Настройка Qlik Sense Enterprise Client-Managed для единого входа с помощью идентификатора Microsoft Entra

Из этой статьи вы узнаете, как интегрировать Qlik Sense Enterprise Client-Managed с идентификатором Microsoft Entra ID. При интеграции Qlik Sense Enterprise Client-Managed с Microsoft Entra ID вы можете:

• Контроль того, кто имеет доступ к Qlik Sense Enterprise, с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в Qlik Sense Enterprise с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в одном центральном месте.

Существует две версии Qlik Sense Enterprise. Хотя в этой статье рассматривается интеграция с релизами, управляемыми клиентом, для Qlik Sense Enterprise SaaS (версии Qlik Cloud) требуется другой процесс.

Предварительные условия

Чтобы приступить к работе, потребуется следующее.

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• Подписка Qlik Sense Enterprise с подключённой функцией единого входа.
• Наряду с администратором облачных приложений администратор приложений также может добавлять или управлять приложениями в Microsoft Entra ID. Дополнительные сведения см. в статье Встроенные роли Azure.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Qlik Sense Enterprise поддерживает единый вход, инициированный поставщиком услуг.
• Qlik Sense Enterprise поддерживает подготовку по мере необходимости.

Добавьте Qlik Sense Enterprise из галереи

Чтобы настроить интеграцию Qlik Sense Enterprise с идентификатором Microsoft Entra ID, необходимо добавить Qlik Sense Enterprise из коллекции в список управляемых приложений SaaS.

1. Войдите в центр администрирования Microsoft Entra как по крайней мере Администратор облачных приложений.
2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Qlik Sense Enterprise.
4. Выберите Qlik Sense Enterprise в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом помощнике настройки можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и, в том числе, выполнить настройку единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Qlik Sense Enterprise

Настройте и проверьте единый вход Microsoft Entra в Qlik Sense Enterprise с помощью тестового пользователя Britta Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Qlik Sense Enterprise.

Чтобы настроить и проверить единый вход Microsoft Entra в Qlik Sense Enterprise, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройка Qlik Sense Enterprise SSO - для конфигурации параметров единой системы входа на стороне приложения.
   1. Создайте тестового пользователя Qlik Sense Enterprise, чтобы в Qlik Sense Enterprise был пользователь, аналогичный Britta Simon, связанный с представлением пользователя в Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка Microsoft Entra для единого входа (SSO)

Выполните следующие действия, чтобы включить Microsoft Entra SSO.

1. Войдите в центр администрирования Microsoft Entra как по крайней мере Администратор облачных приложений.

2. Перейдите на страницу интеграции приложений Entra ID>Enterprise apps>Qlik Sense Enterprise, найдите раздел Manage и выберите Single sign-on.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры.

   

5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

   a. В текстовом поле Идентификатор введите URL-адрес в одном из следующих форматов:

   Идентификатор
   https://<Fully Qualified Domain Name>.qlikpoc.com
   https://<Fully Qualified Domain Name>.qliksense.com

   б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате:

   https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

   с. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub

   Примечание.

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа, которые описаны далее в этой статье или обратитесь в службу поддержки клиентов Qlik Sense Enterprise , чтобы получить эти значения. По умолчанию для URL-адресов используется порт 443, но вы можете изменить его в соответствии с потребностями вашей организации.

6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите нужный вам XML-файл метаданных федерации и сохраните его на компьютере.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Конфигурация Qlik Sense Enterprise для SSO

1. Перейдите в консоль управления Qlik Sense Qlik Management Console (QMC) как пользователь, который может создавать конфигурации виртуального прокси-сервера.

2. В QMC выберите пункт меню Виртуальные прокси-серверы.

   

3. В нижней части экрана нажмите кнопку "Создать".

   

4. На экране появится окно редактирования виртуального прокси-сервера. В правой части экрана расположено меню для отображения параметров конфигурации.

   

5. Установите галочку возле пункта меню Identification (Идентификация) и введите идентифицирующие сведения для конфигурации виртуального прокси-сервера Azure.

   

   a. В поле Description (Описание) укажите понятное имя для конфигурации виртуального прокси-сервера. Введите значение в поле Description (Описание).

   б. Поле Префикс определяет конечную точку виртуального прокси-сервера для подключения к Qlik Sense с использованием единого входа Microsoft Entra. Введите уникальное имя префикса для этого виртуального прокси-сервера.

   с. Session inactivity timeout (minutes) (Время ожидания при бездействии сеанса (в минутах)) — это время для ожидания подключений через этот виртуальный прокси-сервер.

   д. Session cookie header name (Имя заголовка сеанса в файле cookie) — имя cookie, которое содержит идентификатор для сеанса Qlik Sense, полученный пользователем после успешной проверки подлинности. Имя должно быть уникальным.

6. Выберите пункт меню "Проверка подлинности", чтобы сделать его видимым. Появится экран Authentication (Проверка подлинности).

   

   a. Значение в раскрывающемся списке Anonymous access mode (Режим анонимного доступа) определяет, могут ли анонимные пользователи получить доступ к Qlik Sense через виртуальный прокси-сервер. Параметр по умолчанию — No anonymous user (Без анонимных пользователей).

   б. Раскрывающийся список методов проверки подлинности определяет схему проверки подлинности, используемой виртуальным прокси-сервером. Выберите SAML из раскрывающегося списка. После этого появятся дополнительные параметры.

