Udostępnij za pośrednictwem


Samouczek: integracja usługi Microsoft Entra SSO z usługą Qlik Sense Enterprise Zarządzana przez klienta

Z tego samouczka dowiesz się, jak zintegrować usługę Qlik Sense Enterprise Client-Managed z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Qlik Sense Enterprise zarządzanej przez klienta z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Qlik Sense Enterprise.
  • Umożliwianie użytkownikom automatycznego logowania do usługi Qlik Sense Enterprise przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Należy pamiętać, że istnieją dwie wersje usługi Qlik Sense Enterprise. Chociaż w tym samouczku omówiono integrację z wersjami zarządzanymi przez klienta, wymagany jest inny proces dla usługi Qlik Sense Enterprise SaaS (wersja Qlik Cloud).

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Qlik Sense Enterprise z obsługą logowania jednokrotnego.
  • Oprócz Administracja istratora aplikacji w chmurze usługa Application Administracja istrator może również dodawać aplikacje lub zarządzać nimi w usłudze Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Qlik Sense Enterprise obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.
  • Usługa Qlik Sense Enterprise obsługuje aprowizację typu just in time

Aby skonfigurować integrację usługi Qlik Sense Enterprise z identyfikatorem Entra firmy Microsoft, należy dodać usługę Qlik Sense Enterprise z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Qlik Sense Enterprise w polu wyszukiwania.
  4. Wybierz pozycję Qlik Sense Enterprise z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie usługi Microsoft Entra SSO dla usługi Qlik Sense Enterprise

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z usługą Qlik Sense Enterprise przy użyciu użytkownika testowego Britta Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi Qlik Sense Enterprise.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze Qlik Sense Enterprise, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z użytkownikiem Britta Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić użytkownikowi Britta Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne usługi Qlik Sense Enterprise — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego usługi Qlik Sense Enterprise — aby mieć w usłudze Qlik Sense Enterprise odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji dla>przedsiębiorstw Usługi Qlik Sense Enterprise,>>znajdź sekcję Zarządzanie i wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Screenshot shows to edit Basic S A M L Configuration.

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:

    Identyfikator
    https://<Fully Qualified Domain Name>.qlikpoc.com
    https://<Fully Qualified Domain Name>.qliksense.com

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:

    https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

    c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania, które zostały wyjaśnione w dalszej części tego samouczka lub skontaktuj się z zespołem pomocy technicznej klienta usługi Qlik Sense Enterprise, aby uzyskać te wartości. Domyślny port dla adresów URL to 443, ale można go dostosować zgodnie z potrzebami organizacji.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź kod XML metadanych federacji z podanych opcji zgodnie z wymaganiami i zapisz go na komputerze.

    Screenshot shows the Certificate download link.

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie Britta Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz dla użytkownika Britta Simon możliwość korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do usługi Qlik Sense Enterprise.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications Enterprise applications Qlik Sense Enterprise (Aplikacje dla>przedsiębiorstw w usłudze>Identity Applications).>
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję Britta Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego usługi Qlik Sense Enterprise

  1. Przygotuj plik XML metadanych federacji, który można przekazać na serwer Qlik Sense.

    Uwaga

    Przed przekazaniem metadanych dostawcy tożsamości do serwera Qlik Sense należy edytować plik, aby usunąć informacje, aby zapewnić właściwą operację między identyfikatorem Entra firmy Microsoft i serwerem Qlik Sense.

    Screenshot shows a Visual Studio Code window with the Federation Metadata X M L file.

    a. Otwórz plik FederationMetaData.xml pobrany z witryny Azure Portal w edytorze tekstów.

    b. Wyszukaj wartość RoleDescriptor. Istnieją cztery wpisy (dwie pary otwierających i zamykających tagów elementu).

    c. Usuń z pliku tagi RoleDescriptor i wszystkie informacje między nimi.

    d. Zapisz plik tak, aby był dostępny do użycia w dalszej części tego dokumentu.

  2. Przejdź do konsoli Qlik Management Console (QMC) usługi Qlik Sense jako użytkownik, który może tworzyć konfiguracje wirtualnego serwera proxy.

  3. W konsoli QMC kliknij pozycję menu Virtual Proxies (Wirtualne serwery proxy).

    Screenshot shows Virtual proxies selected from CONFIGURE SYSTEM.

  4. W dolnej części ekranu kliknij przycisk Create new (Utwórz nowy).

    Screenshot shows the Create new option.

  5. Zostanie wyświetlony ekran edycji wirtualnych serwerów proxy. Po prawej stronie ekranu jest dostępne menu umożliwiające włączenie widoczności opcji konfiguracji.

    Screenshot shows Identification selected from Properties.

  6. Przy zaznaczonej opcji menu Identification (Identyfikacja) podaj informacje identyfikujące konfigurację wirtualnego serwera proxy platformy Azure.

