhu
Přidání Qlik Sense Enterprise z galerie
Pokud chcete nakonfigurovat integraci Qlik Sense Enterprise do Microsoft Entra ID, musíte přidat Qlik Sense Enterprise z galerie do seznamu spravovaných aplikací SaaS.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
- V části Přidat z galerie zadejte do vyhledávacího pole Qlik Sense Enterprise.
- Na panelu výsledků vyberte Qlik Sense Enterprise a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.
Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.
Konfigurace a testování jednotného přihlašování Microsoft Entra pro Qlik Sense Enterprise
Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Qlik Sense Enterprise pomocí testovacího uživatele s názvem Britta Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Qlik Sense Enterprise.
Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s Qlik Sense Enterprise, proveďte následující kroky:
- Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
- Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí Britta Simon.
- Přiřaďte testovacího uživatele Microsoft Entra , aby britta Simon mohl používat jednotné přihlašování Microsoft Entra.
- Konfigurace jednotného přihlašování Qlik Sense Enterprise – konfigurace nastavení jednotného přihlašování na straně aplikace
- Vytvořte testovacího uživatele Qlik Sense Enterprise – aby měl protějšk Britta Simon v Qlik Sense Enterprise, který je propojený s reprezentací uživatele Microsoft Entra.
- Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
Konfigurace jednotného přihlašování Microsoft Entra
Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
Přejděte na stránku integrace podnikových aplikací>Identity>Applications>Qlik Sense Enterprise, vyhledejte oddíl Spravovat a vyberte Jednotné přihlašování.
Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.
Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.
V části Základní konfigurace SAML proveďte následující kroky:
a. Do textového pole Identifikátor zadejte adresu URL pomocí jednoho z následujících vzorů:
Identifikátor https://<Fully Qualified Domain Name>.qlikpoc.com
https://<Fully Qualified Domain Name>.qliksense.com
b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/
c. Do textového pole Přihlásit se na adresu URL zadejte adresu URL pomocí následujícího vzoru:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub
Poznámka:
Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL, které jsou vysvětleny dále v tomto kurzu, nebo se obraťte na tým podpory Qlik Sense Enterprise Client a získejte tyto hodnoty. Výchozí port adres URL je 443, ale můžete ho přizpůsobit podle potřeby vaší organizace.
Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML najděte XML federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.
Vytvoření testovacího uživatele Microsoft Entra
V této části vytvoříte testovacího uživatele s názvem Britta Simon.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
- Ve vlastnostech uživatele postupujte takto:
- Do pole Zobrazovaný název zadejte
B.Simon
. - Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například
B.Simon@contoso.com
. - Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu zobrazenou v poli Heslo.
- Vyberte Zkontrolovat a vytvořit.
- Do pole Zobrazovaný název zadejte
- Vyberte Vytvořit.
Přiřazení testovacího uživatele Microsoft Entra
V této části povolíte Britta Simonu používat jednotné přihlašování Azure tím, že udělíte přístup ke službě Qlik Sense Enterprise.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte k podnikovým aplikacím>Identity>Applications>Qlik Sense Enterprise.
- Na stránce s přehledem aplikace najděte oddíl Spravovat a vyberte Uživatelé a skupiny.
- Vyberte Přidat uživatele a potom v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
- V dialogovém okně Uživatelé a skupiny vyberte Britta Simon ze seznamu Uživatelé a pak vyberte tlačítko Vybrat v dolní části obrazovky.
- Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
- V dialogovém okně Přidané zadání vyberte tlačítko Přiřadit .
Konfigurace jednotného přihlašování Qlik Sense Enterprise
Přejděte do konzoly pro správu Qlik Sense Qlik (QMC) jako uživatel, který může vytvářet konfigurace virtuálního proxy serveru.
V QMC vyberte položku nabídky Virtuální proxy servery.
V dolní části obrazovky vyberte tlačítko Vytvořit nový .
Zobrazí se obrazovka pro úpravy virtuálního proxy serveru. Na pravé straně obrazovky je nabídka pro zobrazení možností konfigurace.
Se zaškrtnutou možností Nabídky Identifikace zadejte identifikační informace pro konfiguraci virtuálního proxy serveru Azure.
a. Pole Popis je popisný název konfigurace virtuálního proxy serveru. Zadejte hodnotu popisu.
b. Pole Předpona identifikuje koncový bod virtuálního proxy serveru pro připojení ke službě Qlik Sense pomocí jednotného přihlašování Microsoft Entra. Zadejte jedinečný název předpony pro tento virtuální proxy server.
c. Časový limit nečinnosti relace (minuty) je časový limit pro připojení prostřednictvím tohoto virtuálního proxy serveru.
d. Název hlavičky souboru cookie relace je název souboru cookie, který ukládá identifikátor relace pro relaci Qlik Sense, kterou uživatel obdrží po úspěšném ověření. Tento název musí být jedinečný.
