Leer en inglés

Compartir a través de

Integración del inicio de sesión único de Qlik Sense Enterprise con Microsoft Entra Client-Managed

  • Artículo

En este tutorial, aprenderá a integrar Qlik Sense Enterprise Client-Managed con Microsoft Entra ID. Al integrar Qlik Sense Enterprise Client-Managed con Microsoft Entra ID, puede hacer lo siguiente:

  • Controlar en Microsoft Entra ID quién tiene acceso a Qlik Sense Enterprise.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Qlik Sense Enterprise con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Hay dos versiones de Qlik Sense Enterprise. Aunque en este tutorial se trata la integración con las versiones administradas por el cliente, se requiere un proceso diferente para Qlik Sense Enterprise SaaS (versión de Qlik Cloud).

Requisitos previos

Para empezar, necesitas los siguientes elementos:

  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Suscripción habilitada para el inicio de sesión único (SSO) en Qlik Sense Enterprise
  • Junto con el administrador de aplicaciones en la nube, el administrador de aplicaciones también puede agregar o administrar aplicaciones en Microsoft Entra ID. Para más información, consulte Roles integrados en Azure.

Descripción del escenario

En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

  • Qlik Sense Enterprise admite el inicio de sesión único iniciado por SP.
  • Qlik Sense Enterprise admite el aprovisionamiento Just-In-Time

Para configurar la integración de Qlik Sense Enterprise en Microsoft Entra ID, deberá agregar esta solución desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Qlik Sense Enterprise en el cuadro de búsqueda.
  4. Seleccione Qlik Sense Enterprise en el panel de resultados y, luego, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación, asignar roles y recorrer la configuración de inicio de sesión único. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Qlik Sense Enterprise

Configure y pruebe el inicio de sesión único de Microsoft Entra con Qlik Sense Enterprise mediante un usuario de prueba llamado Britta Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Qlik Sense Enterprise.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Qlik Sense Enterprise, siga estos pasos:

  1. Configure el inicio de sesión único de Microsoft Entra para que los usuarios puedan utilizar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
    2. Asigne el usuario de prueba de Microsoft Entra para que Britta Simon pueda usar el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único de Qlik Sense Enterprise: para configurar los valores de inicio de sesión único en la aplicación.
    1. Cree un usuario de prueba de Qlik Sense Enterprise, para tener un homólogo de Britta Simon en Qlik Sense Enterprise que esté vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales> página de integración de aplicaciones de Qlik Sense Enterprise, busque la sección Administrar y seleccione Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, seleccione SAML.

  4. En la página Configurar el inicio de sesión único con SAML, seleccione el icono con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.

    Captura de pantalla que muestra cómo editar la configuración básica de S A M L.

  5. En la sección Configuración básica de SAML, siga estos pasos:

    a. En el cuadro de texto Identificador, escriba una dirección URL con uno de los siguientes patrones:

    Identificador
    https://<Fully Qualified Domain Name>.qlikpoc.com
    https://<Fully Qualified Domain Name>.qliksense.com

    b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: .

    https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

    c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

    Nota

    Estos valores no son reales. Actualice estos valores con la dirección URL de respuesta, el identificador y la dirección URL de inicio de sesión reales, que se explican más adelante en el tutorial, o póngase en contacto con el equipo de soporte técnico del cliente Qlik Sense Enterprise para obtener estos valores. El puerto predeterminado de las direcciones URL es 443, pero se puede personalizar según las necesidades de la organización.

  6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de federación de metadatos en las opciones proporcionadas según sus requisitos y guárdelo en el equipo.

    Captura de pantalla del vínculo de descarga del Certificado.

Cree un usuario de prueba de Microsoft Entra

En esta sección, creará un usuario de prueba llamado Britta Simon.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Ve a Identidad>Usuarios>Todos los usuarios.
  3. Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, sigue estos pasos:
    1. En el campo Nombre para mostrar, escribe B.Simon.
    2. En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Active la casilla Mostrar contraseña y, después, anote el valor que se muestra en el cuadro Contraseña.
    4. Seleccione Revisar + crear.
  5. Selecciona Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, habilitará a Britta Simon para que use el inicio de sesión único de Azure concediéndole acceso a Qlik Sense Enterprise.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Qlik Sense Enterprise.
  3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
  4. Selecciona Agregar usuario y luego en el cuadro de diálogo Asignación agregada, selecciona Usuarios y grupos.
  5. En la lista de usuarios del cuadro de diálogo Usuarios y grupos, seleccione Britta Simon y haga clic en el botón Seleccionar en la parte inferior de la pantalla.
  6. Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
  7. En el cuadro de diálogo Agregar asignación, selecciona el botón Asignar.

