Esercitazione: Integrazione dell'accesso SSO di Microsoft Entra con Qlik Sense Enterprise Client-Managed
Questa esercitazione descrive come integrare Qlik Sense Enterprise Client-Managed con Microsoft Entra ID. Integrando Qlik Sense Enterprise Client-Managed con Microsoft Entra ID, è possibile:
- Controllare in Microsoft Entra ID chi può accedere a Qlik Sense Enterprise.
- Abilitare gli utenti per l'accesso automatico a Qlik Sense Enterprise con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Esistono due versioni di Qlik Sense Enterprise. Anche se questa esercitazione illustra l'integrazione con le versioni gestite dal client, è necessario un processo diverso per Qlik Sense Enterprise SaaS (versione Qlik Cloud).
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione di Qlik Sense Enterprise abilitata per l'accesso Single Sign-On (SSO).
- Insieme all'Amministratore applicazione cloud, l'Amministratore applicazioni può anche aggiungere o gestire applicazioni in Microsoft Entra ID. Per altre informazioni, vedere Ruoli predefiniti di Azure.
Descrizione dello scenario
In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.
- Qlik Sense Enterprise supporta l'accesso SSO avviato da SP.
- Qlik Sense Enterprise supporta il provisioning JIT
Aggiungere Qlik Sense Enterprise dalla raccolta
Per configurare l'integrazione di Qlik Sense Enterprise in Microsoft Entra ID, è necessario aggiungere Qlik Sense Enterprise dalla raccolta al proprio elenco di app SaaS gestite.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare Qlik Sense Enterprise nella casella di ricerca.
- Selezionare Qlik Sense Enterprise nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso Single Sign-On di Microsoft Entra per Qlik Sense Enterprise
Configurare e testare l'accesso SSO di Microsoft Entra con Qlik Sense Enterprise usando un utente di test di nome Britta Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Qlik Sense Enterprise.
Per configurare e testare l'accesso SSO di Microsoft Entra con Qlik Sense Enterprise, seguire questa procedura:
- Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
- Creare un utente di test di Microsoft Entra: per testare l'accesso Single Sign-On di Microsoft Entra con Britta Simon.
- Assegnare l'utente di test di Microsoft Entra: per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
- Configurare l'accesso Single Sign-On di Qlik Sense Enterprise: per configurare le impostazioni di Single Sign-On sul lato applicazione.
- Creare l'utente di test di Qlik Sense Enterprise: per avere una controparte di Britta Simon in Qlik Sense Enterprise collegata alla rappresentazione dell'utente in Microsoft Entra.
- Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.
Configurare l'accesso Single Sign-On di Microsoft Entra
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare alla pagina di integrazione dell'applicazione Qlik Sense Enterprise per applicazioni aziendali di Identity>Applications>>, individuare la sezione Gestione e selezionare Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita relativa a Configurazione SAML di base per modificare le impostazioni.
Nella sezione Configurazione SAML di base seguire questa procedura:
a. Nella casella di testo Identificatore digitare un URL in uno dei formati seguenti:
Identifier https://<Fully Qualified Domain Name>.qlikpoc.com
https://<Fully Qualified Domain Name>.qliksense.com
b. Nella casella di testo URL di risposta digitare l'URL usando il modello seguente:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/
c. Nella casella di testo URL di accesso digitare l'URL usando il modello seguente:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub
Nota
Questi non sono i valori reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso illustrati più avanti in questa esercitazione oppure contattare il team di supporto clienti di Qlik Sense Enterprise per ottenere questi valori. La porta predefinita per gli URL è la 443, ma è possibile personalizzarla in base alle esigenze dell'organizzazione.
Nella pagina Configura l'accesso Single Sign-On con SAML nella sezione Certificato di firma SAML trovare il file XML metadati federazione definito dalle opzioni specificate in base ai propri requisiti e salvarlo in questo computer.
Creare un utente di test di Microsoft Entra
In questa sezione viene creato un utente di test di nome Britta Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
- In Proprietà utente seguire questa procedura:
- Nel campo Nome visualizzato inserire
B.Simon
. - Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio:
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato inserire
- Seleziona Crea.
