Nasazení řízení aplikace podmíněného přístupu pro libovolnou webovou aplikaci pomocí PingOne jako zprostředkovatele identity (IdP)

Ovládací prvky relací v Microsoft Defender for Cloud Apps můžete nakonfigurovat tak, aby fungovaly s libovolnou webovou aplikací a jakýmkoli zprostředkovatelem identity od jiného uživatele než Microsoftu. Tento článek popisuje, jak směrovat relace aplikace z PingOne do Defender for Cloud Apps pro řízení relací v reálném čase.

V tomto článku použijeme aplikaci Salesforce jako příklad webové aplikace nakonfigurované tak, aby používala ovládací prvky Defender for Cloud Apps relací. Pokud chcete nakonfigurovat jiné aplikace, proveďte stejné kroky podle jejich požadavků.

Požadavky

• Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:

  • Příslušná licence PingOne (vyžadovaná pro jednotné přihlašování)
  • Microsoft Defender for Cloud Apps

• Existující konfigurace jednotného přihlašování PingOne pro aplikaci pomocí ověřovacího protokolu SAML 2.0

Konfigurace řízení relací pro vaši aplikaci pomocí PingOne jako zprostředkovatele identity

Pomocí následujícího postupu nasměrujte relace webové aplikace z PingOne do Defender for Cloud Apps.

Poznámka

Pomocí jedné z následujících metod můžete nakonfigurovat informace o jednotném přihlašování SAML aplikace, které poskytuje PingOne:

• Možnost 1: Nahrání souboru metadat SAML aplikace
• Možnost 2: Ruční poskytnutí dat SAML aplikace

V následujících krocích použijeme možnost 2.

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

Krok 2: Konfigurace Defender for Cloud Apps s informacemi o SAML vaší aplikace

Krok 3: Vytvoření vlastní aplikace v PingOne

Krok 4: Konfigurace Defender for Cloud Apps pomocí informací o aplikaci PingOne

Krok 5: Dokončení vlastní aplikace v PingOne

Krok 6: Získání změn aplikace v Defender for Cloud Apps

Krok 7: Dokončení změn aplikace

Krok 8: Dokončení konfigurace v Defender for Cloud Apps

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

1. V Salesforce přejděte na Nastavení Nastavení>>Identita>Jednoúčelová Sign-On Nastavení.

2. V části Nastavení jednoho Sign-On vyberte název vaší stávající konfigurace SAML 2.0.

   

3. Na stránce Nastavení jednoho Sign-On SAML si poznamenejte přihlašovací adresu URL salesforce. Budete ho potřebovat později.

   Poznámka

   Pokud vaše aplikace poskytuje certifikát SAML, stáhněte si soubor certifikátu.

   

Krok 2: Konfigurace Defender for Cloud Apps s informacemi o SAML vaší aplikace

1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

2. V části Připojené aplikace vyberte Aplikace řízení podmíněného přístupu k aplikacím.

3. Vyberte +Přidat a v automaticky otevírané nabídce vyberte aplikaci, kterou chcete nasadit, a pak vyberte Spustit průvodce.

4. Na stránce INFORMACE O APLIKACI vyberte Vyplnit data ručně, do pole Adresa URL služby Příjemce kontrolního výrazu zadejte adresu URL pro přihlášení Salesforce, kterou jste si poznamenali dříve, a pak vyberte Další.

   Poznámka

   Pokud vaše aplikace poskytuje certifikát SAML, vyberte Použít <app_name> certifikát SAML a nahrajte soubor certifikátu.

   

Krok 3: Vytvoření vlastní aplikace v PingOne

Než budete pokračovat, pomocí následujícího postupu získejte informace ze stávající aplikace Salesforce.

1. V PingOne upravte stávající aplikaci Salesforce.

2. Na stránce Mapování atributů jednotného přihlašování si poznamenejte atribut a hodnotu SAML_SUBJECT a stáhněte si podpisový certifikát a soubory metadat SAML .

   

3. Otevřete soubor metadat SAML a poznamenejte si umístění PingOne SingleSignOnService. Budete ho potřebovat později.

   

4. Na stránce Přístup ke skupině si poznamenejte přiřazené skupiny.

   

Pak podle pokynů na stránce Přidat aplikaci SAML pomocí zprostředkovatele identity nakonfigurujte vlastní aplikaci na portálu zprostředkovatele identity.

Poznámka

Konfigurace vlastní aplikace umožňuje otestovat stávající aplikaci pomocí řízení přístupu a relací beze změny aktuálního chování vaší organizace.

