Tutorial: Integrasi SSO Microsoft Entra dengan Qlik Sense Enterprise Client-Managed
Dalam tutorial ini, Anda mempelajari cara mengintegrasikan Qlik Sense Enterprise Client-Managed dengan MICROSOFT Entra ID. Saat mengintegrasikan Qlik Sense Enterprise Client-Managed dengan MICROSOFT Entra ID, Anda dapat:
- Mengontrol microsoft Entra ID yang memiliki akses ke Qlik Sense Enterprise.
- Memungkinkan pengguna Anda untuk masuk secara otomatis ke Qlik Sense Enterprise dengan akun Microsoft Entra mereka.
- Kelola akun Anda di satu lokasi pusat.
Ada dua versi Qlik Sense Enterprise. Meskipun tutorial ini mencakup integrasi dengan rilis yang dikelola klien, proses yang berbeda dibutuhkan untuk Qlik Sense Enterprise SaaS (versi Qlik Cloud).
Prasyarat
Untuk memulai, Anda membutuhkan item berikut:
- Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
- Langganan akses menyeluruh (SSO) Qlik Sense Enterprise diaktifkan.
- Bersama dengan Administrator Aplikasi Cloud, Administrator Aplikasi juga dapat menambahkan atau mengelola aplikasi di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Peran bawaan Azure.
Deskripsi Skenario
Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.
- Qlik Sense Enterprise mendukung akses menyeluruh diinisiasi SP.
- Qlik Sense Enterprise mendukung provisi just-in-time
Menambahkan Qlik Sense Enterprise via galeri
Untuk mengonfigurasi integrasi Qlik Sense Enterprise ke MICROSOFT Entra ID, Anda perlu menambahkan Qlik Sense Enterprise dari galeri ke daftar aplikasi SaaS terkelola Anda.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
- Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
- Di bagian Tambahkan dari galeri, ketik Qlik Sense Enterprise di kotak pencarian.
- Pilih Qlik Sense Enterprise dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.
Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, dan menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.
Mengonfigurasi dan menguji SSO Microsoft Entra untuk Qlik Sense Enterprise
Konfigurasikan dan uji SSO Microsoft Entra dengan Qlik Sense Enterprise menggunakan pengguna uji bernama Britta Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di Qlik Sense Enterprise.
Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan Qlik Sense Enterprise, lakukan langkah-langkah berikut:
- Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
- Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan Britta Simon.
- Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan Britta Simon untuk menggunakan akses menyeluruh Microsoft Entra.
- Konfigurasikan SSO Qlik Sense Enterprise - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
- Buat pengguna uji Qlik Sense Enterprise - untuk memiliki mitra Britta Simon di Qlik Sense Enterprise yang ditautkan ke representasi Microsoft Entra pengguna.
- Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.
Mengonfigurasi SSO Microsoft Entra
Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri ke halaman integrasi aplikasi Perusahaan Aplikasi>>Identitas>Qlik Sense Enterprise, temukan bagian Kelola dan pilih Akses menyeluruh.
Di halaman Pilih metode Single sign-on, pilih SAML.
Pada halaman Siapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.
Pada bagian Konfigurasi SAML Dasar, lakukan langkah-langkah berikut:
a. Dalam kotak teks Pengidentifikasi, ketik URL menggunakan salah satu pola berikut ini:
pengidentifikasi https://<Fully Qualified Domain Name>.qlikpoc.com
https://<Fully Qualified Domain Name>.qliksense.com
b. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/
c. Di kotak teks URL Masuk, ketik URL menggunakan pola berikut:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub
Catatan
Nilai-nilai ini tidak nyata. Perbarui nilai tersebut dengan URL Sign-On aktual, Pengidentifikasi, dan URL Balasan, Yang dijelaskan kemudian dalam tutorial ini atau hubungi tim dukungan Qlik Sense Enterprise Client untuk mendapatkan nilai tersebut. Port default untuk URL adalah 443 tetapi Anda dapat menyesuaikannya sesuai kebutuhan Organisasi Anda.
Pada halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dari opsi yang diberikan sesuai kebutuhan Anda dan simpan di komputer Anda.
Membuat pengguna uji Microsoft Entra
Di bagian ini, Anda membuat pengguna uji bernama Britta Simon.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
- Di properti Pengguna, ikuti langkah-langkah berikut:
- Di bidang Nama tampilan, masukkan
B.Simon
. - Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya,
B.Simon@contoso.com
. - Pilih kotak centang Perlihatkan sandi, kemudian ketik nilai yang ditampilkan dalam kotak Sandi.