Assegnare l'utente di test di Microsoft Entra
In questa sezione Britta Simon viene abilitata per l'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a Qlik Sense Enterprise.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare ad Applicazioni di identità>Applicazioni>aziendali>Qlik Sense Enterprise.
- Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.
- Selezionare Aggiungi utente, quindi utenti e gruppi nella finestra di dialogo Aggiunta assegnazione.
- Nella finestra di dialogo Utenti e gruppi selezionare Britta Simon dall'elenco Utenti e quindi selezionare il pulsante Seleziona nella parte inferiore della schermata.
- Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
- Nella finestra di dialogo Aggiungi assegnazione, selezionare il pulsante Assegna.
Configurare l'accesso SSO di Qlik Sense Enterprise
Passare a Qlik Sense Qlik Management Console (QMC) come utente autorizzato a creare configurazioni di proxy virtuali.
In QMC selezionare la voce di menu Proxy virtuali.
Nella parte inferiore della schermata selezionare il pulsante Crea nuovo .
Viene visualizzata la schermata per la modifica del proxy virtuale. Sul lato destro della schermata è disponibile un menu per la visualizzazione delle opzioni di configurazione.
Dopo aver selezionato l'opzione di menu Identification (Identificazione), immettere le informazioni di identificazione per la configurazione del proxy virtuale di Azure.
a. Il campo Description (Descrizione) contiene un nome descrittivo per la configurazione del proxy virtuale. Immettere un valore per la descrizione.
b. Il campo Prefisso identifica l'endpoint proxy virtuale per la connessione a Qlik Sense con l'accesso Single Sign-On di Microsoft Entra. Immettere un nome di prefisso univoco per il proxy virtuale.
c. Session inactivity timeout (minutes) (Timeout di inattività sessione - minuti) indica il timeout per le connessioni tramite il proxy virtuale.
d. Session cookie header name (Nome intestazione cookie sessione) è il nome del cookie in cui è archiviato l'identificatore della sessione di Qlik Sense ricevuto da un utente dopo il completamento dell'autenticazione. Il nome deve essere univoco.
Fare clic sull'opzione di menu Authentication (Autenticazione) per renderla visibile. Verrà visualizzata la schermata Authentication (Autenticazione).
a. L'elenco a discesa Modalità di accesso anonimo determina se gli utenti anonimi possono accedere a Qlik Sense tramite il proxy virtuale. L'opzione predefinita è Nessun utente anonimo.
b. L'elenco a discesa Metodo di autenticazione determina lo schema di autenticazione usato dal proxy virtuale. Selezionare SAML nell'elenco a discesa. Verranno di conseguenza visualizzate altre opzioni.
c. Nel campo URI host SAML immettere il nome host immesso dagli utenti per accedere a Qlik Sense tramite questo proxy virtuale SAML. Il nome host è l'URI del server Qlik Sense.
d. In SAML entity ID(ID entità SAML) immettere lo stesso valore inserito nel campo SAML host URI (URI host SAML).
e. I metadati IDP SAML sono il file modificato in precedenza nella sezione Modifica metadati federazione da Microsoft Entra Configuration. Prima di caricare i metadati IdP, è necessario modificare il file per rimuovere le informazioni per garantire il corretto funzionamento tra Microsoft Entra ID e il server Qlik Sense. Se il file non è ancora stato modificato, vedere le istruzioni riportate sopra. Se il file è stato modificato, selezionare il pulsante Sfoglia e selezionare il file di metadati modificato per caricarlo nella configurazione del proxy virtuale.
f. Immettere il nome dell'attributo o il riferimento allo schema per l'attributo SAML che rappresenta l'ID Di Ingresso Microsoft UserID inviato al server Qlik Sense. Le informazioni relative al riferimento dello schema sono disponibili nelle schermate dell'app in Azure in seguito alla configurazione. Per usare il nome di attributo, immettere
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.g. Immettere il valore per la directory utente che verrà collegata agli utenti quando eseguono l'autenticazione al server Qlik Sense tramite Microsoft Entra ID. I valori hardcoded devono essere racchiusi tra parentesi quadre []. Per usare un attributo inviato nell'asserzione MICROSOFT Entra SAML, immettere il nome dell'attributo in questa casella di testo senza parentesi quadre.
h. SAML signing algorithm (Algoritmo di firma SAML) imposta la firma del certificato del provider di servizi (in questo caso, il server Qlik Sense) per la configurazione del proxy virtuale. Se il server Qlik Sense usa un certificato attendibile generato con Microsoft Enhanced RSA and AES Cryptographic Provider, modificare l'algoritmo di firma SAML impostandolo su SHA-256.
i. La sezione mapping degli attributi SAML consente l'invio di altri attributi come i gruppi a Qlik Sense per l'uso nelle regole di sicurezza.