Configuración del inicio de sesión único de Qlik Sense Enterprise

  1. Acceda a Qlik Sense Qlik Management Console (QMC) como un usuario que pueda crear configuraciones de proxy virtual.

  2. En el QMC, seleccione en el elemento de menú servidores proxy virtuales.

    Captura de pantalla que muestra la opción de proxies virtuales seleccionada en el menú de configurar sistema.

  3. En la parte inferior de la pantalla, seleccione el botón Crear nuevo.

    Captura de pantalla que muestra la opción para crear nuevo.

  4. Aparece la pantalla de edición Virtual Proxy (Proxy virtual). En la parte derecha de la pantalla hay un menú con el que puede hacer que se muestren las opciones de configuración.

    Captura de pantalla que muestra la opción de identificación seleccionada en las propiedades.

  5. Active la opción de menú Identificación y escriba la información de identificación de la configuración de proxy virtual de Azure.

    Captura de pantalla que muestra la sección para editar la identificación del proxy virtual, donde puede especificar los valores descritos.

    a. El campo Description (Descripción) es un nombre descriptivo de la configuración del proxy virtual. Escriba un valor para este campo.

    b. El campo Prefix (Prefijo) identifica el punto de conexión del proxy virtual para conectarse a Qlik Sense con el inicio de sesión único de Microsoft Entra. Escriba un nombre de prefijo único para este proxy virtual.

    c. Session inactivity timeout (minutes) (Tiempo de espera de inactividad de la sesión [minutos]) es el tiempo de espera de las conexiones que se establecen a través de este proxy virtual.

    d. Session cookie header name (Nombre de encabezado de cookie de sesión) es el nombre de la cookie que almacena el identificador de la sesión de Qlik Sense que recibe un usuario tras autenticarse correctamente. El nombre debe ser único.

  6. Haga clic en la opción de menú Autenticación para que se muestre. Aparecerá la pantalla Autenticación.

    Captura de pantalla que muestra la sección para editar la autenticación del proxy virtual, donde puede especificar los valores descritos.

    a. La lista desplegable Anonymous access mode (Modo de acceso anónimo) determina si los usuarios anónimos pueden acceder a Qlik Sense a través del proxy virtual. La opción predeterminada es No anonymous user (Ningún usuario anónimo).

    b. La lista desplegable Método de autenticación determina el esquema de autenticación que va a usar el proxy virtual. Seleccione SAML en la lista desplegable. Como resultado, aparecerán más opciones.

    c. En el campo SAML host URI (URI de host SAML), especifique el nombre de host que tienen que escribir los usuarios para acceder a Qlik Sense mediante este proxy virtual de SAML. El nombre de host es el URI del servidor de Qlik Sense.

    d. En el campo SAML entity ID (Id. de entidad SAML), escriba el mismo valor que especificó en el campo de URI de host SAML.

    e. SAML IdP metadata (Metadatos de IdP de SAML) es el archivo que se ha editado antes en la sección Modificación de los metadatos de federación desde la configuración de Microsoft Entra. Antes de cargar los metadatos de IdP, hay que editar el archivo para quitar información y, de este modo, garantizar que la conexión entre Microsoft Entra ID y el servidor de Qlik Sense se realice sin problemas. Consulte las instrucciones anteriores si aún no ha modificado el archivo. Si el archivo se ha editado, seleccione en el botón Examinar y seleccione el archivo de metadatos editado para cargarlo en la configuración del proxy virtual.

    f. Escriba el nombre de atributo o la referencia de esquema del atributo SAML que representa el valor UserID (identificador de usuario) que Microsoft Entra ID enviará al servidor de Qlik Sense. La información de referencia del esquema está disponible en las pantallas de la aplicación de Azure que aparecen tras el proceso de configuración. Para usar el atributo name, escriba http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    ej. Escriba el valor del directorio de usuarios que se asociará a los usuarios cuando se autentiquen en el servidor de Qlik Sense mediante Microsoft Entra ID. Los valores codificados deben estar entre corchetes. Para utilizar un atributo enviado en la aserción SAML de Microsoft Entra, escriba el nombre del atributo en este cuadro de texto sin corchetes.

    h. El algoritmo de firma SAML establece la firma de certificados del proveedor de servicios (en este caso, el servidor de Qlik Sense) en la configuración de proxy virtual. Si el servidor de Qlik Sense utiliza un certificado de confianza generado mediante el proveedor de servicios criptográficos AES y RSA mejorado de Microsoft, cambie el algoritmo de firma SAML a SHA-256.

    i. La sección de asignación de atributos SAML permite enviar otros atributos, como grupos, a Qlik Sense para utilizarse en reglas de seguridad.

  7. Haga clic en la opción de menú LOAD BALANCING (Equilibrio de carga) para que se muestre. Aparecerá la pantalla Equilibrio de carga.

    Captura de pantalla que muestra la pantalla de edición del proxy virtual para el equilibrio de carga, donde puede seleccionar la opción para agregar un nuevo nodo de servidor.