1. Vytvořte novou aplikaci SAML.

   

2. Na stránce Podrobnosti aplikace vyplňte formulář a pak vyberte Pokračovat k dalšímu kroku.

   Tip

   Použijte název aplikace, který vám pomůže odlišit vlastní aplikaci od stávající aplikace Salesforce.

   

3. Na stránce Konfigurace aplikace proveďte následující kroky a pak vyberte Pokračovat k dalšímu kroku.

   • Do pole Assertion Consumer Service (ACS) zadejte přihlašovací adresu URL Salesforce, kterou jste si poznamenali dříve.
   • Do pole ID entity zadejte jedinečné ID začínající https://na . Ujistěte se, že se liší od konfigurace ukončující aplikace Salesforce PingOne.
   • Poznamenejte si ID entity. Budete ho potřebovat později.

   

4. Na stránce Mapování atributů jednotného přihlašování přidejte SAML_SUBJECT atribut a hodnotu existující aplikace Salesforce, kterou jste si poznamenali dříve, a pak vyberte Pokračovat k dalšímu kroku.

   

5. Na stránce Přístup ke skupině přidejte skupiny existující aplikace Salesforce, které jste si poznamenali dříve, a dokončete konfiguraci.

   

Krok 4: Konfigurace Defender for Cloud Apps s informacemi o aplikaci PingOne

1. Zpět na stránce Defender for Cloud Apps ZPROSTŘEDKOVATEL IDENTITY vyberte Další a pokračujte.

2. Na další stránce vyberte Vyplnit data ručně, udělejte toto a pak vyberte Další.

   • Jako adresu URL služby příjemce kontrolního výrazu zadejte přihlašovací adresu URL Salesforce, kterou jste si poznamenali dříve.
   • Vyberte Nahrát certifikát SAML zprostředkovatele identity a nahrajte soubor certifikátu, který jste stáhli dříve.

   

3. Na další stránce si poznamenejte následující informace a pak vyberte Další. Informace budete potřebovat později.

   • adresa URL Defender for Cloud Apps jednotného přihlašování
   • Defender for Cloud Apps atributů a hodnot

   

Krok 5: Dokončení vlastní aplikace v PingOne

1. V PingOne vyhledejte a upravte vlastní aplikaci Salesforce.

   

2. V poli Assertion Consumer Service (ACS) nahraďte adresu URL adresou URL Defender for Cloud Apps jednotného přihlašování, kterou jste si poznamenali dříve, a pak vyberte Další.

   

3. Do vlastností aplikace přidejte atributy a hodnoty Defender for Cloud Apps, které jste si poznamenali dříve.

   

4. Uložte nastavení.

Krok 6: Získání změn aplikace v Defender for Cloud Apps

Na stránce Defender for Cloud Apps ZMĚNY APLIKACE udělejte toto, ale nevybírejte Dokončit. Informace budete potřebovat později.

• Zkopírujte Defender for Cloud Apps adresu URL jednotného přihlašování SAML.
• Stažení certifikátu Defender for Cloud Apps SAML

Krok 7: Dokončení změn aplikace

V Salesforce přejděte na Nastavení Nastavení>>Identita>s jedním Sign-On Nastavení a udělejte toto:

1. Doporučeno: Vytvořte zálohu aktuálního nastavení.

2. Hodnotu pole Adresa URL pro přihlášení zprostředkovatele identity nahraďte Defender for Cloud Apps adresou URL jednotného přihlašování SAML, kterou jste si poznamenali dříve.

3. Nahrajte Defender for Cloud Apps certifikát SAML, který jste si stáhli dříve.

4. Hodnotu pole ID entity nahraďte ID entity vlastní aplikace PingOne, kterou jste si poznamenali dříve.

5. Vyberte Uložit.

   Poznámka

   Certifikát DEFENDER FOR CLOUD APPS SAML je platný po dobu jednoho roku. Po vypršení platnosti bude potřeba vygenerovat nový certifikát.

   

Krok 8: Dokončení konfigurace v Defender for Cloud Apps

• Zpět na stránce Defender for Cloud Apps ZMĚNY APLIKACE vyberte Dokončit. Po dokončení průvodce budou všechny přidružené žádosti o přihlášení k této aplikaci směrovány prostřednictvím řízení podmíněného přístupu k aplikacím.

Související obsah

« PŘEDCHOZÍ: Nasazení řízení podmíněného přístupu k aplikacím pro všechny aplikace

Úvod do řízení podmíněného přístupu k aplikacím

Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.