- Pilih Tinjau + buat.
- Di bidang Nama tampilan, masukkan
- Pilih Buat.
Menetapkan pengguna uji Microsoft Entra
Di bagian ini, Anda mengaktifkan Britta Simon untuk menggunakan akses menyeluruh Azure dengan memberikan akses ke Qlik Sense Enterprise.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
- Telusuri aplikasi >Identity>Applications>Enterprise Qlik Sense Enterprise.
- Di halaman ringkasan aplikasi, temukan bagian Kelola lalu pilih Pengguna dan grup.
- Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan .
- Dalam dialog Pengguna dan grup, pilih Britta Simon dari daftar Pengguna, lalu pilih tombol Pilih di bagian bawah layar.
- Jika Anda mengharapkan peran untuk ditetapkan pada pengguna, Anda dapat memilihnya dari menu hilangkanPilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
- Dalam dialog Tambahkan Penugasan, pilih tombol Tetapkan.
Mengonfigurasi akses menyeluruh Qlik Sense Enterprise
Buka Qlik Sense Qlik Management Console (QMC) sebagai pengguna yang dapat membuat konfigurasi proksi virtual.
Di QMC, pilih pada item menu Proksi Virtual.
Di bagian bawah layar, pilih tombol Buat baru .
Layar edit proksi virtual muncul. Di sisi kanan layar ada menu untuk membuat opsi konfigurasi terlihat.
Dengan opsi menu Identifikasi dicentang, masukkan informasi identifikasi untuk konfigurasi proksi virtual Azure.
a. Bidang Deskripsi adalah nama yang ramah untuk konfigurasi proksi virtual. Masukkan nilai untuk deskripsi.
b. Bidang Awalan mengidentifikasi titik akhir proksi virtual untuk menyambungkan ke Qlik Sense dengan akses menyeluruh Microsoft Entra. Masukkan nama awalan unik untuk proksi virtual ini.
c. Batas waktu tidak aktif sesi (menit) adalah waktu habis untuk koneksi melalui proksi virtual ini.
d. Nama header cookie Sesi adalah nama cookie yang menyimpan pengidentifikasi sesi untuk sesi Qlik Sense yang diterima pengguna setelah Autentikasi berhasil. Nama ini harus unik.
Klik opsi menu Autentikasi untuk membuatnya terlihat. Layar Autentikasi muncul.
a. Daftar dropdown mode akses Anonim menentukan apakah pengguna anonim dapat mengakses Qlik Sense melalui proksi virtual. Opsi default adalah Tidak ada pengguna anonim.
b. Daftar dropdown Metode autentikasi menentukan skema autentikasi yang digunakan proksi virtual. Pilih SAML dari daftar dropdown. Opsi lainnya muncul sebagai hasilnya.
c. Di bidang URI host SAML, masukkan pengguna nama host masuk untuk mengakses Qlik Sense melalui proksi virtual SAML ini. Nama host adalah uri dari server Qlik Sense.
d. Di ID entitas SAML, masukkan nilai yang sama dengan yang dimasukkan untuk bidang URI host SAML.
e. Metadata IDP SAML adalah file yang diedit sebelumnya di bagian Edit Metadata Federasi dari Microsoft Entra Configuration. Sebelum mengunggah metadata IdP, file perlu diedit untuk menghapus informasi guna memastikan operasi yang tepat antara ID Microsoft Entra dan server Qlik Sense. Harap lihat instruksi di atas jika file belum diedit. Jika file telah diedit pilih pada tombol Telusuri dan pilih file metadata yang diedit untuk mengunggahnya ke konfigurasi proksi virtual.
f. Masukkan nama atribut atau referensi skema untuk atribut SAML yang mewakili ID Entra Microsoft UserID yang dikirim ke server Qlik Sense. Informasi referensi skema tersedia di konfigurasi postingan layar aplikasi Azure. Untuk menggunakan atribut name, masukkan
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.g. Masukkan nilai untuk direktori pengguna yang akan dilampirkan ke pengguna saat mereka mengautentikasi ke server Qlik Sense melalui ID Microsoft Entra. Nilai yang dikodekan secara permanen harus dikelilingi oleh kurung siku []. Untuk menggunakan atribut yang dikirim dalam pernyataan Microsoft Entra SAML, masukkan nama atribut dalam kotak teks ini tanpa tanda kurung siku.