  8. Haga clic en el botón Add new server node (Agregar nuevo nodo de servidor), seleccione los nodos de motor a los que Qlik Sense enviará sesiones para equilibrar la carga y, luego, haga clic en el botón Add (Agregar).

    Captura de pantalla que muestra el cuadro de diálogo para agregar nodos de servidor donde equilibrar la carga, con el botón para agregar servidores.

  9. Seleccione en la opción de menú Opciones avanzadas para que sea visible. Aparece la pantalla Opciones avanzadas.

    Captura de pantalla que muestra la pantalla de edición avanzada del proxy virtual.

    La lista de hosts permitidos identifica los nombres de host que se aceptan al conectarse al servidor de Qlik Sense. Escriba el nombre de host que especifican los usuarios al conectarse al servidor de Qlik Sense. El nombre de host es el mismo valor que el URI de host SAML, pero sin https://.

  10. Seleccione el botón Aplicar.

    Captura de pantalla que muestra el botón para aplicar.

  11. Seleccione Aceptar para aceptar el mensaje de advertencia que indica que se reiniciará el proxy virtual vinculado al proxy virtual.

    Captura de pantalla que muestra el mensaje de confirmación para aplicar cambios al proxy virtual.

  12. En la parte derecha de la pantalla, aparece el menú de elementos Asociado. Seleccione en la opción de menú servidores proxy.

    Captura de pantalla que muestra la opción de servidores proxy seleccionada en los elementos asociados.

  13. Aparecerá la pantalla Servidores proxy. Seleccione el botón Link (Vincular) de la parte inferior para vincular un proxy al proxy virtual.

    Captura de pantalla que muestra el botón para vincular.

  14. Seleccione el nodo proxy que admite esta conexión de proxy virtual y seleccione el botón vínculo. Cuando termine el proceso de vinculación, el proxy aparecerá debajo de los servidores proxy asociados.

    Captura de pantalla que muestra la opción para seleccionar servicios de proxy.

    Captura de pantalla que muestra los proxies asociados en el cuadro de diálogo de elementos asociados del proxy virtual.

  15. Después de unos cinco a 10 segundos, aparecerá el mensaje QMC actualizado. Seleccione el botón actualizar QMC.

    Captura de pantalla que muestra el mensaje para indicar que ha finalizado la sesión.

  16. Cuando se actualice la QMC, seleccione en el elemento de menú Servidores proxy virtuales. La nueva entrada SAML virtual proxy (Proxy virtual de SAML) se muestra en la tabla que aparece en la pantalla. Selección única en la entrada de proxy virtual.

    Captura de pantalla que muestra los proxies virtuales con una sola entrada.

  17. En la parte inferior de la pantalla, se activa el botón Download SP metadata (Descargar metadatos de SP). Seleccione el botón Download SP metadata (Descargar metadatos de SP) para guardar los metadatos en un archivo.

    Captura de pantalla que muestra el botón para descargar los metadatos del S P.

  18. Abra el archivo de metadatos de SP. Observe las entradas entityID y AssertionConsumerService. Estos valores son equivalentes a los de Identificador, URL de inicio de sesión y URL de respuesta de la configuración de la aplicación de Microsoft Entra. Pegue estos valores en la sección Dominio y direcciones URL de Qlik Sense Enterprise en la configuración de la aplicación de Microsoft Entra; si no coinciden, se deben reemplazar en el Asistente para configuración de aplicaciones de Microsoft Entra.

    Recorte de pantalla que muestra un editor de texto sin formato con un elemento EntityDescriptor al que se ha llamado con las entradas entityID y AssertionConsumerService.

Creación de un usuario de prueba de Qlik Sense Enterprise

Qlik Sense Enterprise admite el aprovisionamiento Just-in-Time, los usuarios se agregan automáticamente al repositorio de "USERS" de Qlik Sense Enterprise, ya que usan la característica de inicio de sesión único. Además, los clientes pueden usar QMC y crear un UDC (conector de directorio de usuario) para rellenar previamente los usuarios en Qlik Sense Enterprise a partir del LDAP que se prefiera, como Active Directory y otros.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

  • Seleccione Test this application (Probar esta aplicación), esto le redirigirá a la dirección URL de inicio de sesión de Qlik Sense Enterprise, donde puede iniciar el flujo de inicio de sesión.

  • Vaya directamente a la dirección URL de inicio de sesión de Qlik Sense Enterprise e inicie el flujo de inicio de sesión desde allí.

  • Puede usar Mis aplicaciones de Microsoft. Al seleccionar el icono de Qlik Sense Enterprise en Mis aplicaciones, se le redirigirá a la dirección URL de inicio de sesión de Qlik Sense Enterprise. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Pasos siguientes

Una vez configurado Qlik Sense Enterprise, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.