Partilhar via


Tutorial: Integração do Microsoft Entra SSO com o Qlik Sense Enterprise Client-Managed

Neste tutorial, você aprenderá a integrar o Qlik Sense Enterprise Client-Managed ao Microsoft Entra ID. Ao integrar o Qlik Sense Enterprise Client-Managed com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Qlik Sense Enterprise.
  • Permita que seus usuários entrem automaticamente no Qlik Sense Enterprise com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Existem duas versões do Qlik Sense Enterprise. Embora este tutorial abranja a integração com as versões gerenciadas pelo cliente, um processo diferente é necessário para o Qlik Sense Enterprise SaaS (versão Qlik Cloud).

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do Qlik Sense Enterprise.
  • Junto com o Cloud Application Administrator, o Application Administrator também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, consulte Funções incorporadas do Azure.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Qlik Sense Enterprise suporta SSO iniciado por SP .
  • O Qlik Sense Enterprise oferece suporte ao provisionamento just-in-time

Para configurar a integração do Qlik Sense Enterprise no Microsoft Entra ID, você precisa adicionar o Qlik Sense Enterprise da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Qlik Sense Enterprise na caixa de pesquisa.
  4. Selecione Qlik Sense Enterprise no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e percorrer a configuração do SSO também. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Qlik Sense Enterprise

Configure e teste o Microsoft Entra SSO com o Qlik Sense Enterprise usando um usuário de teste chamado Brenda Fernandes. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Qlik Sense Enterprise.

Para configurar e testar o Microsoft Entra SSO com o Qlik Sense Enterprise, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Brenda Fernandes.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que Brenda Fernandes use o logon único do Microsoft Entra.
  2. Configure o Qlik Sense Enterprise SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Criar usuário de teste do Qlik Sense Enterprise - para ter uma contraparte de Brenda Fernandes no Qlik Sense Enterprise que esteja vinculada à representação de usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até a página de integração de aplicativos Identity Applications>Enterprise Qlik>Sense, localize a seção Gerenciar e selecione Logon> único.

  3. Na página Selecionar um método de logon único, selecione SAML.

  4. Na página Configurar Logon Único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

    A captura de tela mostra para editar a configuração básica S A M L.

  5. Na seção Configuração Básica do SAML, execute as seguintes etapas:

    a. Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

    Identificador
    https://<Fully Qualified Domain Name>.qlikpoc.com
    https://<Fully Qualified Domain Name>.qliksense.com

    b. Na caixa de texto URL de resposta, digite uma URL usando o seguinte padrão:

    https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

    c. Na caixa de texto URL de logon, digite uma URL usando o seguinte padrão: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

    Nota

    Estes valores não são reais. Atualize esses valores com o Identificador real, URL de resposta e URL de logon que são explicados posteriormente neste tutorial ou entre em contato com a equipe de suporte do Qlik Sense Enterprise Client para obter esses valores. A porta padrão para as URLs é 443, mas você pode personalizá-la de acordo com a necessidade da sua organização.

  6. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação das opções fornecidas de acordo com seu requisito e salve-o em seu computador.

    A captura de tela mostra o link de download do certificado.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você cria um usuário de teste chamado Brenda Fernandes.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilita Brenda Fernandes a usar o logon único do Azure concedendo acesso ao Qlik Sense Enterprise.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Aplicativos de identidade>>, aplicativos corporativos>, Qlik Sense Enterprise.
  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e selecione Usuários e grupos.
  4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Atribuição adicionada .
  5. Na caixa de diálogo Usuários e grupos, selecione Brenda Fernandes na lista Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.
  6. Se você espera que uma função seja atribuída aos usuários, pode selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
  7. Na caixa de diálogo Atribuição adicionada, selecione o botão Atribuir.

Configurar o Qlik Sense Enterprise SSO

  1. Navegue até o Qlik Sense Qlik Management Console (QMC) como um usuário que pode criar configurações de proxy virtual.

  2. No QMC, selecione no item de menu Proxies Virtuais.

    A captura de tela mostra proxies virtuais selecionados em CONFIGURE SYSTEM.

