Installér appkontrol med betinget adgang for alle webapps ved hjælp af PingOne som identitetsudbyder (IdP)

Du kan konfigurere sessionskontrolelementer i Microsoft Defender for Cloud Apps til at fungere sammen med en hvilken som helst webapp og en hvilken som helst ikke-Microsoft IdP. I denne artikel beskrives det, hvordan du dirigerer appsessioner fra PingOne til Defender for Cloud Apps til kontrolelementer for sessioner i realtid.

I denne artikel bruger vi Salesforce-appen som et eksempel på en webapp, der konfigureres til at bruge Defender for Cloud Apps sessionskontrolelementer. Hvis du vil konfigurere andre apps, skal du udføre de samme trin i henhold til deres krav.

Forudsætninger

• Din organisation skal have følgende licenser for at kunne bruge appkontrolelementet Betinget adgang:

  • En relevant PingOne-licens (påkrævet for enkeltlogon)
  • Microsoft Defender for Cloud Apps

• En eksisterende PingOne-konfiguration af enkeltlogon for appen ved hjælp af SAML 2.0-godkendelsesprotokollen

Sådan konfigurerer du sessionskontrolelementer for din app ved hjælp af PingOne som IdP

Brug følgende trin til at dirigere dine webappsessioner fra PingOne til Defender for Cloud Apps.

Bemærk!

Du kan konfigurere appens SAML-single sign-on-oplysninger, der leveres af PingOne, ved hjælp af en af følgende metoder:

• Mulighed 1: Upload af appens SAML-metadatafil.
• Mulighed 2: Manuel angivelse af appens SAML-data.

I følgende trin bruger vi mulighed 2.

Trin 1: Hent appens SAML-indstillinger for enkeltlogon

Trin 2: Konfigurer Defender for Cloud Apps med din apps SAML-oplysninger

Trin 3: Opret en brugerdefineret app i PingOne

Trin 4: Konfigurer Defender for Cloud Apps med oplysninger om PingOne-appen

Trin 5: Fuldfør den brugerdefinerede app i PingOne

Trin 6: Hent appændringerne i Defender for Cloud Apps

Trin 7: Fuldfør appændringerne

Trin 8: Fuldfør konfigurationen i Defender for Cloud Apps

Trin 1: Hent appens SAML-indstillinger for enkeltlogon

1. I Salesforce skal du gå til Konfigurationsindstillinger>Identity>>Single Sign-On Indstillinger.

2. Under Indstillinger for enkelt Sign-On skal du vælge navnet på den eksisterende SAML 2.0-konfiguration.

   

3. Notér URL-adressen til Salesforce-logon på siden SAML Single Sign-On Setting. Du skal bruge dette senere.

   Bemærk!

   Hvis din app indeholder et SAML-certifikat, skal du downloade certifikatfilen.

   

Trin 2: Konfigurer Defender for Cloud Apps med din apps SAML-oplysninger

1. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps.

2. Under Forbundne apps skal du vælge Apps til kontrol af betinget adgang.

3. Vælg +Tilføj, og vælg den app, du vil installere, i pop op-vinduet, og vælg derefter Start guide.

4. På siden APP-OPLYSNINGER skal du vælge Udfyld data manuelt, i URL-adressen til antagelsesforbrugertjenesten angive den Salesforce-logon-URL-adresse , du noterede tidligere, og derefter vælge Næste.

   Bemærk!

   Hvis din app leverer et SAML-certifikat, skal du vælge Brug <app_name> SAML-certifikat og uploade certifikatfilen.

   

Trin 3: Opret en brugerdefineret app i PingOne

Før du fortsætter, skal du bruge følgende trin til at hente oplysninger fra din eksisterende Salesforce-app.

1. Rediger din eksisterende Salesforce-app i PingOne.

2. På siden SSO Attribute Mapping skal du notere SAML_SUBJECT attribut og værdi og derefter downloade signeringscertifikatet og SAML-metadatafilerne .

   

3. Åbn SAML-metadatafilen, og notér PingOne SingleSignOnService Location. Du skal bruge dette senere.

   

4. Notér de tildelte grupper på siden Gruppeadgang .

   

Brug derefter vejledningen fra siden Tilføj et SAML-program med din identitetsudbyder for at konfigurere en brugerdefineret app på din IdP-portal.

Bemærk!

