Partager via


Tutoriel : intégration de l’authentification unique (SSO) Microsoft Entra à Qlik Sense Enterprise Client-Managed

Dans ce tutoriel, vous apprenez à intégrer Qlik Sense Enterprise Client-Managed à Microsoft Entra ID. Lorsque vous intégrez Qlik Sense Enterprise Client-Managed à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à Qlik Sense Enterprise.
  • Permettre à vos utilisateurs d’être automatiquement connectés à Qlik Sense Enterprise avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Il existe deux versions de Qlik Sense Enterprise. Bien que ce tutoriel couvre l’intégration aux versions managées par le client, un autre processus est requis pour Qlik Sense Enterprise SaaS (version cloud de Qlik).

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement Qlik Sense Enterprise pour lequel l’authentification unique est activée.
  • Outre l'administrateur d'applications cloud, l'administrateur d'applications peut également ajouter ou gérer des applications dans Microsoft Entra ID. Pour plus d’informations, voir Rôles intégrés Azure.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • Qlik Sense Enterprise prend en charge l’authentification unique initiée par le fournisseur de services.
  • Qlik Sense Enterprise prend en charge le provisionnement juste-à-temps

Pour configurer l’intégration de Qlik Sense Enterprise à Microsoft Entra ID, vous devez ajouter Qlik Sense Enterprise depuis la galerie à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la zone de recherche de la section Ajouter à partir de la galerie, tapez Qlik Sense Enterprise.
  4. Sélectionnez Qlik Sense Enterprise dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais aussi parcourir les étapes de configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Qlik Sense Enterprise

Configurez et testez l’authentification unique Microsoft Entra avec Qlik Sense Enterprise à l’aide d’un utilisateur de test nommé Britta Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans Qlik Sense Enterprise.

Pour configurer et tester l’authentification unique Microsoft Entra avec Qlik Sense Enterprise, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
    1. Créer un utilisateur test Microsoft Entra – pour tester l’authentification unique Microsoft Entra avec Britta Simon.
    2. Attribuez l’utilisateur de test Microsoft Entra pour permettre à Britta Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique Qlik Sense Enterprise pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test Qlik Sense Enterprise pour avoir un équivalent de Britta Simon dans Qlik Sense Enterprise, lié à la représentation Microsoft Entra associée.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à la page d’intégration d’application Identité>Applications>Applications d’entreprise>Qlik Sense Enterprise, recherchez la section Gérer, puis sélectionnez Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

    Capture d’écran présentant comment modifier la configuration SAML de base.

  5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

    a. Dans la zone de texte Identificateur, tapez une URL en utilisant l’un des formats suivants :

    Identificateur
    https://<Fully Qualified Domain Name>.qlikpoc.com
    https://<Fully Qualified Domain Name>.qliksense.com

    b. Dans la zone de texte URL de réponse , tapez une URL au format suivant :

    https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

    c. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

    Note

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL d’authentification réels décrits plus loin dans ce tutoriel, ou contactez le support technique de Qlik Sense Enterprise pour obtenir ces valeurs. Le port par défaut pour les URL est 443, mais vous pouvez le personnaliser selon les besoins de votre organisation.

  6. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez dans les options proposées le fichier XML de métadonnées de fédération correspondant à votre besoin, puis enregistrez-le sur votre ordinateur.

    Capture d’écran montrant le lien de téléchargement du certificat.

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous créez un(e) utilisateur(-trice) de test appelé Britta Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser Britta Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Qlik Sense Enterprise.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Qlik Sense Enterprise.
  3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Attribution ajoutée.
  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez Britta Simon dans la liste Utilisateurs, puis sélectionnez le bouton Sélectionner en bas de l’écran.
  6. Si vous vous attendez à ce qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
  7. Dans la boîte de dialogue Attribution ajoutée, sélectionnez le bouton Attribuer.

Configurer l’authentification unique Qlik Sense Enterprise

  1. Accédez à la console de gestion Qlik (QCM) de Qlik Sense en tant qu’utilisateur pouvant créer des configurations de proxy virtuel.

  2. Dans la console QMC, sélectionnez l’élément de menu Proxys virtuels.

    Capture d’écran affichant les proxys virtuels sélectionnés dans CONFIGURE SYSTEM.

  3. En bas de l'écran, sélectionnez le bouton Créer un.

    Capture d’écran montrant l’option Create new.

  4. L’écran Virtual proxy edit (Modification du proxy virtuel) s’affiche. Un menu permettant de rendre les options de configuration visibles est affiché sur le côté droit de l’écran.

