Installér appkontrol med betinget adgang for alle webapps ved hjælp af Active Directory Federation Services (AD FS) som identitetsudbyder (IdP)

Du kan konfigurere sessionskontrolelementer i Microsoft Defender for Cloud Apps til at fungere sammen med en hvilken som helst webapp og en hvilken som helst ikke-Microsoft IdP. I denne artikel beskrives det, hvordan du dirigerer appsessioner fra AD FS til Defender for Cloud Apps til kontrolelementer i realtidssessioner.

I denne artikel bruger vi Salesforce-appen som et eksempel på en webapp, der konfigureres til at bruge Defender for Cloud Apps sessionskontrolelementer.

Forudsætninger

• Din organisation skal have følgende licenser for at kunne bruge appkontrolelementet Betinget adgang:

  • Et forudkonfigureret AD FS-miljø
  • Microsoft Defender for Cloud Apps

• En eksisterende AD FS-konfiguration af enkeltlogon til appen ved hjælp af SAML 2.0-godkendelsesprotokollen

Bemærk!

Trinnene her gælder for alle versioner af AD FS, der kører på en understøttet version af Windows Server.

Sådan konfigurerer du sessionskontrolelementer for din app ved hjælp af AD FS som IdP

Brug følgende trin til at dirigere dine webappsessioner fra AD FS til Defender for Cloud Apps.

Bemærk!

Du kan konfigurere appens SAML-single sign-on-oplysninger, der leveres af AD FS, ved hjælp af en af følgende metoder:

• Mulighed 1: Upload af appens SAML-metadatafil.
• Mulighed 2: Manuel angivelse af appens SAML-data.

I følgende trin bruger vi mulighed 2.

Trin 1: Hent appens SAML-indstillinger for enkeltlogon

Trin 2: Konfigurer Defender for Cloud Apps med din apps SAML-oplysninger

Trin 3: Opret en ny AD FS-tillidsforhold til afhængig part og konfiguration af enkeltlogon til apps.

Trin 4: Konfigurer Defender for Cloud Apps med AD FS-appens oplysninger

Trin 5: Fuldfør konfigurationen af AD FS-tillidsforholdet til afhængig part

Trin 6: Hent appændringerne i Defender for Cloud Apps

Trin 7: Fuldfør appændringerne

Trin 8: Fuldfør konfigurationen i Defender for Cloud Apps

Trin 1: Hent appens SAML-indstillinger for enkeltlogon

1. I Salesforce skal du gå til Konfigurationsindstillinger>Identity>>Single Sign-On Indstillinger.

2. Klik på navnet på din eksisterende AD FS-konfiguration under Indstillinger for enkelt Sign-On.

   

3. Notér URL-adressen til Salesforce-logon på siden SAML Single Sign-On Setting. Du skal bruge dette senere, når du konfigurerer Defender for Cloud Apps.

   Bemærk!

   Hvis din app indeholder et SAML-certifikat, skal du downloade certifikatfilen.

   

Trin 2: Konfigurer Defender for Cloud Apps med din apps SAML-oplysninger

1. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps.

2. Under Forbundne apps skal du vælge Apps til kontrol af betinget adgang.

3. Vælg +Tilføj, og vælg den app, du vil installere, i pop op-vinduet, og vælg derefter Start guide.

4. På siden APP-OPLYSNINGER skal du vælge Udfyld data manuelt, angive den Salesforce-logon-URL-adresse, du noterede tidligere, i URL-adressen til antagelsesforbrugertjenesten, og derefter klikke på Næste.

   Bemærk!

   Hvis din app leverer et SAML-certifikat, skal du vælge Brug <app_name> SAML-certifikat og uploade certifikatfilen.

   

Trin 3: Opret en ny AD FS-tillidsforhold til afhængig part og konfiguration af app enkelt Sign-On

Bemærk!

Hvis du vil begrænse slutbrugerens nedetid og bevare din eksisterende kendte fungerende konfiguration, anbefaler vi, at du opretter et nyt tillidsforhold til afhængig part og en enkelt Sign-On konfiguration. Hvis dette ikke er muligt, skal du springe de relevante trin over. Hvis den app, du konfigurerer, f.eks. ikke understøtter oprettelse af flere konfigurationer af typen Enkelt Sign-On, skal du springe over trinnet Opret nyt enkeltlogon.

1. I AD FS-administrationskonsollen under Tillidsforhold til afhængig part skal du se egenskaberne for dit eksisterende tillidsforhold til afhængig part for din app og notere indstillingerne.

2. Under Handlinger skal du klikke på Tilføj tillidsforhold til afhængig part. Ud over den id-værdi , der skal være et entydigt navn, skal du konfigurere den nye tillid ved hjælp af de indstillinger, du noterede tidligere. Du skal bruge denne tillid senere, når du konfigurerer Defender for Cloud Apps.

3. Åbn metadatafilen for organisationsnetværket, og notér AD FS SingleSignOnService Location. Du skal bruge dette senere.

   Bemærk!

   Du kan bruge følgende slutpunkt til at få adgang til din samlingsmetadatafil: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. Download identitetsudbyderens signeringscertifikat. Du skal bruge dette senere.