Selezionare l'opzione di menu BILANCIAMENTO DEL CARICO per renderla visibile. Verrà visualizzata la schermata Load balancing (Bilanciamento del carico).
Selezionare il pulsante Aggiungi nuovo nodo server, selezionare nodo motore o nodi a cui Qlik Sense invia sessioni per scopi di bilanciamento del carico e selezionare il pulsante Aggiungi .
Selezionare l'opzione di menu Avanzate per renderla visibile. Verrà visualizzata la schermata Advanced (Avanzate).
L'elenco consenti host identifica i nomi host accettati durante la connessione al server Qlik Sense. Immettere il nome host specificato dagli utenti durante la connessione al server Qlik Sense. Il nome host è lo stesso valore dell'URI dell'host SAML senza
https://
.Selezionare il pulsante Applica.
Selezionare OK per accettare il messaggio di avviso che indica che il proxy collegato al proxy virtuale verrà riavviato.
Sul lato destro della schermata verrà visualizzato il menu Associated items (Elementi associati). Selezionare l'opzione di menu Proxy .
Verrà visualizza la schermata relativa ai proxy. Selezionare il pulsante Collegamento nella parte inferiore per collegare un proxy al proxy virtuale.
Selezionare il nodo proxy che supporta questa connessione proxy virtuale e selezionare il pulsante Collega . Al termine del collegamento, il proxy verrà incluso nell'elenco dei proxy associati.
Dopo circa cinque-10 secondi, verrà visualizzato il messaggio QMC aggiornato. Selezionare il pulsante Aggiorna QMC .
Quando il QMC viene aggiornato, selezionare la voce di menu Proxy virtuali. La nuova voce del proxy virtuale SAML sarà elencata nella tabella visualizzata. Selezione singola nella voce del proxy virtuale.
Nella parte inferiore della schermata viene attivato il pulsante Scarica metadati SP. Selezionare il pulsante Scarica metadati SP per salvare i metadati in un file.
Aprire il file di metadati SP. Osservare le voci entityID e AssertionConsumerService. Questi valori sono equivalenti all'identificatore, all'URL di accesso e all'URL di risposta nella configurazione dell'applicazione Microsoft Entra. Incollare questi valori nella sezione URL e dominio Qlik Sense Enterprise nella configurazione dell'applicazione Microsoft Entra se non corrispondono, è necessario sostituirli nella configurazione guidata di Microsoft Entra App.
Creare un utente di test di Qlik Sense Enterprise
Qlik Sense Enterprise supporta il provisioning JIT. Gli utenti vengono aggiunti automaticamente al repository 'USERS' di Qlik Sense Enterprise quando usano la funzionalità SSO. Inoltre, i client possono usare QMC e creare un UDC (User Directory Connector) per prepopopolare gli utenti in Qlik Sense Enterprise dal proprio LDAP preferito, ad esempio Active Directory e altri.
Testare l'accesso SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Selezionare Test this application (Testa questa applicazione), verrà eseguito il reindirizzamento all'URL di accesso di Qlik Sense Enterprise in cui è possibile avviare il flusso di accesso.
Passare direttamente all'URL di accesso di Qlik Sense Enterprise e avviare il flusso di accesso da questa posizione.
È possibile usare App personali Microsoft. Quando si seleziona il riquadro Qlik Sense Enterprise nel App personali, verrà eseguito il reindirizzamento all'URL di accesso di Qlik Sense Enterprise. Per altre informazioni su App personali, vedere l'introduzione ad App personali.
Passaggi successivi
Dopo aver configurato Qlik Sense Enterprise, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.