Nasazení řízení podmíněného přístupu aplikací pro libovolnou webovou aplikaci s využitím Active Directory Federation Services (AD FS) (AD FS) jako zprostředkovatele identity (IdP)
Ovládací prvky relací v Microsoft Defender for Cloud Apps můžete nakonfigurovat tak, aby fungovaly s libovolnou webovou aplikací a jakýmkoli zprostředkovatelem identity od jiného uživatele než Microsoftu. Tento článek popisuje, jak směrovat relace aplikací ze služby AD FS do Defender for Cloud Apps pro řízení relací v reálném čase.
V tomto článku použijeme aplikaci Salesforce jako příklad webové aplikace nakonfigurované tak, aby používala ovládací prvky Defender for Cloud Apps relací.
Požadavky
Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:
- Předem nakonfigurované prostředí SLUŽBY AD FS
- Microsoft Defender for Cloud Apps
Existující konfigurace jednotného přihlašování služby AD FS pro aplikaci pomocí ověřovacího protokolu SAML 2.0
Poznámka
Tento postup platí pro všechny verze služby AD FS, které běží na podporované verzi Windows Serveru.
Konfigurace řízení relací pro vaši aplikaci pomocí služby AD FS jako zprostředkovatele identity
Pomocí následujícího postupu můžete směrovat relace webových aplikací ze služby AD FS do Defender for Cloud Apps.
Poznámka
Pomocí jedné z následujících metod můžete nakonfigurovat informace o jednotném přihlašování SAML aplikace poskytované službou AD FS:
- Možnost 1: Nahrání souboru metadat SAML aplikace
- Možnost 2: Ruční poskytnutí dat SAML aplikace
V následujících krocích použijeme možnost 2.
Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace
Krok 2: Konfigurace Defender for Cloud Apps s informacemi o SAML vaší aplikace
Krok 4: Konfigurace Defender for Cloud Apps s informacemi o aplikaci AD FS
Krok 5: Dokončení konfigurace vztahu důvěryhodnosti předávající strany služby AD FS
Krok 6: Získání změn aplikace v Defender for Cloud Apps
Krok 7: Dokončení změn aplikace
Krok 8: Dokončení konfigurace v Defender for Cloud Apps
Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace
V Salesforce přejděte na Nastavení Nastavení>>Identita>Jednoúčelová Sign-On Nastavení.
V části Nastavení jednoho Sign-On klikněte na název vaší stávající konfigurace služby AD FS.
Na stránce Nastavení jednoho Sign-On SAML si poznamenejte přihlašovací adresu URL salesforce. Budete ho potřebovat později při konfiguraci Defender for Cloud Apps.
Poznámka
Pokud vaše aplikace poskytuje certifikát SAML, stáhněte si soubor certifikátu.
Krok 2: Konfigurace Defender for Cloud Apps s informacemi o SAML vaší aplikace
Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.
V části Připojené aplikace vyberte Aplikace řízení podmíněného přístupu k aplikacím.
Vyberte +Přidat a v automaticky otevírané nabídce vyberte aplikaci, kterou chcete nasadit, a pak vyberte Spustit průvodce.
Na stránce INFORMACE O APLIKACI vyberte Vyplnit data ručně, do pole Adresa URL služby Příjemce kontrolního výrazu zadejte adresu URL pro přihlášení Salesforce, kterou jste si poznamenali dříve, a pak klikněte na Další.
Poznámka
Pokud vaše aplikace poskytuje certifikát SAML, vyberte Použít <app_name> certifikát SAML a nahrajte soubor certifikátu.
Krok 3: Vytvoření nové konfigurace vztahu důvěryhodnosti předávající strany služby AD FS a jednoúčelového Sign-On aplikace
Poznámka
Pokud chcete omezit výpadky koncových uživatelů a zachovat stávající známou funkční konfiguraci, doporučujeme vytvořit novou konfiguraci vztahu důvěryhodnosti předávající strany a jedné Sign-On. Pokud to není možné, přeskočte příslušné kroky. Pokud například aplikace, kterou konfigurujete, nepodporuje vytváření více konfigurací s jedním Sign-On, přeskočte krok vytvoření nového jednotného přihlašování.
V konzole pro správu služby AD FS v části Vztahy důvěryhodnosti předávající strany zobrazte vlastnosti existujícího vztahu důvěryhodnosti předávající strany pro vaši aplikaci a poznamenejte si nastavení.
V části Akce klikněte na Přidat vztah důvěryhodnosti přijímající strany. Kromě hodnoty identifikátoru , která musí být jedinečným názvem, nakonfigurujte nový vztah důvěryhodnosti pomocí nastavení, která jste si poznamenali dříve. Tento vztah důvěryhodnosti budete potřebovat později při konfiguraci Defender for Cloud Apps.
Otevřete soubor federačních metadat a poznamenejte si umístění služby AD FS SingleSignOnService. Budete ho potřebovat později.
Poznámka
Pro přístup k souboru federačních metadat můžete použít následující koncový bod:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Stáhněte podpisový certifikát zprostředkovatele identity. Budete ho potřebovat později.
V částiCertifikátyslužeb> klikněte pravým tlačítkem na podpisový certifikát služby AD FS a pak vyberte Zobrazit certifikát.