h. Algoritma penandatanganan SAML menetapkan penandatanganan sertifikat penyedia layanan (dalam hal ini server Qlik Sense) untuk konfigurasi proksi virtual. Jika server Qlik Sense menggunakan sertifikat tepercaya yang dihasilkan menggunakan Microsoft Enhanced RSA dan AES Cryptographic Provider, ubah algoritma penandatanganan SAML ke SHA-256.
i. Bagian pemetaan atribut SAML memungkinkan atribut lain seperti grup dikirim ke Qlik Sense untuk digunakan dalam aturan keamanan.
Pilih pada opsi menu LOAD BALANCING untuk membuatnya terlihat. Layar Load Balancing muncul.
Pilih tombol Tambahkan simpul server baru, pilih simpul mesin atau simpul yang dikirim Qlik Sense sesi ke untuk tujuan penyeimbangan beban, dan pilih tombol Tambahkan .
Pilih pada opsi menu Tingkat Lanjut untuk membuatnya terlihat. Layar Tingkat Lanjut muncul.
Daftar yang diizinkan Host mengidentifikasi nama host yang diterima saat menyambungkan ke server Qlik Sense. Masukkan nama host yang akan ditentukan pengguna saat menyambung ke server Qlik Sense. Nama host adalah nilai yang sama dengan URL host SAML tanpa
https://
.Pilih tombol Terapkan.
Pilih OK untuk menerima pesan peringatan yang menyatakan proksi yang ditautkan ke proksi virtual akan dimulai ulang.
Di sisi kanan layar, menu Item terkait muncul. Pilih opsi menu Proksi .
Layar proksi muncul. Pilih tombol Tautkan di bagian bawah untuk menautkan proksi ke proksi virtual.
Pilih simpul proksi yang mendukung koneksi proksi virtual ini dan pilih tombol Tautkan. Setelah penautan, proksi akan dicantumkan di bawah proksi terkait.
Setelah sekitar lima hingga 10 detik, pesan QMC yang Disegarkan akan muncul. Pilih tombol Refresh QMC .
Saat QMC di-refresh, pilih item menu Proksi virtual. Entri proksi virtual SAML baru tercantum dalam tabel di layar. Pilih tunggal pada entri proksi virtual.
Di bagian bawah layar, tombol Unduh metadata SP diaktifkan. Pilih tombol Unduh metadata SP untuk menyimpan metadata ke file.
Buka file metadata sp. Amati entri entityID dan entri AssertionConsumerService. Nilai-nilai ini setara dengan Pengidentifikasi, URL Masuk, dan URL Balasan dalam konfigurasi aplikasi Microsoft Entra. Tempelkan nilai-nilai ini di bagian Domain dan URL Qlik Sense Enterprise di konfigurasi aplikasi Microsoft Entra jika tidak cocok, maka Anda harus menggantinya di wizard konfigurasi Aplikasi Microsoft Entra.
Buat pengguna uji Qlik Sense Enterprise
Qlik Sense Enterprise mendukung provisi just-in-time, Penggunasecara otomatis ditambahkan ke repositori 'PENGGUNA' Qlik Sense Enterprise saat mereka menggunakan fitur akses menyeluruh. Selain itu, klien dapat menggunakan QMC dan membuat UDC (Konektor Direktori Pengguna) untuk mengisi pengguna sebelumnya di Qlik Sense Enterprise dari LDAP pilihan mereka seperti Direktori Aktif, dan lainnya.
Menguji akses menyeluruh
Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.
Pilih Uji aplikasi ini, ini akan dialihkan ke URL Masuk Qlik Sense Enterprise tempat Anda dapat memulai alur masuk.
Buka URL Masuk Qlik Sense Enterprise secara langsung dan mulai alur masuk dari sana.
Anda dapat menggunakan Aplikasi Saya Microsoft. Saat Anda memilih petak peta Qlik Sense Enterprise di Aplikasi Saya, anda akan dialihkan ke URL Masuk Qlik Sense Enterprise. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.
Langkah berikutnya
Setelah mengonfigurasi Qlik Sense Enterprise, Anda dapat menerapkan kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.