  3. Na parte inferior da tela, selecione o botão Criar novo .

    A captura de tela mostra a opção Criar nova.

  4. A tela de edição de proxy virtual é exibida. No lado direito da tela há um menu para tornar as opções de configuração visíveis.

    A captura de tela mostra a Identificação selecionada em Propriedades.

  5. Com a opção de menu Identificação marcada, insira as informações de identificação para a configuração de proxy virtual do Azure.

    A captura de tela mostra a seção Editar identificação de proxy virtual onde você pode inserir os valores descritos.

    a. O campo Descrição é um nome amigável para a configuração de proxy virtual. Insira um valor para uma descrição.

    b. O campo Prefixo identifica o ponto de extremidade de proxy virtual para conexão com o Qlik Sense com logon único do Microsoft Entra. Insira um nome de prefixo exclusivo para esse proxy virtual.

    c. O tempo limite de inatividade da sessão (minutos) é o tempo limite para conexões por meio desse proxy virtual.

    d. O nome do cabeçalho do cookie de sessão é o nome do cookie que armazena o identificador de sessão para a sessão do Qlik Sense que um usuário recebe após a autenticação bem-sucedida. Este nome tem de ser exclusivo.

  6. Clique na opção do menu Autenticação para torná-la visível. A tela Autenticação é exibida.

    A captura de tela mostra a seção Editar autenticação de proxy virtual onde você pode inserir os valores descritos.

    a. A lista suspensa Modo de acesso anônimo determina se usuários anônimos podem acessar o Qlik Sense por meio do proxy virtual. A opção padrão é Nenhum usuário anônimo.

    b. A lista suspensa Método de autenticação determina o esquema de autenticação usado pelo proxy virtual. Selecione SAML na lista suspensa. Como resultado, aparecem mais opções.

    c. No campo URI do host SAML, insira o nome do host que os usuários inserem para acessar o Qlik Sense por meio desse proxy virtual SAML. O nome do host é o URI do servidor Qlik Sense.

    d. No ID da entidade SAML, insira o mesmo valor inserido para o campo URI do host SAML.

    e. Os metadados SAML IdP são o arquivo editado anteriormente na seção Editar metadados de federação da configuração do Microsoft Entra. Antes de carregar os metadados do IdP, o arquivo precisa ser editado para remover informações e garantir o funcionamento adequado entre o Microsoft Entra ID e o servidor Qlik Sense. Consulte as instruções acima se o ficheiro ainda não tiver sido editado. Se o arquivo tiver sido editado, selecione no botão Procurar e selecione o arquivo de metadados editado para carregá-lo para a configuração de proxy virtual.

    f. Insira o nome do atributo ou a referência de esquema para o atributo SAML que representa o UserID que o Microsoft Entra ID envia para o servidor Qlik Sense. As informações de referência de esquema estão disponíveis nas telas de tela do aplicativo do Azure após a configuração. Para usar o atributo name, digite http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    g. Insira o valor para o diretório de usuário que será anexado aos usuários quando eles se autenticarem no servidor Qlik Sense por meio do Microsoft Entra ID. Os valores codificados devem ser cercados por colchetes []. Para usar um atributo enviado na asserção SAML do Microsoft Entra, digite o nome do atributo nesta caixa de texto sem colchetes.

    h. O algoritmo de assinatura SAML define a assinatura de certificado do provedor de serviços (neste caso, o servidor Qlik Sense) para a configuração de proxy virtual. Se o servidor Qlik Sense usar um certificado confiável gerado usando o Microsoft Enhanced RSA e o AES Cryptographic Provider, altere o algoritmo de assinatura SAML para SHA-256.

    i. A seção de mapeamento de atributos SAML permite que outros atributos, como grupos, sejam enviados ao Qlik Sense para uso em regras de segurança.

  7. Selecione na opção de menu BALANCEAMENTO DE CARGA para torná-lo visível. A tela Balanceamento de carga é exibida.

    A captura de tela mostra a tela de edição de proxy virtual para BALANCEAMENTO DE CARGA, onde você pode selecionar Adicionar novo nó do servidor.