Kliknutím na možnost Nabídky Ověřování ho zviditelněte. Zobrazí se obrazovka Ověřování.
a. Rozevírací seznam anonymního režimu přístupu určuje, jestli anonymní uživatelé mohou přistupovat ke službě Qlik Sense prostřednictvím virtuálního proxy serveru. Výchozí možností je neanonymní uživatel.
b. Rozevírací seznam Metody ověřování určuje schéma ověřování, které virtuální proxy server používá. V rozevíracím seznamu vyberte SAML. V důsledku toho se zobrazí další možnosti.
c. Do pole identifikátoru URI hostitele SAML zadejte název hostitele, který uživatelé zadají pro přístup ke službě Qlik Sense prostřednictvím tohoto virtuálního proxy serveru SAML. Název hostitele je identifikátor URI serveru Qlik Sense.
d. Do ID entity SAML zadejte stejnou hodnotu zadaná pro pole identifikátoru URI hostitele SAML.
e. Metadata zprostředkovatele identity SAML jsou soubor upravovaný dříve v části Upravit federační metadata z části Konfigurace Microsoft Entra. Před nahráním metadat zprostředkovatele identity je potřeba soubor upravit, aby se odebraly informace, aby se zajistila správná operace mezi Microsoft Entra ID a serverem Qlik Sense. Pokud soubor ještě není upravovaný, projděte si výše uvedené pokyny. Pokud byl soubor upraven, vyberte na tlačítku Procházet a vyberte upravený soubor metadat, který chcete nahrát do konfigurace virtuálního proxy serveru.
f. Zadejte název atributu nebo odkaz na schéma pro atribut SAML představující ID UserID Microsoft Entra ID odesílá na server Qlik Sense. Referenční informace o schématu jsou k dispozici na obrazovkách aplikací Azure po konfiguraci. Pokud chcete použít atribut name, zadejte
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.g. Zadejte hodnotu uživatelského adresáře , který se připojí k uživatelům při ověřování na serveru Qlik Sense prostřednictvím Microsoft Entra ID. Pevně zakódované hodnoty musí být ohraničené hranatými závorkami []. Pokud chcete použít atribut odeslaný v kontrolním výrazu Microsoft Entra SAML, zadejte název atributu do tohoto textového pole bez hranatých závorek.
h. Podpisový algoritmus SAML nastaví pro konfiguraci virtuálního proxy serveru podpis certifikátu Qlik Sense (v tomto případě server Qlik Sense). Pokud server Qlik Sense používá důvěryhodný certifikát vygenerovaný pomocí poskytovatele kryptografických služeb Microsoft Enhanced RSA a AES, změňte podpisový algoritmus SAML na SHA-256.
i. Oddíl mapování atributů SAML umožňuje odesílání dalších atributů, jako jsou skupiny, do Qlik Sense pro použití v pravidlech zabezpečení.
Výběrem možnosti nabídky VYROVNÁVÁNÍ ZATÍŽENÍ ji zviditelníte. Zobrazí se obrazovka vyrovnávání zatížení.
Vyberte na tlačítku Přidat nový uzel serveru, vyberte uzel modulu nebo uzly Qlik Sense odesílat relace pro účely vyrovnávání zatížení a vyberte tlačítko Přidat .
Pokud chcete, aby byla zobrazená, vyberte v nabídce Upřesnit. Zobrazí se obrazovka Upřesnit.
Seznam povolených hostitelů identifikuje názvy hostitelů, které jsou přijímány při připojování k serveru Qlik Sense. Zadejte název hostitele, který uživatelé určí při připojování k serveru Qlik Sense. Název hostitele je stejná hodnota jako identifikátor URI hostitele SAML bez
https://
.Vyberte tlačítko Použít.
Výběrem možnosti OK přijměte zprávu s upozorněním, že se restartuje proxy server propojený s virtuálním proxy serverem.
Na pravé straně obrazovky se zobrazí nabídka Přidružené položky. Vyberte možnost nabídky Proxy servery .
Zobrazí se obrazovka proxy serveru. Výběrem tlačítka Propojit v dolní části propojte proxy server s virtuálním proxy serverem.
Vyberte uzel proxy, který podporuje toto připojení k virtuálnímu proxy serveru, a vyberte tlačítko Propojit . Po propojení bude proxy server uvedený v přidružených proxy serverech.
Po přibližně pěti až 10 sekundách se zobrazí zpráva Aktualizované QMC. Vyberte tlačítko Aktualizovat QMC.
Když se QMC aktualizuje, vyberte položku nabídky Virtuální proxy servery. Nová položka virtuálního proxy serveru SAML je uvedená v tabulce na obrazovce. Jeden výběr položky virtuálního proxy serveru.
V dolní části obrazovky se aktivuje tlačítko Stáhnout metadata SP. Výběrem tlačítka Stáhnout metadata SP uložte metadata do souboru.
Otevřete soubor metadat sp. Prohlédněte si položku entityID a položku AssertionConsumerService . Tyto hodnoty jsou ekvivalentní identifikátoru, přihlašovací adrese URL a adrese URL odpovědi v konfiguraci aplikace Microsoft Entra. Tyto hodnoty vložte do části Doména a adresy URL služby Qlik Sense v konfiguraci aplikace Microsoft Entra, pokud se shodují, pak byste je měli nahradit v průvodci konfigurací aplikace Microsoft Entra.
Vytvoření testovacího uživatele Qlik Sense Enterprise
Qlik Sense Enterprise podporuje zřizování za běhu, uživatelé se automaticky přidají do úložiště USERS služby Qlik Sense Enterprise, protože používají funkci jednotného přihlašování. Kromě toho můžou klienti používat QMC a vytvořit UDC (User Directory Connector) pro přípravu uživatelů ve službě Qlik Sense Enterprise ze svého výběru ldap, jako je Active Directory a další.
Testování jednotného přihlašování
V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.
Vyberte možnost Otestovat tuto aplikaci. Tím se přesměruje na adresu URL podnikového přihlašování Qlik Sense, kde můžete zahájit tok přihlášení.
Přejděte přímo na přihlašovací adresu URL služby Qlik Sense Enterprise a spusťte tok přihlášení odsud.
Můžete použít Microsoft Moje aplikace. Když v Moje aplikace vyberete dlaždici Qlik Sense Enterprise, přesměruje se na adresu URL podnikového přihlašování Qlik Sense. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.
Další kroky
Jakmile nakonfigurujete Qlik Sense Enterprise, můžete vynutit řízení relace, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.