Partilhar via

Configurar o Qlik Sense Enterprise Client-Managed para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Qlik Sense Enterprise Client-Managed ao Microsoft Entra ID. Ao integrar o Qlik Sense Enterprise Client-Managed com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Qlik Sense Enterprise.
  • Permita que seus usuários entrem automaticamente no Qlik Sense Enterprise com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Existem duas versões do Qlik Sense Enterprise. Embora este artigo aborde a integração com as versões gerenciadas pelo cliente, um processo diferente é necessário para o Qlik Sense Enterprise SaaS (versão Qlik Cloud).

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do Qlik Sense Enterprise.
  • Junto com o Cloud Application Administrator, o Application Administrator também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, consulte Funções incorporadas do Azure.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Qlik Sense Enterprise suporta SSO iniciado por SP .
  • O Qlik Sense Enterprise oferece suporte ao provisionamento just-in-time

Para configurar a integração do Qlik Sense Enterprise no Microsoft Entra ID, você precisa adicionar o Qlik Sense Enterprise da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Qlik Sense Enterprise na caixa de pesquisa.
  4. Selecione Qlik Sense Enterprise no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Qlik Sense Enterprise

Configure e teste o Microsoft Entra SSO com o Qlik Sense Enterprise usando um utilizador de teste chamado Britta Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Qlik Sense Enterprise.

Para configurar e testar o Microsoft Entra SSO com o Qlik Sense Enterprise, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Britta Simon.
    2. Atribua o utilizador de teste do Microsoft Entra - para permitir que Britta Simon use o início de sessão único do Microsoft Entra.
  2. Configure o Qlik Sense Enterprise SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Criar utilizador de teste do Qlik Sense Enterprise - para ter um equivalente de Britta Simon no Qlik Sense Enterprise vinculado à representação de utilizador do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra para SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até a página de integração de aplicativos do Entra ID>Enterprise apps>Qlik Sense Enterprise, encontre a seção Gerenciar e selecione Single sign-on.

  3. Na página Selecionar um método de logon único, selecione SAML.

  4. Na página Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

    A captura de tela mostra como editar a configuração básica do S A M L.

  5. Na seção Configuração Básica do SAML, execute as seguintes etapas:

    a) Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

    Identificador
    https://<Fully Qualified Domain Name>.qlikpoc.com
    https://<Fully Qualified Domain Name>.qliksense.com

    b) Na caixa de texto URL de resposta, digite um URL usando o seguinte padrão:

    https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

    c. Na caixa de texto do URL de início de sessão, digite uma URL usando o seguinte padrão: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

    Nota

    Esses valores não são reais. Atualize esses valores com o Identificador, URL de resposta e URL de logon reais, que são explicados mais adiante neste artigo, ou entre em contato com equipe de suporte do Qlik Sense Enterprise Client para obter esses valores. A porta padrão para as URLs é 443, mas você pode personalizá-la de acordo com a necessidade da sua organização.

  6. Na página Configurar Logon Único com SAML, na secção Certificado de Assinatura SAML, localize Federation Metadata XML das opções fornecidas de acordo com o seu requisito e salve-o em seu computador.

    A captura de tela mostra o link de download do certificado.

Criar e atribuir usuário de teste do Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Configurar o Qlik Sense Enterprise SSO

  1. Navegue até o Qlik Sense Qlik Management Console (QMC) como um usuário que pode criar configurações de proxy virtual.

  2. No QMC, selecione o item de menu Proxies Virtuais .

    A captura de tela mostra proxies virtuais selecionados em CONFIGURE SYSTEM.

  3. Na parte inferior da tela, selecione o botão Criar novo .

    A captura de tela mostra a opção Criar nova.

  4. A tela de edição de proxy virtual é exibida. No lado direito da tela há um menu para tornar as opções de configuração visíveis.

    A captura de tela mostra a Identificação selecionada em Propriedades.

