Sdílet prostřednictvím

Onboarding aplikací katalogu zprostředkovatele identity jiných společností než Microsoftu pro řízení podmíněného přístupu

  • Článek

Řízení přístupu a relací v Microsoft Defender pro cloudové aplikace fungují s katalogovými i vlastními aplikacemi. Zatímco Microsoft Entra ID aplikace se automaticky onboardují, aby používaly řízení podmíněného přístupu k aplikacím, pokud pracujete s zprostředkovatelem identity jiného než Microsoftu, budete muset aplikaci nasadit ručně.

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity tak, aby fungoval s Defender for Cloud Apps. Integrace zprostředkovatele identity s Defender for Cloud Apps automaticky onboarduje všechny aplikace katalogu z vašeho zprostředkovatele identity pro řízení podmíněného přístupu k aplikacím.

Požadavky

  • Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:

    • Licence vyžadovaná řešením zprostředkovatele identity (IdP)
    • Microsoft Defender for Cloud Apps

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí být nakonfigurované pomocí ověřovacího protokolu SAML 2.0.

Úplné provádění a testování postupů v tomto článku vyžaduje, abyste měli nakonfigurované zásady relace nebo přístupu. Další informace najdete tady:

Konfigurace zprostředkovatele identity pro práci s Defender for Cloud Apps

Tento postup popisuje, jak směrovat relace aplikací z jiných řešení zprostředkovatele identity do Defender for Cloud Apps.

Tip

Následující články obsahují podrobné příklady tohoto postupu:

Konfigurace zprostředkovatele identity pro práci s Defender for Cloud Apps:

  1. V Microsoft Defender XDR vyberte Nastavení > Cloud Apps > Connected Apps > Podmíněný přístup Aplikace Řízení aplikací.

  2. Na stránce Aplikace Řízení podmíněného přístupu k aplikacím vyberte + Přidat.

  3. V dialogovém okně Přidat aplikaci SAML pomocí zprostředkovatele identity vyberte rozevírací seznam Hledat aplikaci a pak vyberte aplikaci, kterou chcete nasadit. Vyberte aplikaci a vyberte Spustit průvodce.

  4. Na stránce INFORMACE O APLIKACI v průvodci buď nahrajte soubor metadat z aplikace, nebo zadejte data aplikace ručně.

    Nezapomeňte zadat následující informace:

    • Adresa URL služby příjemce kontrolního výrazu. Toto je adresa URL, kterou vaše aplikace používá k příjmu kontrolních výrazů SAML od zprostředkovatele identity.
    • Certifikát SAML, pokud ho vaše aplikace poskytuje. V takových případech vyberte použít ... Možnost certifikátu SAML a pak nahrajte soubor certifikátu.

    Až budete hotovi, pokračujte výběrem možnosti Další .

  5. Na stránce ZPROSTŘEDKOVATEL IDENTITY průvodce nastavte novou vlastní aplikaci na portálu zprostředkovatele identity podle pokynů.

    Poznámka

    Požadované kroky se můžou lišit v závislosti na vašem zprostředkovateli identity. Externí konfiguraci doporučujeme provést tak, jak je popsáno z následujících důvodů:

    • Někteří zprostředkovatelé identit neumožňují měnit atributy SAML nebo vlastnosti adresy URL galerie nebo aplikace katalogu.
    • Při konfiguraci vlastní aplikace můžete aplikaci otestovat pomocí Defender for Cloud Apps řízení přístupu a relací, aniž byste museli měnit stávající nakonfigurované chování vaší organizace.

    Zkopírujte informace o konfiguraci jednotného přihlašování aplikace pro pozdější použití v tomto postupu. Až budete hotovi, pokračujte výběrem možnosti Další .

  6. Pokračujte na stránce PRŮVODCE ZPROSTŘEDKOVATEL IDENTITY a buď nahrajte soubor metadat z zprostředkovatele identity, nebo zadejte data aplikace ručně.

    Nezapomeňte zadat následující informace:

    • Adresa URL služby jednotného přihlašování Toto je adresa URL, kterou váš zprostředkovatel identity používá k přijímání žádostí o jednotné přihlašování.
    • Certifikát SAML, pokud ho váš zprostředkovatel identity poskytuje. V takových případech vyberte možnost Použít certifikát SAML zprostředkovatele identity a pak nahrajte soubor certifikátu.

