Configurare Qlik Sense Enterprise Client-Managed per l'accesso Single Sign-On con Microsoft Entra ID

Questo articolo illustra come integrare Qlik Sense Enterprise Client-Managed con Microsoft Entra ID. Integrando Qlik Sense Enterprise Client-Managed con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a Qlik Sense Enterprise.
• Abilitare gli utenti per l'accesso automatico a Qlik Sense Enterprise con gli account Microsoft Entra personali.
• Gestire gli account in un'unica posizione centrale.

Esistono due versioni di Qlik Sense Enterprise. Anche se questo articolo illustra l'integrazione con le versioni gestite dal client, è necessario un processo diverso per Qlik Sense Enterprise SaaS (versione Qlik Cloud).

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

• Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
• Sottoscrizione di Qlik Sense Enterprise con Single Sign-On (SSO) abilitato.
• Insieme all'Amministratore applicazione cloud, l'Amministratore applicazioni può anche aggiungere o gestire applicazioni in Microsoft Entra ID. Per altre informazioni, vedere Ruoli predefiniti di Azure.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

• Qlik Sense Enterprise supporta l'SSO avviato da SP.
• Qlik Sense Enterprise supporta l'approvvigionamento just-in-time

Aggiungi Qlik Sense Enterprise dalla raccolta

Per configurare l'integrazione di Qlik Sense Enterprise in Microsoft Entra ID, è necessario aggiungere Qlik Sense Enterprise dalla raccolta al proprio elenco di app SaaS gestite.

1. Accedi al Centro di amministrazione Microsoft Entra con almeno il ruolo di Amministratore applicazione cloud.
2. Naviga su Entra ID>Applicazioni aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta digitare Qlik Sense Enterprise nella casella di ricerca.
4. Selezionare Qlik Sense Enterprise nel pannello dei risultati e quindi aggiungere l'app. Attendi qualche secondo mentre l'app viene aggiunta al tenant.

In alternativa, è anche possibile usare Configurazione guidata dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra per Qlik Sense Enterprise

Configurare e testare l'accesso SSO di Microsoft Entra con Qlik Sense Enterprise usando un utente di test di nome Britta Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Qlik Sense Enterprise.

Per configurare e testare l'accesso SSO di Microsoft Entra con Qlik Sense Enterprise, seguire questa procedura:

1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con Britta Simon.
   2. Assegnare l'utente di test di Microsoft Entra - per consentire a Britta Simon di utilizzare il Single Sign-On di Microsoft Entra.
2. Configurare il Single Sign-On (SSO) di Qlik Sense Enterprise: per configurare le impostazioni di Single Sign-On sul lato dell'applicazione.
   1. Creare l'utente di test di Qlik Sense Enterprise : per avere una controparte di Britta Simon in Qlik Sense Enterprise collegata alla rappresentazione dell'utente in Microsoft Entra.
3. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare SSO di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi al Centro di amministrazione Microsoft Entra con almeno il ruolo di Amministratore applicazione cloud.

2. Passare alla pagina di integrazione dell'applicazione Entra ID>Enterprise apps>Qlik Sense Enterprise, individuare la sezione Gestione e selezionare autenticazione unica.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita relativa a Configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione Configurazione SAML di base seguire questa procedura:

   a) Nella casella di testo Identificatore digitare un URL in uno dei formati seguenti:

   Identificatore
   https://<Fully Qualified Domain Name>.qlikpoc.com
   https://<Fully Qualified Domain Name>.qliksense.com

   b. Nella casella di testo URL di risposta digitare l'URL usando il modello seguente:

   https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

   c. Nella casella di testo URL di accesso digitare l'URL usando il modello seguente: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

   Nota

   Questi valori non sono reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso illustrati più avanti in questo articolo o contattare team di supporto clienti di Qlik Sense Enterprise per ottenere questi valori. La porta predefinita per gli URL è la 443, ma è possibile personalizzarla in base alle esigenze dell'organizzazione.