  5. Com a opção de menu Identificação marcada, insira as informações de identificação para a configuração de proxy virtual do Azure.

    A captura de tela mostra a seção Editar identificação de proxy virtual onde você pode inserir os valores descritos.

    a) O campo Descrição é um nome amigável para a configuração de proxy virtual. Insira um valor para uma descrição.

    b) O campo Prefixo identifica o ponto final do proxy virtual para a ligação ao Qlik Sense com autenticação única através do Microsoft Entra. Insira um nome de prefixo exclusivo para esse proxy virtual.

    c. O tempo limite de inatividade da sessão (minutos) é o tempo limite para conexões por meio desse proxy virtual.

    d. O nome do cabeçalho do cookie de sessão é o nome do cookie que armazena o identificador de sessão para a sessão do Qlik Sense que um usuário recebe após a autenticação bem-sucedida. Este nome tem de ser exclusivo.

  6. Selecione a opção do menu Autenticação para torná-la visível. A tela Autenticação é exibida.

    A captura de tela mostra a seção Editar autenticação de proxy virtual onde você pode inserir os valores descritos.

    a) A lista suspensa Modo de acesso anónimo determina se utilizadores anónimos podem aceder ao Qlik Sense através do proxy virtual. A opção padrão é Nenhum usuário anônimo.

    b) A lista suspensa de método de autenticação define o esquema de autenticação usado pelo proxy virtual. Selecione SAML na lista suspensa. Como resultado, aparecem mais opções.

    c. No campo URI do host SAML, introduza o nome do host que os utilizadores escrevem para aceder ao Qlik Sense através deste proxy virtual SAML. O nome do host é o URI do servidor Qlik Sense.

    d. No ID da entidade SAML, insira o mesmo valor inserido no campo URI do anfitrião SAML.

    e. Os metadados SAML IdP são o ficheiro editado anteriormente na seção Editar Metadados de Federação da Microsoft Entra Configuration. Antes de carregar os metadados do IdP, o arquivo precisa ser editado para remover informações e garantir o funcionamento adequado entre o Microsoft Entra ID e o servidor Qlik Sense. Consulte as instruções acima se o ficheiro ainda não tiver sido editado. Se o arquivo tiver sido editado, selecione o botão Procurar e selecione o arquivo de metadados editado para carregá-lo na configuração de proxy virtual.

    f. Insira o nome do atributo ou a referência de esquema para o atributo SAML que representa o UserID que o Microsoft Entra ID envia para o servidor Qlik Sense. As informações de referência de esquema estão disponíveis nas telas do aplicativo do Azure após a configuração. Para usar o atributo name, digite http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    g. Insira o valor para o diretório de usuário anexado aos usuários quando eles se autenticam no servidor Qlik Sense por meio do Microsoft Entra ID. Os valores codificados devem ser cercados por colchetes []. Para usar um atributo enviado na asserção SAML do Microsoft Entra, digite o nome do atributo nesta caixa de texto sem colchetes.

    h. O algoritmo de assinatura SAML define a assinatura de certificado do provedor de serviços (neste caso, o servidor Qlik Sense) para a configuração de proxy virtual. Se o servidor Qlik Sense usar um certificado confiável gerado usando o Microsoft Enhanced RSA e o AES Cryptographic Provider, altere o algoritmo de assinatura SAML para SHA-256.

    i) A seção de mapeamento de atributos SAML permite que outros atributos, como grupos, sejam enviados ao Qlik Sense para uso em regras de segurança.

  7. Selecione a opção de menu BALANCEAMENTO DE CARGA para torná-la visível. A tela Balanceamento de carga é exibida.

    A imagem de captura de ecrã mostra a interface de edição de proxy virtual para BALANCEAMENTO DE CARGA, onde pode selecionar a opção Adicionar novo nó de servidor.

  8. Selecione o botão Adicionar novo nó do servidor, selecione o(s) nó(s) de motor para o(s) qual(is) o Qlik Sense envia sessões para balanceamento de carga, e selecione o botão Adicionar.