Na kartě podrobností o certifikátu klikněte na Kopírovat do souboru a postupujte podle kroků v Průvodci exportem certifikátu do formátu X.509 s kódováním Base-64 (. CER) souboru.
Zpátky v Salesforce si na stávající stránce nastavení jednotného přihlašování ad FS poznamenejte všechna nastavení.
Vytvořte novou konfiguraci jednotného přihlašování SAML. Kromě hodnoty ID entity , která se musí shodovat s identifikátorem vztahu důvěryhodnosti předávající strany, nakonfigurujte jednotné přihlašování pomocí nastavení, která jste si poznamenali dříve. Budete ho potřebovat později při konfiguraci Defender for Cloud Apps.
Krok 4: Konfigurace Defender for Cloud Apps s informacemi o aplikaci AD FS
Vraťte se na stránku Defender for Cloud Apps ZPROSTŘEDKOVATEL IDENTITY a pokračujte kliknutím na Další.
Na další stránce vyberte Vyplnit data ručně, udělejte toto a potom klikněte na Další.
- Jako adresu URL služby jednotného přihlašování zadejte adresu URL pro přihlášení Salesforce, kterou jste si poznamenali dříve.
- Vyberte Nahrát certifikát SAML zprostředkovatele identity a nahrajte soubor certifikátu, který jste stáhli dříve.
Na další stránce si poznamenejte následující informace a klikněte na Další. Informace budete potřebovat později.
- adresa URL Defender for Cloud Apps jednotného přihlašování
- Defender for Cloud Apps atributů a hodnot
Poznámka
Pokud se zobrazí možnost nahrát certifikát Defender for Cloud Apps SAML pro zprostředkovatele identity, kliknutím na odkaz stáhněte soubor certifikátu. Budete ho potřebovat později.
Krok 5: Dokončení konfigurace vztahu důvěryhodnosti předávající strany služby AD FS
V konzole pro správu služby AD FS klikněte pravým tlačítkem na vztah důvěryhodnosti předávající strany, který jste vytvořili dříve, a pak vyberte Upravit zásadu vystavování deklarací identity.
V dialogovém okně Upravit zásadu vystavování deklarací použijte v části Pravidla transformace vystavení informace uvedené v následující tabulce k dokončení kroků k vytvoření vlastních pravidel.
Název pravidla deklarace identity Vlastní pravidlo McasSigningCert => issue(type="McasSigningCert", value="<value>");kde<value>je hodnota McasSigningCert z průvodce Defender for Cloud Apps, který jste si poznamenali dříveMcasAppId => issue(type="McasAppId", value="<value>");je hodnota McasAppId z průvodce Defender for Cloud Apps, který jste si poznamenali dříve.- Klikněte na Přidat pravidlo, v části Šablona pravidla deklarace identity vyberte Odeslat deklarace identity pomocí vlastního pravidla a potom klikněte na Další.
- Na stránce Konfigurovat pravidlo zadejte název příslušného pravidla deklarace identity a zadané vlastní pravidlo .
Poznámka
Tato pravidla jsou doplňkem ke všem pravidlům nebo atributům deklarací identity vyžadovaným aplikací, kterou konfigurujete.
Zpět na stránce Vztah důvěryhodnosti předávající strany klikněte pravým tlačítkem na vztah důvěryhodnosti předávající strany, který jste vytvořili dříve, a pak vyberte Vlastnosti.
Na kartě Koncové body vyberte Koncový bod příjemce kontrolního výrazu SAML, klikněte na Upravit a nahraďte důvěryhodnou adresu URL adresou URL Defender for Cloud Apps jednotného přihlašování, kterou jste si poznamenali dříve, a pak klikněte na OK.
Pokud jste si stáhli certifikát Defender for Cloud Apps SAML pro zprostředkovatele identity, klikněte na kartě Podpis na Přidat a nahrajte soubor certifikátu a potom klikněte na OK.
Uložte nastavení.
Krok 6: Získání změn aplikace v Defender for Cloud Apps
Na stránce Defender for Cloud Apps ZMĚNY APLIKACE udělejte toto, ale neklikejte na Dokončit. Informace budete potřebovat později.
- Zkopírujte Defender for Cloud Apps adresu URL jednotného přihlašování SAML.
- Stažení certifikátu Defender for Cloud Apps SAML
Krok 7: Dokončení změn aplikace
V Salesforce přejděte na Nastavení Nastavení>>Identita>s jedním Sign-On Nastavení a udělejte toto:
Doporučeno: Vytvořte zálohu aktuálního nastavení.
Hodnotu pole Adresa URL pro přihlášení zprostředkovatele identity nahraďte Defender for Cloud Apps adresou URL jednotného přihlašování SAML, kterou jste si poznamenali dříve.
Nahrajte Defender for Cloud Apps certifikát SAML, který jste si stáhli dříve.
Klikněte na Uložit.
Poznámka
Certifikát DEFENDER FOR CLOUD APPS SAML je platný po dobu jednoho roku. Po vypršení platnosti bude potřeba vygenerovat nový certifikát.
Krok 8: Dokončení konfigurace v Defender for Cloud Apps
- Zpět na stránce Defender for Cloud Apps ZMĚNY APLIKACE klikněte na Dokončit. Po dokončení průvodce budou všechny přidružené žádosti o přihlášení k této aplikaci směrovány prostřednictvím řízení podmíněného přístupu k aplikacím.
Související obsah
Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.