6. Nella pagina Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, trovare XML metadati federazione tra le opzioni fornite secondo le tue esigenze e salvarlo sul tuo computer.

   

Creare e assegnare un utente di test di Microsoft Entra

Segui le linee guida nel quickstart per creare e assegnare un account utente per creare un account di test chiamato B.Simon.

Configurare l'accesso SSO di Qlik Sense Enterprise

1. Accedere alla Qlik Sense Qlik Management Console (QMC) come utente che può creare configurazioni di proxy virtuali.

2. In QMC selezionare la voce di menu Proxy virtuali .

   

3. Nella parte inferiore della schermata selezionare il pulsante Crea nuovo .

   

4. Viene visualizzata la schermata per la modifica del proxy virtuale. Sul lato destro della schermata è disponibile un menu per la visualizzazione delle opzioni di configurazione.

   

5. Dopo aver selezionato l'opzione di menu Identification (Identificazione), immettere le informazioni di identificazione per la configurazione del proxy virtuale di Azure.

   

   a) Il campo Description (Descrizione) contiene un nome descrittivo per la configurazione del proxy virtuale. Immettere un valore per la descrizione.

   b. Il campo Prefisso identifica l'endpoint proxy virtuale per la connessione a Qlik Sense con l'accesso Single Sign-On di Microsoft Entra. Immettere un nome di prefisso univoco per il proxy virtuale.

   c. Session inactivity timeout (minutes) indica il tempo di inattività della sessione per le connessioni tramite il proxy virtuale.

   d. Session cookie header name è il nome del cookie che archivia l'identificatore della sessione di Qlik Sense che un utente riceve dopo un'autenticazione riuscita. Il nome deve essere univoco.

6. Selezionare l'opzione di menu Autenticazione per renderla visibile. Verrà visualizzata la schermata Authentication (Autenticazione).

   

   a) L'elenco a discesa Modalità di accesso anonimo determina se gli utenti anonimi possono accedere a Qlik Sense tramite il proxy virtuale. L'opzione predefinita è Nessun utente anonimo.

   b. L'elenco a discesa Metodo di autenticazione determina lo schema di autenticazione usato dal proxy virtuale. Selezionare SAML nell'elenco a discesa. Verranno di conseguenza visualizzate altre opzioni.

   c. Nel campo URI host SAML immettere il nome host immesso dagli utenti per accedere a Qlik Sense tramite questo proxy virtuale SAML. Il nome host è l'URI del server Qlik Sense.

   d. In SAML entity ID, immettere lo stesso valore inserito nel campo URI host SAML.

   e. Il metadati SAML IdP è il file modificato in precedenza nella sezione Modifica metadati di federazione dalla configurazione di Microsoft Entra. Prima di caricare i metadati IdP, è necessario modificare il file per rimuovere le informazioni per garantire il corretto funzionamento tra Microsoft Entra ID e il server Qlik Sense. Se il file non è ancora stato modificato, vedere le istruzioni riportate sopra. Se il file è stato modificato, selezionare il pulsante Sfoglia e selezionare il file di metadati modificato per caricarlo nella configurazione del proxy virtuale.

   f. Immettere il nome dell'attributo o il riferimento allo schema per l'attributo SAML che rappresenta l'UserID di Microsoft Entra inviato al server Qlik Sense. Le informazioni relative al riferimento dello schema sono disponibili nelle schermate dell'app in Azure in seguito alla configurazione. Per usare l'attributo nome, immettere http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

   g. Immettere il valore per la directory utente associata agli utenti quando eseguono l'autenticazione al server Qlik Sense tramite Microsoft Entra ID. I valori hardcoded devono essere racchiusi tra parentesi quadre []. Per usare un attributo inviato nell'asserzione MICROSOFT Entra SAML, immettere il nome dell'attributo in questa casella di testo senza parentesi quadre.

   h. SAML signing algorithm (Algoritmo di firma SAML) imposta la firma del certificato del provider di servizi (in questo caso, il server Qlik Sense) per la configurazione del proxy virtuale. Se il server Qlik Sense usa un certificato attendibile generato con Microsoft Enhanced RSA and AES Cryptographic Provider, modificare l'algoritmo di firma SAML impostandolo su SHA-256.

   io. La sezione mapping degli attributi SAML consente l'invio di altri attributi come i gruppi a Qlik Sense per l'uso nelle regole di sicurezza.