  7. Pokračujte na stránce PRŮVODCE ZPROSTŘEDKOVATEL IDENTITY a zkopírujte adresu URL jednotného přihlašování a všechny atributy a hodnoty pro pozdější použití v tomto postupu.

    Až budete hotovi, pokračujte výběrem možnosti Další .

  8. Přejděte na portál zprostředkovatele identity a zadejte hodnoty, které jste zkopírovali do konfigurace zprostředkovatele identity. Tato nastavení se obvykle nacházejí v oblasti vlastního nastavení aplikace vašeho zprostředkovatele identity.

    1. Zadejte adresu URL jednotného přihlašování vaší aplikace, kterou jste zkopírovali v předchozím kroku. Někteří zprostředkovatelé můžou odkazovat na adresu URL jednotného přihlašování jako adresu URL odpovědi.

    2. Přidejte atributy a hodnoty, které jste zkopírovali v předchozím kroku, do vlastností aplikace. Někteří zprostředkovatelé je můžou označovat jako atributy uživatele nebo deklarace identity.

      Pokud jsou vaše atributy pro nové aplikace omezené na 1024 znaků, nejprve vytvořte aplikaci bez příslušných atributů a potom je přidejte úpravou aplikace.

    3. Ověřte, že je identifikátor vašeho jména ve formátu e-mailové adresy.

    4. Až budete hotovi, nezapomeňte nastavení uložit.

  9. Zpět v Defender for Cloud Apps na stránce ZMĚNY APLIKACÍ průvodce zkopírujte adresu URL jednotného přihlašování SAML a stáhněte Microsoft Defender for Cloud Apps certifikát SAML. Adresa URL jednotného přihlašování SAML je přizpůsobená adresa URL pro vaši aplikaci při použití s Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.

  10. Přejděte na portál vaší aplikace a následujícím způsobem nakonfigurujte nastavení jednotného přihlašování:

    1. (Doporučeno) Vytvořte zálohu aktuálního nastavení.
    2. Hodnotu pole adresa URL pro přihlášení zprostředkovatele identity nahraďte adresou URL Defender for Cloud Apps jednotného přihlašování SAML, kterou jste zkopírovali v předchozím kroku. Konkrétní název tohoto pole se může lišit v závislosti na vaší aplikaci.
    3. Nahrajte Defender for Cloud Apps certifikát SAML, který jste si stáhli v předchozím kroku.
    4. Nezapomeňte uložit změny.

  11. V průvodci vyberte Dokončit a dokončete konfiguraci.

Po uložení nastavení jednotného přihlašování aplikace s hodnotami přizpůsobenými Defender for Cloud Apps se všechny přidružené žádosti o přihlášení do aplikace směrují přes Defender for Cloud Apps a řízení podmíněného přístupu k aplikaci.

Poznámka

Certifikát DEFENDER FOR CLOUD APPS SAML je platný po dobu 1 roku. Po vypršení jeho platnosti budete muset vygenerovat a nahrát nový.

Přihlaste se k aplikaci pomocí uživatele s oborem zásad.

Po vytvoření zásad přístupu nebo relací se přihlaste ke každé aplikaci nakonfigurované v zásadách. Ujistěte se, že jste se nejprve odhlásili ze všech existujících relací a že se přihlašujete pomocí uživatele nakonfigurovaného v zásadách.

Defender for Cloud Apps bude synchronizovat podrobnosti o zásadách se svými servery pro každou novou aplikaci, ke které se přihlásíte. Může to trvat až jednu minutu.

Další informace najdete tady:

Ověřte, že jsou aplikace nakonfigurované tak, aby používaly řízení přístupu a relací.

Tento postup popisuje, jak ověřit, že vaše aplikace jsou nakonfigurované tak, aby používaly řízení přístupu a relací v Defender for Cloud Apps, a v případě potřeby tato nastavení nakonfigurovat.

Poznámka

I když nemůžete odebrat nastavení řízení relací pro aplikaci, žádné chování se nezmění, dokud pro aplikaci nebudete mít nakonfigurované zásady relace nebo přístupu.

  1. V Microsoft Defender XDR vyberte Nastavení > Připojené cloudové aplikace >> Podmíněné aplikace Řízení přístupu k aplikacím.

  2. V tabulce aplikací vyhledejte svou aplikaci a zkontrolujte hodnotu sloupce typu IDP . Ujistěte se, že se pro vaši aplikaci zobrazí ověřovací aplikace bez ms a řízení relací .

Související obsah

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.