    Capture d’écran affichant la sélection de Identification dans Properties.

  5. L’option de menu Identification étant sélectionnée, entrez les informations d’identification pour la configuration du proxy virtuel Azure.

    Capture d’écran montrant la section Edit virtual proxy Identification, dans laquelle vous pouvez entrer les valeurs décrites.

    a. Le champ Description contient un nom convivial pour la configuration du proxy virtuel. Entrez une valeur pour la description.

    b. Le champ Préfixe identifie le point de terminaison proxy virtuel pour la connexion à Qlik Sense avec l’authentification unique Microsoft Entra. Entrez un nom de préfixe unique pour ce proxy virtuel.

    c. La valeur Session inactivity timeout (Délai d’inactivité de session) (minutes) représente le délai d’expiration des connexions via ce proxy virtuel.

    d. La zone Session cookie header name (Nom d’en-tête de cookie de session) est le nom du cookie stockant l’identificateur de session pour la session Qlik Sense qu’un utilisateur reçoit après une authentification réussie. Ce nom doit être unique.

  6. Cliquez sur l’option de menu Authentification pour la rendre visible. L’écran Authentification s’affiche.

    Capture d’écran montrant la section Edit virtual proxy Authentication, dans laquelle vous pouvez entrer les valeurs décrites.

    a. La liste déroulante Anonymous access mode (Mode d’accès anonyme) détermine si des utilisateurs anonymes peuvent accéder à Qlik Sense via le proxy virtuel. L’option par défaut est No anonymous user (Pas d’utilisateur anonyme).

    b. La liste déroulante Méthode d’authentification détermine le schéma d’authentification qui est utilisé par le proxy virtuel. Sélectionnez SAML dans la liste déroulante. À la suite de cette sélection, d’autres options s’affichent.

    c. Dans le champ SAML host URI(URI d’hôte SAML), indiquez le nom d’hôte que les utilisateurs doivent entrer pour accéder à Qlik Sense via ce proxy virtuel SAML. Le nom d’hôte est l’URI du serveur Qlik Sense.

    d. Dans le champ SAML entity ID (ID d’entité SAML) , entrez la valeur indiquée dans le champ SAML host URI (URI d’hôte SAML).

    e. La zone SAML IdP metadata (Métadonnées IdP SAML) indique le fichier modifié précédemment dans la section Modifier les métadonnées de fédération dans la configuration de Microsoft Entra. Avant de charger les métadonnées IdP, vous devez modifier le fichier et supprimer des informations pour vous assurer du bon fonctionnement entre Microsoft Entra ID et le serveur Qlik Sense. Reportez-vous aux instructions ci-dessus si le fichier doit encore être modifié. Si le fichier a été modifié, sélectionnez le bouton Parcourir et sélectionnez le fichier de métadonnées modifié pour le charger vers la configuration du proxy virtuel.

    f. Entrez le nom d’attribut ou la référence de schéma pour l’attribut SAML représentant l’ID utilisateur que Microsoft Entra ID envoie au serveur Qlik Sense. Les informations de référence de schéma sont disponibles dans les écrans de l’application Azure post-configuration. Pour utiliser le nom d’attribut, tapez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    g. Entrez la valeur du répertoire utilisateur qui est attaché aux utilisateurs lorsqu’ils s’authentifient sur le serveur Qlik Sense via Microsoft Entra ID. Les valeurs codées en dur doivent être entourées de crochets [] . Pour utiliser un attribut envoyé dans l’assertion SAML Microsoft Entra, entrez son nom dans cette zone de texte sans crochets.

    h. L’algorithme de signature SAML définit la signature du certificat du fournisseur de service (dans ce cas le serveur Qlik Sense) pour la configuration du proxy virtuel. Si le serveur Qlik Sense utilise un certificat approuvé généré à l’aide de Microsoft Enhanced RSA and AES Cryptographic Provider, définissez l’algorithme de signature SAML sur SHA-256.

    i. La section SAML attribute mapping (Mappage d’attributs SAML) permet d’envoyer d’autres attributs, comme des groupes, vers Qlik Sense pour les utiliser dans les règles de sécurité.

  7. Sélectionnez l’option de menu ÉQUILIBRAGE DE CHARGE pour la rendre visible. L’écran Équilibrage de charge s’affiche.

    Capture d’écran affichant l’écran de modification du proxy virtuel pour LOAD BALANCING, dans lequel vous pouvez sélectionner Add new server node.