7. Selezionare la voce di menu LOAD BALANCER per renderla visibile. Verrà visualizzata la schermata Load balancing (Bilanciamento del carico).

   

8. Selezionare il pulsante Aggiungi nuovo nodo server , selezionare il nodo del motore o i nodi a cui Qlik Sense invia sessioni per scopi di bilanciamento del carico e selezionare il pulsante Aggiungi .

   

9. Selezionare l'opzione di menu Avanzate per renderla visibile. Verrà visualizzata la schermata Advanced (Avanzate).

   

   La lista di autorizzazioni degli host identifica i nomi degli host accettati durante la connessione al server Qlik Sense. Immettere il nome host specificato dagli utenti durante la connessione al server Qlik Sense. Il nome host corrisponde al valore dell'URI dell'host SAML senza https://.

10. Selezionare il pulsante Applica.

    

11. Selezionare OK per accettare il messaggio di avviso che indica che il proxy collegato al proxy virtuale viene riavviato.

    

12. Sul lato destro della schermata verrà visualizzato il menu Associated items (Elementi associati). Selezionare l'opzione di menu Proxy .

    

13. Appare la schermata dei proxy. Selezionare il pulsante Collegamento nella parte inferiore per collegare un proxy al proxy virtuale.

    

14. Selezionare il nodo proxy che supporta questa connessione proxy virtuale e selezionare il pulsante Collega . Dopo il collegamento, il proxy viene elencato in proxy associati.

    

    

15. Dopo circa cinque-10 secondi, viene visualizzato il messaggio QMC aggiornato. Seleziona il pulsante Aggiorna QMC.

    

16. Quando il QMC viene aggiornato, selezionare la voce di menu Proxy virtuali . La nuova voce del proxy virtuale SAML è elencata nella tabella visualizzata. Selezionare una sola voce del proxy virtuale.

    

17. Nella parte inferiore della schermata viene attivato il pulsante Scarica metadati SP. Selezionare il pulsante Scarica metadati SP per salvare i metadati in un file.

    

18. Aprire il file di metadati SP. Prendi in considerazione le voci entityID e AssertionConsumerService. Questi valori sono equivalenti all'identificatore, all'URLdi accesso e all'URLdi risposta nella configurazione dell'applicazione Microsoft Entra. Incolla questi valori nella sezione Dominio e URL di Qlik Sense Enterprise nella configurazione dell'applicazione Microsoft Entra. Se non corrispondono, è necessario sostituirli nella procedura guidata di configurazione dell'app Microsoft Entra.

    

Creare un utente di test di Qlik Sense Enterprise

Qlik Sense Enterprise supporta il provisioning JIT. Gli utenti vengono aggiunti automaticamente al repository 'USERS' di Qlik Sense Enterprise quando utilizzano la funzionalità SSO. Inoltre, i clienti possono usare il QMC e creare un UDC (User Directory Connector) per pre-popolare gli utenti in Qlik Sense Enterprise dall'LDAP di loro scelta, come Active Directory e altri.

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

• Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di Qlik Sense Enterprise in cui è possibile avviare il flusso di accesso.

• Passare direttamente all'URL di accesso di Qlik Sense Enterprise e avviare il flusso di accesso da questa posizione.

• È possibile usare App personali Microsoft. Quando si seleziona il riquadro Qlik Sense Enterprise in App personali, questa opzione reindirizza all'URL di accesso di Qlik Sense Enterprise. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Contenuto correlato

Dopo aver configurato Qlik Sense Enterprise, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.