Oktatóanyag: A Microsoft Entra SSO integrációja a Qlik Sense Vállalati ügyfél által felügyelt szolgáltatással
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az ügyfél által felügyelt Qlik Sense Enterprise-t a Microsoft Entra ID-val. Ha integrálja a Qlik Sense Enterprise ügyfél által felügyelt szolgáltatását a Microsoft Entra-azonosítóval, az alábbiakat teheti:
- A Qlik Sense Enterprise-hoz hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
- Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek a Qlik Sense Enterprise-ba a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
A Qlik Sense Enterprise két verziója létezik. Bár ez az oktatóanyag az ügyfél által felügyelt kiadásokkal való integrációt ismerteti, a Qlik Sense Enterprise SaaS -hez (Qlik Cloud-verzió) más folyamat szükséges.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- A Qlik Sense Enterprise egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.
- A felhőalapú alkalmazásadminisztrátor mellett az alkalmazásadminisztrátor a Microsoft Entra ID-ban is hozzáadhat vagy kezelhet alkalmazásokat. További információ: Beépített Azure-szerepkörök.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.
- A Qlik Sense Enterprise támogatja az SP által kezdeményezett egyszeri bejelentkezést.
- A Qlik Sense Enterprise támogatja az igény szerinti üzembe helyezést
Qlik Sense Enterprise hozzáadása a katalógusból
A Qlik Sense Enterprise Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia a Qlik Sense Enterprise-t a katalógusból a felügyelt SaaS-alkalmazások listájához.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
- A Gyűjtemény hozzáadása szakaszba írja be a Qlik Sense Enterprise kifejezést a keresőmezőbe.
- Válassza a Qlik Sense Enterprise lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, és végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
A Microsoft Entra SSO konfigurálása és tesztelése a Qlik Sense Enterprise-hoz
Konfigurálja és tesztelje a Microsoft Entra SSO-t a Qlik Sense Enterprise-nal egy Britta Simon nevű tesztfelhasználóval. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között a Qlik Sense Enterprise-ban.
Ha a Microsoft Entra SSO-t a Qlik Sense Enterprise használatával szeretné konfigurálni és tesztelni, hajtsa végre a következő lépéseket:
- Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
- Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
- Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
- A Qlik Sense Enterprise SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
- Qlik Sense Enterprise tesztfelhasználó létrehozása – a Qlik Sense Enterprise-ban britta Simon megfelelőjének létrehozásához, amely a felhasználó Microsoft Entra-reprezentációjához kapcsolódik.
- SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.
A Microsoft Entra SSO konfigurálása
A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
Keresse meg az Identity>Applications>Enterprise-alkalmazások>Qlik Sense Enterprise alkalmazásintegrációs oldalát, keresse meg a Kezelés szakaszt, és válassza az Egyszeri bejelentkezés lehetőséget.
Az Egyszeri bejelentkezési módszer kiválasztása lapon válassza az SAML lehetőséget.
Az egyszeri bejelentkezés beállítása SAML-lel lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.
Az Egyszerű SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:
a. Az Azonosító szövegmezőbe írjon be egy URL-címet az alábbi minták egyikével:
Azonosító https://<Fully Qualified Domain Name>.qlikpoc.com
https://<Fully Qualified Domain Name>.qliksense.com
b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/
c. A Bejelentkezés URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub
Feljegyzés
Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel, amelyet az oktatóanyag későbbi részében ismertetünk, vagy lépjen kapcsolatba a Qlik Sense Enterprise ügyféltámogatási csapatával az értékek lekéréséhez. Az URL-címek alapértelmezett portja a 443, de testre szabhatja a szervezet igényei szerint.
Az saml-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját a megadott beállítások közül a követelményeknek megfelelően, és mentse a számítógépre.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy Britta Simon nevű tesztfelhasználót hoz létre.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Megjelenítendő név mezőbe írja be a következőt
B.Simon
: - A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például:
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Válassza az Áttekintés + létrehozás lehetőséget.
- A Megjelenítendő név mezőbe írja be a következőt
- Válassza a Létrehozás lehetőséget.
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban engedélyezi Britta Simon számára az azure-beli egyszeri bejelentkezés használatát a Qlik Sense Enterprise-hoz való hozzáférés biztosításával.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat, a Qlik Sense Enterprise-t.>
- Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.
- Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzáadott hozzárendelés párbeszédpanelen.