    Screenshot shows Edit virtual proxy Identification section where you can enter the values described.

    a. Pole Description (Opis) to przyjazna nazwa dla konfiguracji wirtualnego serwera proxy. Podaj wartość zawierającą opis.

    b. Pole Prefiks identyfikuje wirtualny punkt końcowy serwera proxy na potrzeby nawiązywania połączenia z usługą Qlik Sense przy użyciu logowania jednokrotnego firmy Microsoft Entra. Podaj unikatowy prefiks dla tego wirtualnego serwera proxy.

    c. Pole Session inactivity timeout (minutes) (Limit czasu bezczynności sesji w minutach) to limit czasu dla połączeń przechodzących przez wirtualny serwer proxy.

    d. Pole Session cookie header name (Nazwa nagłówka pliku cookie sesji) przechowuje identyfikator sesji usługi Qlik Sense, który użytkownik otrzymuje po pomyślnym uwierzytelnieniu. Ta nazwa musi być unikatowa.

  7. Kliknij opcję menu Authentication (Uwierzytelnianie), aby stała się widoczna. Zostanie wyświetlony ekran Authentication (Uwierzytelnianie).

    Screenshot shows Edit virtual proxy Authentication section where you can enter the values described.

    a. Lista rozwijana Tryb dostępu anonimowego określa, czy użytkownicy anonimowi mogą uzyskiwać dostęp do usługi Qlik Sense za pośrednictwem wirtualnego serwera proxy. Opcja domyślna to Brak anonimowego użytkownika.

    b. Lista rozwijana Metoda uwierzytelniania określa schemat uwierzytelniania używany przez wirtualny serwer proxy. Wybierz pozycję SAML z listy rozwijanej. Zostaną wtedy wyświetlone kolejne opcje.

    c. W polu Identyfikator URI hosta SAML wprowadź nazwę hosta, którą użytkownicy wprowadzają w celu uzyskania dostępu do usługi Qlik Sense za pośrednictwem tego wirtualnego serwera proxy SAML. Nazwa hosta to identyfikator URI serwera Qlik Sense.

    d. W polu SAML entity ID (Identyfikator jednostki SAML) podaj tę samą wartość co w polu SAML host URI (Identyfikator URI hosta SAML).

    e. Metadane dostawcy tożsamości SAML są plikiem edytowanym wcześniej w sekcji Edytowanie metadanych federacji z usługi Microsoft Entra Configuration. Przed przekazaniem metadanych dostawcy tożsamości należy edytować plik, aby usunąć informacje w celu zapewnienia prawidłowej operacji między identyfikatorem Entra firmy Microsoft i serwerem Qlik Sense. Zapoznaj się z instrukcjami powyżej, jeśli plik nie został jeszcze zmodyfikowany. Jeśli plik został już zmodyfikowany, kliknij przycisk Browse (Przeglądaj) i wybierz edytowany plik metadanych, aby przekazać go do konfiguracji wirtualnego serwera proxy.

    f. Wprowadź nazwę atrybutu lub odwołanie do schematu atrybutu SAML reprezentującego identyfikator UserID Firmy Microsoft wysyłane do serwera Qlik Sense. Informacje o odwołaniu do schematu są dostępne na ekranach aplikacji platformy Azure wyświetlanych po konfiguracji. Aby użyć nazwy atrybutu, podaj ciąg http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    g. Wprowadź wartość katalogu użytkownika, który zostanie dołączony do użytkowników podczas uwierzytelniania na serwerze Qlik Sense za pomocą identyfikatora Entra firmy Microsoft. Zapisane na stałe wartości muszą być ujęte w nawiasy kwadratowe — []. Aby użyć atrybutu wysłanego w asercji Microsoft Entra SAML, wprowadź nazwę atrybutu w tym polu tekstowym bez nawiasów kwadratowych.

    h. Pole SAML signing algorithm (Algorytm podpisywania SAML) umożliwia ustawienie podpisywania certyfikatu dostawcy usług (w tym przypadku serwera Qlik Sense) dla konfiguracji wirtualnego serwera proxy. Jeśli serwer Qlik Sense używa certyfikatu zaufanego wygenerowanego za pomocą dostawcy Microsoft Enhanced RSA and AES Cryptographic Provider, zmień algorytm podpisywania SAML na SHA-256.

    i. Sekcja mapowania atrybutów SAML umożliwia wysyłanie dodatkowych atrybutów, takich jak grupy, do usługi Qlik Sense na potrzeby użycia w regułach zabezpieczeń.

  8. Kliknij opcję menu LOAD BALANCING (RÓWNOWAŻENIE OBCIĄŻENIA), aby stała się widoczna. Zostanie wyświetlony ekran Load Balancing (Równoważenie obciążenia).