  8. Selecione no botão Adicionar novo nó do servidor, selecione nó do mecanismo ou nós para os quais o Qlik Sense envia sessões para fins de balanceamento de carga e selecione o botão Adicionar .

    A captura de tela mostra o botão de diálogo Adicionar nós de servidor para balanceamento de carga em onde você pode Adicionar servidores.

  9. Selecione na opção de menu Avançado para torná-lo visível. A tela Avançado é exibida.

    A captura de tela mostra a tela Editar proxy virtual Avançado.

    A lista de permissões do host identifica os nomes de host que são aceitos ao se conectar ao servidor do Qlik Sense. Insira o nome do host que os usuários especificarão ao se conectar ao servidor Qlik Sense. O nome do host é o mesmo valor que o URI do host SAML sem o https://arquivo .

  10. Selecione o botão Aplicar.

    A captura de tela mostra o botão Aplicar.

  11. Selecione OK para aceitar a mensagem de aviso informando que o proxy vinculado ao proxy virtual será reiniciado.

    A captura de tela mostra a mensagem de confirmação Aplicar alterações ao proxy virtual.

  12. No lado direito da tela, o menu Itens associados é exibido. Selecione na opção de menu Proxies .

    A captura de tela mostra Proxies selecionados em Itens associados.

  13. A tela de proxy é exibida. Selecione o botão Link na parte inferior para vincular um proxy ao proxy virtual.

    A captura de tela mostra o botão Link.

  14. Selecione o nó proxy que suporta essa conexão de proxy virtual e selecione o botão Link . Após a vinculação, o proxy será listado em proxies associados.

    A captura de tela mostra Selecionar serviços de proxy.

    A captura de tela mostra Proxies associados na caixa de diálogo Itens associados ao proxy virtual.

  15. Após cerca de cinco a 10 segundos, a mensagem QMC atualizado aparecerá. Selecione o botão Atualizar QMC .

    A captura de ecrã mostra a mensagem A sua sessão terminou.

  16. Quando o QMC for atualizado, selecione no item de menu Proxies virtuais. A nova entrada de proxy virtual SAML está listada na tabela na tela. Seleção única na entrada de proxy virtual.

    A captura de tela mostra proxies virtuais com uma única entrada.

  17. Na parte inferior da tela, o botão Baixar metadados do SP é ativado. Selecione o botão Baixar metadados da controladora de armazenamento para salvar os metadados em um arquivo.

    A captura de tela mostra o botão de metadados Download S P.

  18. Abra o arquivo de metadados do sp. Observe a entrada entityID e a entrada AssertionConsumerService . Esses valores são equivalentes ao Identificador, URL de Logon e URL de Resposta na configuração do aplicativo Microsoft Entra. Cole esses valores na seção Domínio e URLs do Qlik Sense Enterprise na configuração do aplicativo Microsoft Entra se eles não estiverem correspondendo, então você deve substituí-los no assistente de configuração do Microsoft Entra App.

    A captura de tela mostra um editor de texto sem formatação com um EntityDescriptor com entityID e AssertionConsumerService chamados.

Criar usuário de teste do Qlik Sense Enterprise

O Qlik Sense Enterprise suporta provisionamento just-in-time, Usuários adicionados automaticamente ao repositório 'USUÁRIOS' do Qlik Sense Enterprise à medida que usam o recurso SSO. Além disso, os clientes podem usar o QMC e criar um UDC (User Directory Connector) para pré-preencher usuários no Qlik Sense Enterprise a partir de seu LDAP de escolha, como o Ative Directory e outros.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Selecione em Testar este aplicativo, isso redirecionará para a URL de logon do Qlik Sense Enterprise, onde você poderá iniciar o fluxo de login.

  • Vá diretamente para a URL de logon do Qlik Sense Enterprise e inicie o fluxo de login a partir daí.

  • Você pode usar o Microsoft My Apps. Quando você seleciona o bloco do Qlik Sense Enterprise em Meus Aplicativos, isso redireciona para a URL de Logon do Qlik Sense Enterprise. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o Qlik Sense Enterprise, você pode impor o controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.