   1. UnderTjenestecertifikater> skal du højreklikke på AD FS-signeringscertifikatet og derefter vælge Vis certifikat.

      

   2. Klik på Kopiér til fil under fanen med oplysninger om certifikatet, og følg trinnene i guiden Certifikateksport for at eksportere certifikatet som en Base-64-kodet X.509 (. CER) -fil.

      

5. Tilbage i Salesforce skal du notere alle indstillingerne på siden med indstillinger for enkeltlogon for AD FS.

6. Opret en ny SAML-konfiguration af enkeltlogon. Ud over værdien For enheds-id , der skal matche id'et for tillidsforhold til afhængig part, skal du konfigurere enkeltlogon ved hjælp af de indstillinger, du noterede tidligere. Du skal bruge dette senere, når du konfigurerer Defender for Cloud Apps.

Trin 4: Konfigurer Defender for Cloud Apps med AD FS-appens oplysninger

1. Klik på Næste på siden Defender for Cloud Apps IDENTITETSUDBYDER for at fortsætte.

2. På den næste side skal du vælge Udfyld data manuelt, gøre følgende og derefter klikke på Næste.

   • For URL-adressen til Single Sign-on-tjenesten skal du angive den URL-adresse til Salesforce-logon, du noterede tidligere.
   • Vælg Upload identitetsudbyderens SAML-certifikat , og upload den certifikatfil, du downloadede tidligere.

   

3. Notér følgende oplysninger på næste side, og klik derefter på Næste. Du skal bruge oplysningerne senere.

   • Defender for Cloud Apps URL-adresse til enkeltlogon
   • Defender for Cloud Apps attributter og værdier

   Bemærk!

   Hvis du får vist en mulighed for at uploade Defender for Cloud Apps SAML-certifikat for identitetsudbyderen, skal du klikke på linket for at downloade certifikatfilen. Du skal bruge dette senere.

   

Trin 5: Fuldfør konfigurationen af AD FS-tillidsforholdet til afhængig part

1. Tilbage i AD FS Management-konsollen skal du højreklikke på den tillidspart, du oprettede tidligere, og derefter vælge Rediger politik for udstedelse af krav.

   

2. I dialogboksen Rediger politik for udstedelse af krav under Regler for transformering af udstedelse skal du bruge de angivne oplysninger i følgende tabel til at fuldføre trinnene til oprettelse af brugerdefinerede regler.

   Navn på kravregel	Brugerdefineret regel
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>");hvor <value> er værdien McasSigningCert fra den Defender for Cloud Apps guide, du noterede tidligere
   McasAppId	=> issue(type="McasAppId", value="<value>");er værdien af McasAppId fra den Defender for Cloud Apps guide, du noterede tidligere

   1. Klik på Tilføj regel, vælg Send krav ved hjælp af en brugerdefineret regel under Skabelonen Kravregel, og klik derefter på Næste.
   2. På siden Konfigurer regel skal du angive det respektive navn på kravreglen og den angivne brugerdefinerede regel .

   Bemærk!

   Disse regler er ud over eventuelle kravregler eller attributter, der kræves af den app, du konfigurerer.

3. Tilbage på siden Tillidsforhold til afhængig part skal du højreklikke på den tillidspart, du oprettede tidligere, og derefter vælge Egenskaber.

4. Under fanen Slutpunkter skal du vælge SAML-antagelsesforbrugerslutpunkt, klikke på Rediger og erstatte den URL-adresse, der er tillid til, med den Defender for Cloud Apps URL-adresse til enkeltlogon, du noterede tidligere, og derefter klikke på OK.

   

5. Hvis du har downloadet et Defender for Cloud Apps SAML-certifikat til identitetsudbyderen, skal du klikke på Tilføj og upload certifikatfilen under fanen Signatur og derefter klikke på OK.

   

6. Gem dine indstillinger.

Trin 6: Hent appændringerne i Defender for Cloud Apps

Gør følgende på siden Defender for Cloud Apps APP-ÆNDRINGER, men klik ikke på Udfør. Du skal bruge oplysningerne senere.

• Kopiér URL-adressen til Defender for Cloud Apps SAML-singlelogon
• Download SAML-certifikatet Defender for Cloud Apps

Trin 7: Fuldfør appændringerne

I Salesforce skal du gå til Konfigurationsindstillinger>Identity>>Single Sign-On Indstillinger og gøre følgende:

1. Anbefalet: Opret en sikkerhedskopi af dine aktuelle indstillinger.

2. Erstat værdien i feltet URL-adresse for identitetsudbyderlogon med den Defender for Cloud Apps URL-adresse til SAML-enkeltlogon, du noterede tidligere.

3. Upload det Defender for Cloud Apps SAML-certifikat, du downloadede tidligere.

4. Klik på Gem.

   Bemærk!

   Det Defender for Cloud Apps SAML-certifikat er gyldigt i ét år. Når det udløber, skal der oprettes et nyt certifikat.

Trin 8: Fuldfør konfigurationen i Defender for Cloud Apps

• Klik på Udfør på siden Defender for Cloud Apps APPÆNDRINGER. Når guiden er fuldført, distribueres alle tilknyttede logonanmodninger til denne app via appen til betinget adgang.

Relateret indhold

« PREVIOUS: Installér appkontrol med betinget adgang for alle apps

Introduktion til appkontrol med betinget adgang

Fejlfinding af adgangs- og sessionskontrolelementer

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.