Konfiguration af en brugerdefineret app giver dig mulighed for at teste den eksisterende app med adgangs- og sessionskontrolelementer uden at ændre den aktuelle funktionsmåde for din organisation.

1. Opret et nyt SAML-program.

   

2. Udfyld formularen på siden Programdetaljer , og vælg derefter Fortsæt til næste trin.

   Tip

   Brug et appnavn, der kan hjælpe dig med at skelne mellem den brugerdefinerede app og den eksisterende Salesforce-app.

   

3. Gør følgende på siden Programkonfiguration , og vælg derefter Fortsæt til næste trin.

   • I feltet Antagelsesforbrugertjeneste (ACS) skal du angive DEN URL-adresse til Salesforce-logon , du noterede tidligere.
   • I feltet Objekt-id skal du angive et entydigt id, der starter med https://. Sørg for, at dette er anderledes end den konfiguration, der afslutter Salesforce PingOne-appen.
   • Notér enheds-id'et. Du skal bruge dette senere.

   

4. På siden Tilknytning af SSO-attribut skal du tilføje den eksisterende Salesforce-apps SAML_SUBJECT attribut og værdi, du noterede tidligere, og derefter vælge Fortsæt til næste trin.

   

5. På siden Gruppeadgang skal du tilføje den eksisterende Salesforce-apps grupper, som du noterede tidligere, og fuldføre konfigurationen.

   

Trin 4: Konfigurer Defender for Cloud Apps med pingone-appens oplysninger

1. Tilbage på siden Defender for Cloud Apps IDENTITETSUDBYDER skal du vælge Næste for at fortsætte.

2. På den næste side skal du vælge Udfyld data manuelt, gøre følgende og derefter vælge Næste.

   • For URL-adressen til antagelsesforbrugertjenesten skal du angive url-adressen til Salesforce-logon , som du noterede tidligere.
   • Vælg Upload identitetsudbyderens SAML-certifikat , og upload den certifikatfil, du downloadede tidligere.

   

3. Notér følgende oplysninger på næste side, og vælg derefter Næste. Du skal bruge oplysningerne senere.

   • Defender for Cloud Apps URL-adresse til enkeltlogon
   • Defender for Cloud Apps attributter og værdier

   

Trin 5: Fuldfør den brugerdefinerede app i PingOne

1. Find og rediger den brugerdefinerede Salesforce-app i PingOne.

   

2. I feltet Antagelsesforbrugertjeneste (ACS) skal du erstatte URL-adressen med den Defender for Cloud Apps URL-adresse til enkeltlogon, du noterede tidligere, og derefter vælge Næste.

   

3. Føj de Defender for Cloud Apps attributter og værdier, du noterede tidligere, til appens egenskaber.

   

4. Gem dine indstillinger.

Trin 6: Hent appændringerne i Defender for Cloud Apps

Gør følgende på siden Defender for Cloud Apps APPÆNDRINGER, men vælg ikke Udfør. Du skal bruge oplysningerne senere.

• Kopiér URL-adressen til Defender for Cloud Apps SAML-singlelogon
• Download SAML-certifikatet Defender for Cloud Apps

Trin 7: Fuldfør appændringerne

I Salesforce skal du gå til Konfigurationsindstillinger>Identity>>Single Sign-On Indstillinger og gøre følgende:

1. Anbefalet: Opret en sikkerhedskopi af dine aktuelle indstillinger.

2. Erstat værdien i feltet URL-adresse for identitetsudbyderlogon med den Defender for Cloud Apps URL-adresse til SAML-enkeltlogon, du noterede tidligere.

3. Upload det Defender for Cloud Apps SAML-certifikat, du downloadede tidligere.

4. Erstat feltværdien Entity ID med det brugerdefinerede App Entity ID for PingOne, som du noterede tidligere.

5. Vælg Gem.

   Bemærk!

   Det Defender for Cloud Apps SAML-certifikat er gyldigt i ét år. Når det udløber, skal der oprettes et nyt certifikat.

   

Trin 8: Fuldfør konfigurationen i Defender for Cloud Apps

• Tilbage på siden Defender for Cloud Apps APP-ÆNDRINGER skal du vælge Udfør. Når guiden er fuldført, distribueres alle tilknyttede logonanmodninger til denne app via appen til betinget adgang.

Relateret indhold

« PREVIOUS: Installér appkontrol med betinget adgang for alle apps

Introduktion til appkontrol med betinget adgang

Fejlfinding af adgangs- og sessionskontrolelementer

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.