    A captura de tela mostra o botão de diálogo Adicionar nós de servidor para balanceamento de carga em onde você pode Adicionar servidores.

  9. Selecione a opção de menu Avançado para torná-lo visível. O ecrã Avançado é exibido.

    A captura de ecrã mostra o ecrã Avançado de edição de proxy virtual.

    A lista de permissões do host identifica os nomes de host que são aceitos ao se conectar ao servidor do Qlik Sense. Insira o nome do host que os usuários especificarão ao se conectar ao servidor Qlik Sense. O nome do host é o mesmo valor que o URI do host SAML sem o https://.

  10. Selecione o botão Aplicar.

    A captura de tela mostra o botão Aplicar.

  11. Selecione OK para aceitar a mensagem de aviso informando que o proxy vinculado ao proxy virtual foi reiniciado.

    O screenshot mostra a mensagem de confirmação

  12. No lado direito da tela, o menu Itens associados é exibido. Selecione a opção de menu Proxies .

    A imagem do ecrã mostra Proxies selecionados dos Itens Associados.

  13. A tela de proxy é exibida. Selecione o botão Link na parte inferior para vincular um proxy ao proxy virtual.

    A captura de tela mostra o botão Link.

  14. Selecione o nó proxy que suporta essa conexão de proxy virtual e selecione o botão Link . Após a vinculação, o proxy é listado em proxies associados.

    A captura de tela mostra Selecionar serviços de proxy.

    A captura de ecrã mostra proxies associados na caixa de diálogo de itens associados ao proxy virtual.

  15. Após cerca de cinco a 10 segundos, a mensagem QMC atualizada aparece. Selecione o botão Atualizar QMC .

    A captura de ecrã mostra a mensagem A sua sessão terminou.

  16. Quando o QMC atualiza, selecione o item de menu Proxies virtuais. A nova entrada de proxy virtual SAML está listada na tabela na tela. Selecione uma única vez a entrada de proxy virtual.

    A captura de tela mostra proxies virtuais com uma única entrada.

  17. Na parte inferior da tela, o botão Baixar metadados do SP é ativado. Selecione o botão Descarregar metadados do SP para guardar os metadados num ficheiro.

    A captura de tela mostra o botão de metadados Download S P.

  18. Abra o arquivo de metadados do sp. Observe a entrada entityID e a entrada AssertionConsumerService. Esses valores são equivalentes ao Identificador, URL de Logon e ao URL de Resposta na configuração do aplicativo Microsoft Entra. Cole esses valores na seção Domínio e URLs do Qlik Sense Enterprise na configuração do aplicativo Microsoft Entra. Se eles não corresponderem, deverá substituí-los no assistente de configuração da aplicação Microsoft Entra.

    A captura de tela mostra um editor de texto sem formatação com um EntityDescriptor, onde o entityID e o AssertionConsumerService são destacados.

Criar usuário de teste do Qlik Sense Enterprise

O Qlik Sense Enterprise suporta provisionamento just-in-time. Os utilizadores são adicionados automaticamente ao repositório 'USUÁRIOS' do Qlik Sense Enterprise à medida que utilizam o recurso de SSO. Além disso, os clientes podem usar o QMC e criar um UDC (User Directory Connector) para pré-preencher os usuários no Qlik Sense Enterprise a partir do seu LDAP de escolha, como o Active Directory e outros.

Testar SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de logon do Qlik Sense Enterprise onde você pode iniciar o fluxo de entrada.

  • Vá diretamente para a URL de logon do Qlik Sense Enterprise e inicie o fluxo de login a partir daí.

  • Você pode usar o Microsoft My Apps. Quando você seleciona o bloco do Qlik Sense Enterprise em Meus Aplicativos, essa opção redireciona para a URL de Logon do Qlik Sense Enterprise. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Qlik Sense Enterprise, você pode impor o controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.