  8. Sélectionnez le bouton Add new server node (Ajouter un nouveau nœud serveur), sélectionnez un ou plusieurs nœuds de moteur auxquels Qlik Sense envoie des sessions à des fins d’équilibrage de charge, puis cliquez sur le bouton Ajouter.

    Capture d’écran affichant la boîte de dialogue Add server nodes to load balance on, dans laquelle vous pouvez ajouter des serveurs avec le bouton Add.

  9. Sélectionnez l’option de menu Avancé pour la rendre visible. L’écran Avancé s’affiche.

    Capture d’écran montrant l’écran Edit virtual proxy avec l’option Advanced.

    La liste verte Hôte répertorie les noms d’hôte acceptés lors de la connexion au serveur Qlik Sense. Entrez le nom d’hôte spécifié par les utilisateurs pour se connecter au serveur Qlik Sense. Le nom d’hôte est défini sur la même valeur que l’URI d’hôte SAML sans https://.

  10. Sélectionnez le bouton Appliquer.

    Capture d’écran montrant le bouton Apply.

  11. Sélectionnez OK pour accepter le message d’avertissement indiquant que le proxy lié au proxy virtuel va être redémarré.

    Capture d’écran affichant le message de confirmation Apply changes to virtual proxy.

  12. Sur le côté droit de l’écran, le menu Éléments associés s’affiche. Sélectionnez l’option de menu Proxys.

    Capture d’écran affichant la sélection Proxies à partir de Associated items.

  13. L’écran Proxy s’affiche. Sélectionnez le bouton Lier en bas de l’écran pour lier un proxy au proxy virtuel.

    Capture d’écran montrant le bouton Link.

  14. Sélectionnez le nœud de proxy qui prend en charge cette connexion de proxy virtuel et cliquez sur le bouton Lien. Après l’établissement du lien, le proxy est répertorié dans les proxys associés.

    Capture d’écran affichant Select proxy services.

    Capture d’écran affichant Associated proxies dans la boîte de dialogue Virtual proxy associated items.

  15. Après cinq à dix secondes, le message Refreshed QMC apparaît. Sélectionnez le bouton Refresh QMC (Actualiser la console QMC).

    Capture d’écran affichant le message Your session has ended.

  16. Lors de l’actualisation de la console QMC, sélectionnez l’élément de menu Proxys virtuels. La nouvelle entrée de proxy virtuel SAML est indiquée dans le tableau affiché à l’écran. Sélection unique sur l'entrée du proxy virtuel.

    Capture d’écran montrant Virtual proxies avec une seule entrée.

  17. En bas de l'écran, le bouton Télécharger les métadonnées SP s'active. Sélectionnez le bouton Télécharger les métadonnées SP pour enregistrer les métadonnées dans un fichier.

    Capture d’écran montrant le bouton Download SP metadata.

  18. Ouvrez le fichier de métadonnées du fournisseur de service. Observez les entrées entityID et AssertionConsumerService. Ces valeurs sont équivalentes à celles des champs Identificateur, URL de connexion et URL de réponse dans la configuration d’application Microsoft Entra. Collez ces valeurs dans la section Domaine et URL Qlik Sense Enterprise de la configuration de l’application Microsoft Entra si elles ne sont pas identiques. Vous devez ensuite les remplacer dans l’assistant de configuration de l’application Microsoft Entra.

    Capture d’écran montrant un éditeur de texte brut avec EntityDescriptor dont entityID et AssertionConsumerService sont mis en évidence.

Créer un utilisateur de test Qlik Sense Enterprise

Qlik Sense Enterprise prend en charge le provisionnement juste-à-temps, les utilisateurs ajoutés automatiquement au dépôt « USERS » de Qlik Sense Enterprise quand ils utilisent la fonctionnalité SSO. Par ailleurs, les clients peuvent utiliser la console QMC et créer un connecteur d’annuaire d’utilisateurs (UDC) pour préremplir les utilisateurs dans Qlik Sense Enterprise à partir du service d’annuaire LDAP de leur choix, comme Active Directory ou autre.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Sélectionnez Tester cette application, ce qui redirigera vers l'URL de connexion à Qlik Sense Enterprise où vous pourrez lancer le flux de connexion.

  • Accédez directement à l'URL de connexion à Qlik Sense Enterprise et lancez le processus de connexion à partir de là.

  • Vous pouvez utiliser Mes applications de Microsoft. Le fait de sélectionner la vignette Qlik Sense Enterprise dans Mes applications vous redirige vers l’URL de connexion Qlik Sense Enterprise. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Qlik Sense Enterprise, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.