   с. В поле SAML host URI (URI узла SAML) введите имя узла, которое пользователи будут вводить для доступа к Qlik Sense через этот виртуальный прокси-сервер SAML. Имя узла представляет собой URI сервера Qlik Sense.

   д. В поле SAML entity ID (Идентификатор сущности SAML) введите то же значение, что и в поле SAML host URI (URI узла SAML).

   д) Метаданные поставщика удостоверений SAML — это файл, измененный ранее в разделе "Изменение метаданных федерации" из "Конфигурация Microsoft Entra". Перед загрузкой метаданных поставщика удостоверений необходимо изменить файл, удалив часть сведений, чтобы обеспечить корректное взаимодействие между Microsoft Entra ID и сервером Qlik Sense. Если файл еще не был изменен, см. инструкции выше. Если файл был изменен, нажмите кнопку "Обзор" и выберите измененный файл метаданных, чтобы отправить его в конфигурацию виртуального прокси-сервера.

   ф. Введите имя атрибута или ссылку на схему для атрибута SAML, который представляет идентификатор UserID Microsoft Entra и отправляется на сервер Qlik Sense. Информация о ссылках на схемы доступна в экранах приложения Azure после конфигурации. Чтобы использовать атрибут имени, введите http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

   ж. Введите значение каталога пользователей, связанного с пользователями, когда они проходят аутентификацию на сервере Qlik Sense через Microsoft Entra ID. Жестко заданные значения нужно заключить в квадратные скобки []. Чтобы использовать атрибут, отправленный в утверждении Microsoft Entra SAML, введите имя атрибута в этом текстовом поле без квадратных скобок.

   х. SAML signing algorithm задает подписывание сертификата поставщика услуг (в данном случае сервер Qlik Sense) для конфигурации виртуального прокси. Если сервер Qlik Sense использует доверенный сертификат, созданный с помощью Microsoft Enhanced RSA и AES Cryptographic Provider, измените алгоритм подписывания SAML на SHA-256.

   и. Раздел сопоставления атрибутов SAML позволяет отправлять другие атрибуты, такие как группы, в Qlik Sense для использования в правилах безопасности.

7. Выберите пункт меню LOAD BALANCING, чтобы сделать его видимым. Появится экран Load balancing (Балансировка нагрузки).

   

8. Нажмите кнопку Добавить новый узел сервера, выберите узел подсистемы или узлы Qlik Sense отправки сеансов для балансировки нагрузки и нажмите кнопку "Добавить".

   

9. Выберите пункт меню "Дополнительно", чтобы сделать его видимым. Появится экран "Расширенные настройки".

   

   Разрешённый список узлов определяет имена узлов, которые принимаются при подключении к серверу Qlik Sense. Введите имя узла, которое пользователи будут указывать при подключении к серверу Qlik Sense. Для имени узла указывается то же значение, что и для URI узла SAML, только без https://.

10. Нажмите кнопку Применить.

    

11. Нажмите кнопку "ОК", чтобы принять предупреждающее сообщение о том, что прокси-сервер, связанный с виртуальным прокси-сервером, перезапускается.

    

12. В правой части экрана отображается меню Associated items (Связанные элементы). Выберите пункт меню прокси.

    

13. Появится экран прокси-сервера. Нажмите кнопку "Ссылка " внизу, чтобы связать прокси-сервер с виртуальным прокси-сервером.

    

14. Выберите прокси-узел, поддерживающий это виртуальное прокси-подключение, и нажмите кнопку "Ссылка ". После связывания прокси-сервер отображается в связанных прокси-серверах.

    

    

15. Через пять–10 секунд появится обновленное сообщение QMC. Нажмите кнопку "Обновить QMC ".

    

16. При обновлении QMC выберите пункт меню "Виртуальные прокси-серверы". Новая запись виртуального прокси-сервера SAML указана в таблице на экране. Выберите запись виртуального прокси-сервера.

    

17. В нижней части экрана кнопка "Скачать метаданные SP" активируется. Нажмите кнопку «Скачать метаданные SP», чтобы сохранить метаданные в файл.

    

18. Откройте файл метаданных SP. Обратите внимание на записи entityID и AssertionConsumerService. Эти значения эквивалентны идентификатору, URL-адресу входа и URL-адресу ответа в конфигурации приложения Microsoft Entra. Вставьте эти значения в раздел доменов и URL-адресов Qlik Sense Enterprise в конфигурации приложения Microsoft Entra, если они не совпадают, то их следует заменить в мастере настройки приложений Microsoft Entra.

    

Создание тестового пользователя Qlik Sense Enterprise

Qlik Sense Enterprise поддерживает подготовку по требованию: пользователи автоматически добавляются в репозиторий USERS (ПОЛЬЗОВАТЕЛИ) в Qlik Sense Enterprise по мере их использования функции единого входа. Кроме того, клиенты могут использовать QMC и создать UDC (коннектор каталога пользователей) для предварительной загрузки пользователей в Qlik Sense Enterprise из LDAP по своему выбору, например, такие как Active Directory и другие.

Проверка единого входа (SSO)

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

• Выберите Протестировать это приложение, эта опция перенаправляет на URL-адрес входа Qlik Sense Enterprise, где можно начать процесс входа.

• Перейдите прямо по URL для входа в систему Qlik Sense Enterprise и выполните вход оттуда.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки Qlik Sense Enterprise в разделе "Мои приложения" вы будете перенаправлены на URL-адрес для входа в Qlik Sense Enterprise. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки Qlik Sense Enterprise вы можете применить управление сеансами, которое в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.