教學課程:Microsoft Entra SSO 與 Qlik Sense Enterprise Client-Managed 整合
在本教學課程中,您將瞭解如何整合 Qlik Sense Enterprise Client-Managed 與 Microsoft Entra ID。 在整合 Qlik Sense Enterprise Client-Managed 與 Microsoft Entra ID 時,您可以:
- 在 Microsoft Entra ID 中控制可存取 Qlik Sense Enterprise 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 Qlik Sense Enterprise。
- 在一個集中式位置管理您的帳戶。
Qlik Sense Enterprise 有兩個版本。 雖然本教學課程涵蓋與用戶端管理版本的整合,但 Qlik Sense Enterprise SaaS (Qlik Cloud 版本) 需要不同的程序。
必要條件
若要開始使用,您需要下列項目:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 已啟用 Qlik Sense Enterprise (SSO) 的訂用帳戶。
- 除了雲端應用程式管理員,應用程式系統管理員也可以在 Microsoft Entra ID 中新增或管理應用程式。 如需詳細資訊,請參閱 Azure 內建角色。
案例描述
在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。
- Qlik Sense Enterprise 支援由 SP 起始的 SSO。
- Qlik Sense Enterprise 支援 Just-in-Time 佈建
從資源庫新增 Qlik Sense Enterprise
若要設定將 Qlik Sense Enterprise 整合到 Microsoft Entra ID 中,您需要從資源庫將 Qlik Sense Enterprise 新增到受控 SaaS 應用程式清單。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
- 在 [從資源庫新增] 區段的搜尋方塊中,輸入 Qlik Sense Enterprise。
- 從結果面板中選取 [Qlik Sense Enterprise],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。
或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。
設定及測試適用於 Qlik Sense Enterprise 的 Microsoft Entra SSO
以名為 Britta Simon 的測試使用者,設定及測試與 Qlik Sense Enterprise 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Qlik Sense Enterprise 中相關使用者之間的連結關聯性。
若要設定及測試與 Qlik Sense Enterprise 搭配運作的 Microsoft Entra SSO,請執行下列步驟:
- 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者:以 Britta Simon 測試 Microsoft Entra 單一登入。
- 指派 Microsoft Entra 測試使用者:讓 Britta Simon 能夠使用 Microsoft Entra 單一登入。
- 設定 Qlik Sense Enterprise SSO - 在應用程式端設定單一登入設定。
- 建立 Qlik Sense Enterprise 測試使用者:讓 Qlik Sense Enterprise 中對應的 Britta Simon 連結到該使用者在 Microsoft Entra 中的代表項目。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
遵循下列步驟來啟用 Microsoft Entra SSO。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [Qlik Sense Enterprise] 應用程式整合頁面,尋找 [管理] 區段並選取 [單一登入]。
在 [選取單一登入方法] 頁面上,選取 [SAML]。
在 [以 SAML 設定單一登入] 頁面上,選取 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。
在 [基本 SAML 組態] 區段上,執行下列步驟:
a. 在 [識別碼] 文字方塊中,使用下列其中一種模式來輸入 URL:
識別碼 https://<Fully Qualified Domain Name>.qlikpoc.com