    Screenshot shows the Virtual proxy edit screen for LOAD BALANCING where you can select Add new server node.

  9. Kliknij przycisk Add new server node (Dodaj nowy węzeł serwera), wybierz węzeł lub węzły aparatu, do których usługa Qlik Sense będzie wysyłać sesje na potrzeby równoważenia obciążenia, a następnie kliknij przycisk Add (Dodaj).

    Screenshot shows the Add server nodes to load balance on dialog button where you can Add servers.

  10. Kliknij opcję menu Advanced (Zaawansowane), aby stała się widoczna. Zostanie wyświetlony ekran Advanced (Zaawansowane).

    Screenshot shows the Edit virtual proxy Advanced screen.

    Lista dozwolonych hostów identyfikuje nazwy hostów, które są akceptowane podczas nawiązywania połączenia z serwerem Qlik Sense. Wprowadź nazwę hosta, którą użytkownicy określą podczas nawiązywania połączenia z serwerem Qlik Sense. Nazwa hosta jest taka sama jak identyfikator URI hosta SAML bez .https://

  11. Następnie kliknij przycisk Apply (Zastosuj).

    Screenshot shows the Apply button.

  12. Kliknij przycisk OK, aby zaakceptować komunikat ostrzegawczy informujący o tym, że serwery proxy połączone z wirtualnym serwerem proxy zostaną uruchomione ponownie.

    Screenshot shows the Apply changes to virtual proxy confirmation message.

  13. Po prawej stronie ekranu zostanie wyświetlone menu Associated items (Elementy skojarzone). Kliknij opcję menu Proxies (Serwery proxy).

    Screenshot shows Proxies selected from Associated items.

  14. Zostanie wyświetlony ekran serwera proxy. Kliknij przycisk Link (Połącz) w dolnej części ekranu, aby połączyć serwer proxy z wirtualnym serwerem proxy.

    Screenshot shows the Link button.

  15. Wybierz węzeł serwera proxy, który będzie obsługiwać połączenie tego wirtualnego serwera proxy, a następnie kliknij przycisk Link (Połącz). Po połączeniu serwer proxy zostanie wyświetlony w obszarze skojarzonych serwerów proxy.

    Screenshot shows Select proxy services.

    Screenshot shows Associated proxies in the Virtual proxy associated items dialog box.

  16. Po około 5–10 sekundach zostanie wyświetlony komunikat odświeżenia konsoli QMC. Kliknij przycisk Refresh QMC (Odśwież konsolę QMC).

    Screenshot shows the message Your session has ended.

  17. Po odświeżeniu konsoli QMC kliknij pozycję menu Virtual proxies (Wirtualne serwery proxy). Pozycja nowego wirtualnego serwera proxy SAML zostanie wyświetlona w tabeli na ekranie. Kliknij jednokrotnie pozycję wirtualnego serwera proxy.

    Screenshot shows Virtual proxies with a single entry.

  18. W dolnej części ekranu zostanie aktywowany przycisk Download SP metadata (Pobierz metadane dostawcy usług). Kliknij przycisk Download SP metadata (Pobierz metadane dostawcy usług), aby zapisać metadane do pliku.

    Screenshot shows the Download S P metadata button.

  19. Otwórz plik metadanych dostawcy usług. Zwróć uwagę na pozycje entityID i AssertionConsumerService. Te wartości są równoważne identyfikatorowi, adresowi URL logowania i adresowi URL odpowiedzi w konfiguracji aplikacji Microsoft Entra. Wklej te wartości w sekcji Domena i adresy URL usługi Qlik Sense Enterprise w konfiguracji aplikacji Microsoft Entra, jeśli nie są one zgodne, a następnie zastąp je w kreatorze konfiguracji aplikacji Microsoft Entra App.

    Screenshot shows a plain text editor with an EntityDescriptor with entityID and AssertionConsumerService called out.

Tworzenie użytkownika testowego usługi Qlik Sense Enterprise

Usługa Qlik Sense Enterprise obsługuje aprowizację just in time— użytkownicy automatycznie dodawani do repozytorium "USERS" usługi Qlik Sense Enterprise, ponieważ korzystają z funkcji logowania jednokrotnego. Ponadto klienci mogą używać kontrolera QMC i tworzyć udC (Połączenie or katalogu użytkowników) na potrzeby wstępnego wypełniania użytkowników w usłudze Qlik Sense Enterprise z wybranego protokołu LDAP, takiego jak usługa Active Directory i inne.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania usługi Qlik Sense Enterprise, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania usługi Qlik Sense Enterprise i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Qlik Sense Enterprise w Moje aplikacje nastąpi przekierowanie do adresu URL logowania usługi Qlik Sense Enterprise. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Qlik Sense Enterprise możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.