- A Felhasználók és csoportok párbeszédpanelen válassza a Britta Simon lehetőséget a Felhasználók listából, majd válassza a Képernyő alján található Kiválasztás gombot.
- Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
- A Hozzárendelés hozzáadása párbeszédpanelen válassza a Hozzárendelés gombot.
A Qlik Sense Vállalati egyszeri bejelentkezés konfigurálása
Lépjen a Qlik Sense Qlik felügyeleti konzoljára (QMC) olyan felhasználóként, aki virtuális proxykonfigurációkat hozhat létre.
A QMC-ben válassza a Virtuális proxyk menüelemet.
A képernyő alján válassza az Új létrehozása gombot.
Megjelenik a virtuális proxy szerkesztési képernyője. A képernyő jobb oldalán egy menü láthatóvá teszi a konfigurációs beállításokat.
Ha bejelölte az Azonosítás menüt, adja meg az Azure-beli virtuális proxy konfigurációjának azonosító adatait.
a. A Leírás mező a virtuális proxy konfigurációjának rövid neve. Adjon meg egy leírás értékét.
b. Az Előtag mező azonosítja a virtuális proxyvégpontot a Qlik Sensehez való csatlakozáshoz a Microsoft Entra egyszeri bejelentkezéssel. Adjon meg egy egyedi előtagnevet ehhez a virtuális proxyhoz.
c. A munkamenet inaktivitási időtúllépése (perc) a virtuális proxyn keresztüli kapcsolatok időtúllépése.
d. A munkamenet-cookie fejlécének neve az a cookie-név, amely a felhasználó által a sikeres hitelesítés után kapott Qlik Sense-munkamenet munkamenet-azonosítóját tárolja. A névnek egyedinek kell lennie.
Kattintson a Hitelesítés menüre a láthatóvá tétele érdekében. Megjelenik a Hitelesítési képernyő.
a. A névtelen hozzáférési mód legördülő listája meghatározza, hogy a névtelen felhasználók hozzáférhetnek-e a Qlik Sensehez a virtuális proxyn keresztül. Az alapértelmezett beállítás nem névtelen felhasználó.
b. A hitelesítési módszer legördülő listája határozza meg a virtuális proxy által használt hitelesítési sémát. Válassza az SAML elemet a legördülő listából. Ennek eredményeként további lehetőségek jelennek meg.
c. Az SAML gazdagép URI mezőjében adja meg a felhasználók által megadott gazdagépnevet, hogy ezzel az SAML virtuális proxyn keresztül férhessenek hozzá a Qlik Sensehez. A gazdagép neve a Qlik Sense-kiszolgáló URI-ja.
d. Az SAML-entitásazonosítóban adja meg az SAML gazdagép URI mezőjéhez megadott értéket.
e. Az SAML idP-metaadatai a Microsoft Entra Configuration szakasz összevonási metaadatainak szerkesztése című szakasz korábbi szakaszában szerkesztett fájl. Az idP-metaadatok feltöltése előtt a fájlt szerkeszteni kell az adatok eltávolításához a Microsoft Entra ID és a Qlik Sense-kiszolgáló közötti megfelelő működés biztosításához. Ha a fájlt még nem szerkesztette, tekintse meg a fenti utasításokat. Ha a fájlt szerkesztette, válassza a Tallózás gombra, és válassza ki a szerkesztett metaadatfájlt a virtuális proxy konfigurációjába való feltöltéshez.
f. Adja meg a Qlik Sense-kiszolgálónak küldött UserID Microsoft Entra-azonosítót képviselő SAML-attribútum attribútumnevét vagy sémahivatkozását. A sémahivatkozási információk a konfigurációt követően az Azure-alkalmazás képernyőiben érhetők el. A névattribútum használatához írja be a következőt
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
:: Adja meg annak a felhasználói címtárnak az értékét, amely a felhasználókhoz lesz csatolva, amikor a Microsoft Entra-azonosítón keresztül hitelesítik magukat a Qlik Sense-kiszolgálón. A rögzített értékeket szögletes zárójelekkel [] kell körülvenni. A Microsoft Entra SAML-állításban küldött attribútum használatához írja be az attribútum nevét ebben a szövegmezőben szögletes zárójelek nélkül .
h. Az SAML aláíró algoritmus beállítja a szolgáltató (ebben az esetben a Qlik Sense-kiszolgáló) tanúsítványának aláírását a virtuális proxy konfigurációjához. Ha a Qlik Sense-kiszolgáló a Microsoft Enhanced RSA és az AES titkosítási szolgáltató használatával létrehozott megbízható tanúsítványt használ, módosítsa az SAML aláíró algoritmust SHA-256-ra.
i. Az SAML attribútumleképezési szakasz lehetővé teszi, hogy más attribútumok, például a csoportok a Qlik Sensenek legyenek elküldve a biztonsági szabályokban való használatra.