https://<Fully Qualified Domain Name>.qliksense.com
b. 在 [回覆 URL] 文字方塊中,以下列模式輸入 URL:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/
c. 在 [登入 URL] 文字方塊中,以下列模式輸入 URL:
https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub
注意
這些都不是真正的值。 請使用實際的「識別碼」、「回覆 URL」和「登入 URL」來更新這些值 (本教學課程稍後會說明),或連絡 Qlik Sense Enterprise Client 支援小組以取得這些值。 URL 的預設連接埠是 443,但您可以根據組織的需求加以自訂。
在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中,依據您的需求從指定選項中找出 [同盟中繼資料 XML],並將其儲存在您的電腦上。
建立 Microsoft Entra 測試使用者
在本節中,您會建立名為 Britta Simon 的測試使用者。
- 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 在畫面頂端選取 [新增使用者]>[建立新使用者]。
- 在 [使用者] 屬性中,執行下列步驟:
- 在 [顯示名稱] 欄位中輸入
B.Simon
。 - 在 [使用者主體名稱] 欄位中輸入 username@companydomain.extension。 例如:
B.Simon@contoso.com
。 - 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
- 選取 [檢閱 + 建立]。
- 在 [顯示名稱] 欄位中輸入
- 選取 [建立]。
指派 Microsoft Entra 測試使用者
在本節中,您會將 Qlik Sense Enterprise 的存取權授與 Britta Simon,讓她能夠使用 Azure 單一登錄。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [Qlik Sense Enterprise]。
- 在應用程式的 [概觀] 頁面中,尋找 [管理] 區段,然後選取 [使用者和群組]。
- 選取 [新增使用者],然後在 [新增指派] 對話框中選取 [使用者和群組]。
- 在 [使用者和群組] 對話框中,從 [使用者] 列表中選取 [Britta Simon],然後選取畫面底部的 [選取] 按鈕。
- 如果您需要將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
- 在 新增指派 對話方塊中,選取 指派 按鈕。
設定 Qlik Sense Enterprise SSO
以可建立虛擬 Proxy 組態的使用者身分,瀏覽至 Qlik Sense Qlik 管理主控台 (QMC)。
在 QMC 中,選取 [虛擬 Proxy ] 功能表項。
在畫面底部,選取 [ 建立新 ] 按鈕。
虛擬 Proxy 編輯畫面隨即出現。 畫面右邊的功能表會顯示組態選項。
勾選 [識別] 功能表選項後,輸入 Azure 虛擬 Proxy 組態的識別資訊。
a. [說明] 欄位是虛擬 Proxy 組態的易記名稱。 輸入說明的值。
b. [ 前置 詞] 欄位會識別使用 Microsoft Entra 單一登錄連線到 Qlik Sense 的虛擬 Proxy 端點。 輸入此虛擬 Proxy 的獨特前置詞名稱。
c. [工作階段閒置逾時 (分鐘)] 是指透過此虛擬 Proxy 連接的逾時值。
d. [工作階段 cookie 標頭名稱] 是 cookie 名稱,用於儲存使用者在成功驗證後收到的 Qlik Sense 工作階段識別碼。 這個名稱必須是唯一的。
按一下 [驗證] 功能表選項,讓它立即可見。 [驗證] 畫面隨即出現。
a. [匿名存取模式] 下拉式清單可讓您決定匿名使用者是否可透過虛擬 Proxy 存取 Qlik Sense。 預設選項是 [沒有匿名使用者]。
b. [ 驗證方法 ] 下拉式清單會決定虛擬 Proxy 所使用的驗證配置。 從下拉式清單選取 [SAML]。 此時會顯示更多選項。
c. 在 [SAML 主機 URI] 欄位中,輸入使用者必須輸入才可透過此 SAML 虛擬 Proxy 存取 Qlik Sense 的主機名稱。 主機名稱是 Qlik Sense 伺服器的 URI。
d. 在 [SAML 實體識別碼] 中,輸入與 [SAML 主機 URI] 欄位相同的值。
e. [SAML IdP 中繼資料] 是稍早在 [從 Microsoft Entra 組態編輯同盟中繼資料] 區段中編輯的檔案。 上傳 IdP 中繼資料之前,必須先編輯此檔案才能移除資訊,以確保 Microsoft Entra ID 與 Qlik Sense 伺服器之間的運作正常。 如果檔案尚未進行編輯,請參閱上述指示。 如果檔案已編輯,請在 [流覽] 按鈕上選取 ,然後選取編輯的元數據檔案,將其上傳至虛擬 Proxy 組態。
f. 輸入 SAML 屬性的屬性名稱或結構描述參考,代表 Microsoft Entra ID 將傳送至 Qlik Sense 伺服器的 UserID。 在設定後的 Azure 應用程式畫面中可取得結構描述參考資訊。 若要使用名稱屬性,請輸入
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
。.g 輸入使用者目錄的值,此值會在使用者透過 Microsoft Entra ID 向 Qlik Sense 伺服器進行驗證時附加至使用者。 硬式編碼值必須以方括號 [] 括住。 若要使用 Microsoft Entra SAML 判斷提示中傳送的屬性,請在此 文字輸入框中輸入屬性名稱 (不需方括號)。
h. [SAML 簽章演算法] 可設定虛擬 Proxy 組態的服務提供者 (在此例中是 Qlik Sense 伺服器) 憑證簽署。 如果 Qlik Sense 伺服器使用透過 Microsoft Enhanced RSA 和 AES 密碼編譯提供者產生的受信任憑證,請將 SAML 簽署演算法變更為 SHA-256。
i. SAML 屬性對應區段允許將群組等其他屬性傳送至 Qlik Sense,以用於安全性規則。
選取 [ 負載平衡 ] 功能表選項,使其可見。 [負載平衡] 畫面隨即出現。
在 [ 新增伺服器節點 ] 按鈕上選取 ,選取引擎節點或節點 Qlik Sense 傳送會話以達到負載平衡目的,然後選取 [ 新增 ] 按鈕。
選取 [進階] 功能表選項,使其可見。 [進階] 畫面隨即出現。
主機允許清單會識別連線到Qlik Sense 伺服器時所接受的主機名。 輸入連接到 Qlik Sense 伺服器時使用者會指定的主機名稱。 主機名稱是與 SAML 主機 URI 相同的值 (不含
https://
)。選取 [套用] 按鈕。
選取 [確定] 接受警告訊息,指出連結至虛擬 Proxy 的 Proxy 將會重新啟動。
畫面右側會出現 [相關聯的項目] 功能表。 選取 [ Proxy] 選單選項。
Proxy 畫面隨即出現。 選取底部的 [ 連結 ] 按鈕,將 Proxy 連結至虛擬 Proxy。
選取支援此虛擬 Proxy 連線的 Proxy 節點,然後選取 [ 連結 ] 按鈕。 連結之後,Proxy 會列在相關聯的 Proxy 之下。
大約 5 到 10 秒之後,將會顯示 [重新整理的 QMC] 訊息。 選取 [重新 整理 QMC ] 按鈕。
當 QMC 重新整理時,請在 [虛擬 Proxy] 選單項上選取 。 新的 SAML 虛擬 Proxy 項目會列在螢幕上的表格中。 在虛擬 Proxy 專案上單一選取。
在畫面底部,[下載SP元數據] 按鈕會啟動。 選取 [ 下載 SP 元數據] 按鈕,將元數據儲存至檔案。
開啟 SP 中繼資料檔案。 觀察 entityID 項目和 AssertionConsumerService 項目。 這些值相當於 Microsoft Entra 應用程式組態中的 [識別碼]、[登入 URL] 和 [回覆 URL]。 如果這些值不符合,請將這些值貼到 Microsoft Entra 應用程式組態的 [Qlik Sense Enterprise 網域及 URL ] 區段中,然後您應該在 [Microsoft Entra 應用程式設定精靈] 中取代它們。
建立 Qlik Sense Enterprise 測試使用者
Qlik Sense Enterprise 支援 Just-in-Time 佈建,使用者會在使用 SSO 功能時自動新增至 Qlik Sense Enterprise 的「使用者」存放庫。 此外,用戶端可以使用 QMC,並建立 UDC (User Directory Connector),從其所選 LDAP,例如 Active Directory 和其他專案,預先填入 Qlik Sense Enterprise 中的使用者。
測試 SSO
在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。
選取 [ 測試此應用程式],這會重新導向至您可以在其中起始登入流程的 Qlik Sense Enterprise 登入 URL。
直接移至 Qlik Sense Enterprise 登入 URL,然後從該處起始登入流程。
您可以使用 Microsoft 我的應用程式。 當您在 我的應用程式 中選取 Qlik Sense Enterprise 圖格時,這會重新導向至 Qlik Sense Enterprise 登入 URL。 如需「我的應用程式」的詳細資訊,請參閱我的應用程式簡介。
下一步
設定 Qlik Sense Enterprise 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項。