Válassza a TERHELÉSELOSZTÁS menüt a láthatóvá tétele érdekében. Megjelenik a Terheléselosztás képernyő.
Válassza az Új kiszolgálócsomópont hozzáadása gombot, válassza ki a motorcsomópontot vagy a csomópontokat, a Qlik Sense munkameneteket küld terheléselosztási célokra, majd válassza a Hozzáadás gombot.
Válassza a Speciális menüt, hogy láthatóvá tegye. Megjelenik a Speciális képernyő.
A Gazdagép engedélyezési listája azonosítja a Qlik Sense-kiszolgálóhoz való csatlakozáskor elfogadott gazdagépneveket. Adja meg a Qlik Sense-kiszolgálóhoz való csatlakozáskor a felhasználók által megadott állomásnevet. A gazdagép neve ugyanaz az érték, mint az SAML gazdagép URI-ja a
https://
nélkül.Válassza a Apply gombot.
Az OK gombra kattintva fogadja el azt a figyelmeztető üzenetet, amely szerint a virtuális proxyhoz társított proxy újraindul.
A képernyő jobb oldalán megjelenik a Társított elemek menü. Válassza a Proxyk menüt.
Megjelenik a proxyképernyő. A proxy virtuális proxyhoz való csatolásához kattintson az alul található Hivatkozás gombra.
Válassza ki a virtuális proxykapcsolatot támogató proxycsomópontot, és válassza a Hivatkozás gombot. A csatolás után a proxy a társított proxyk alatt jelenik meg.
Körülbelül 5–10 másodperc múlva megjelenik a frissített QMC-üzenet. Válassza a QMC frissítése gombot.
A QMC frissítésekor válassza a Virtuális proxyk menüelemet. Az új SAML virtuális proxy bejegyzés megjelenik a képernyőn látható táblázatban. Egyetlen kijelölés a virtuális proxybejegyzésen.
A képernyő alján aktiválódik az SP metaadatok letöltése gomb. A metaadatok fájlba mentéséhez válassza az SP-metaadatok letöltése gombot.
Nyissa meg az sp metaadatfájlt. Figyelje meg az entityID bejegyzést és az AssertionConsumerService bejegyzést. Ezek az értékek megegyeznek a Microsoft Entra-alkalmazás konfigurációjában szereplő azonosítóval, bejelentkezési URL-címel és válasz URL-címével . Illessze be ezeket az értékeket a Qlik Sense Vállalati tartomány és URL-címek szakaszba a Microsoft Entra alkalmazáskonfigurációjában, ha nem egyeznek meg, akkor cserélje le őket a Microsoft Entra Alkalmazáskonfigurációs varázslóban.
Qlik Sense Enterprise tesztfelhasználó létrehozása
A Qlik Sense Enterprise támogatja az igény szerinti üzembe helyezést, a felhasználók automatikusan hozzáadódnak a Qlik Sense Enterprise "USERS" adattárához az egyszeri bejelentkezés funkció használatakor. Emellett az ügyfelek használhatják a QMC-t, és létrehozhatnak egy UDC-t (Felhasználói címtár-összekötőt) a Qlik Sense Enterprise felhasználóinak előretöltéséhez a választott LDAP-jukból, például az Active Directoryból és másokból.
Egyszeri bejelentkezés tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Válassza az alkalmazás tesztelése lehetőséget, amely átirányítja a Qlik Sense Vállalati bejelentkezési URL-címre, ahol elindíthatja a bejelentkezési folyamatot.
Lépjen közvetlenül a Qlik Sense Enterprise bejelentkezési URL-címére, és onnan indítsa el a bejelentkezési folyamatot.
Használhatja a Microsoft Saját alkalmazások. Amikor kiválasztja a Qlik Sense Enterprise csempét a Saját alkalmazások, ez átirányítja a Qlik Sense Enterprise bejelentkezési URL-címére. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.
Következő lépések
A Qlik Sense Enterprise konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.