Freigeben über

Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mithilfe von Active Directory-Verbunddienste (AD FS) (AD FS) als Identitätsanbieter (IdP)

  • Artikel

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und jedem Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie App-Sitzungen von AD FS an Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weitergeleitet werden.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung Defender for Cloud Apps Sitzungssteuerelemente konfiguriert wird.

Voraussetzungen

  • Ihr organization muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff verwenden zu können:

    • Eine vorkonfigurierte AD FS-Umgebung
    • Microsoft Defender for Cloud Apps

  • Eine vorhandene AD FS-Konfiguration für einmaliges Anmelden für die App mithilfe des SAML 2.0-Authentifizierungsprotokolls

Hinweis

Die hier aufgeführten Schritte gelten für alle Versionen von AD FS, die unter einer unterstützten Version von Windows Server ausgeführt werden.

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mit AD FS als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von AD FS an Defender for Cloud Apps weiterzuleiten.

Hinweis

Sie können die saml-SSO-Informationen der App konfigurieren, die von AD FS bereitgestellt werden, indem Sie eine der folgenden Methoden verwenden:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für einmaliges Anmelden für Ihre App

Schritt 2: Konfigurieren Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen Sie eine neue Konfiguration für die Vertrauensstellung der vertrauenden Seite und das einmalige Anmelden der App.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

Schritt 5: Abschließen der Konfiguration der AD FS-Vertrauensstellung der vertrauenden Seite

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für einmaliges Anmelden für Ihre App

  1. Navigieren Sie in Salesforce zu Setupeinstellungen>>Identität>einzel Sign-On Einstellungen.

  2. Klicken Sie unter Single Sign-On Settings (Einstellungen für einmaliges Sign-On) auf den Namen Ihrer vorhandenen AD FS-Konfiguration.

    Wählen Sie Salesforce SSO-Einstellungen aus.

  3. Notieren Sie sich auf der Seite SAM-SSO-Einstellungen die Salesforce-Login-URL. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Wählen Sie Salesforce SSO-Anmelde-URL aus.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerungs-Apps für bedingten Zugriff aus.

  3. Wählen Sie + Hinzufügen aus, wählen Sie im Popupfenster die App aus, die Sie bereitstellen möchten, und wählen Sie dann Assistenten starten aus.

  4. Wählen Sie auf der Seite APP-INFORMATIONEN die Option Daten manuell ausfüllen aus, geben Sie unter Assertionsconsumerdienst-URL die Salesforce-Anmelde-URL ein, die Sie sich zuvor notiert haben, und klicken Sie dann auf Weiter.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie App_name> SAML-Zertifikat verwenden < aus, und laden Sie die Zertifikatdatei hoch.

    Geben Sie salesforce SAML-Informationen manuell ein.

Schritt 3: Erstellen einer neuen AD FS-Vertrauensstellung der vertrauenden Seite und einer app Single Sign-On-Konfiguration

Hinweis

Um Ausfallzeiten für Endbenutzer zu begrenzen und Ihre vorhandene als fehlerfrei bekannte Konfiguration beizubehalten, wird empfohlen, eine neue Vertrauensstellung der vertrauenden Seite und eine konfiguration mit einer einzelnen Sign-On zu erstellen. Wenn dies nicht möglich ist, überspringen Sie die entsprechenden Schritte. Wenn die App, die Sie konfigurieren, z. B. das Erstellen mehrerer Konfigurationen mit Sign-On nicht unterstützt, überspringen Sie den Schritt zum Erstellen eines neuen einmaligen Anmeldens.

  1. Zeigen Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite die Eigenschaften der vorhandenen Vertrauensstellung der vertrauenden Seite für Ihre App an, und notieren Sie sich die Einstellungen.

  2. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen. Abgesehen vom Bezeichnerwert , der ein eindeutiger Name sein muss, konfigurieren Sie die neue Vertrauensstellung mithilfe der zuvor notierten Einstellungen. Sie benötigen diese Vertrauensstellung später beim Konfigurieren von Defender für Cloud-Apps.

  3. Öffnen Sie die Verbundmetadatendatei, und notieren Sie sich den AD FS SingleSignOnService-Speicherort. Diesen benötigen Sie später.

    Hinweis

    Sie können den folgenden Endpunkt verwenden, um auf Ihre Verbundmetadatendatei zuzugreifen: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Notieren Sie sich den Standort des SSO-Diensts der vorhandenen Salesforce-App.

  4. Laden Sie das Signaturzertifikat des Identitätsanbieters herunter. Diesen benötigen Sie später.

    1. Klicken Sie unterDienstezertifikate> mit der rechten Maustaste auf das AD FS-Signaturzertifikat, und wählen Sie dann Zertifikat anzeigen aus.

      Zeigen Sie die Eigenschaften des IdP-Signaturzertifikats an.

    2. Klicken Sie auf der Registerkarte "Details" des Zertifikats auf In Datei kopieren , und führen Sie die Schritte im Zertifikatexport-Assistenten aus, um Ihr Zertifikat als Base64-codiertes X.509 () zu exportieren. CER) -Datei.

      Speichern Sie die IdP-Signaturzertifikatdatei.

  5. In Salesforce notieren Sie sich auf der vorhandenen Ad FS-Einstellungsseite für einmaliges Anmelden alle Einstellungen.

  6. Erstellen Sie eine neue SAML-Konfiguration für einmaliges Anmelden. Konfigurieren Sie neben dem Wert der Entitäts-ID , der mit dem Bezeichner der Vertrauensstellung der vertrauenden Seite übereinstimmen muss, das einmalige Anmelden mithilfe der zuvor notierten Einstellungen. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

  1. Klicken Sie auf der Seite Defender for Cloud Apps IDENTITY PROVIDER auf Weiter, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite Die Option Daten manuell ausfüllen aus, gehen Sie wie folgt vor, und klicken Sie dann auf Weiter.

    • Geben Sie als Dienst-URL für einmaliges Anmelden die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben.
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen aus, und laden Sie die zertifikatsdatei hoch, die Sie zuvor heruntergeladen haben.

    Fügen Sie die SSO-Dienst-URL und das SAML-Zertifikat hinzu.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und klicken Sie dann auf Weiter. Sie benötigen die Informationen später.

    • Single Sign-On-URL für Defender for Cloud Apps
    • Attribute und Werte von Defender for Cloud Apps

    Hinweis

    Wenn eine Option zum Hochladen des Defender for Cloud Apps SAML-Zertifikats für den Identitätsanbieter angezeigt wird, klicken Sie auf den Link, um die Zertifikatdatei herunterzuladen. Diesen benötigen Sie später.

    Notieren Sie sich in Defender for Cloud Apps die SSO-URL und -Attribute.

Schritt 5: Abschließen der Konfiguration der AD FS-Vertrauensstellung der vertrauenden Seite

  1. Klicken Sie zurück in der AD FS-Verwaltungskonsole mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben, und wählen Sie dann Anspruchsausstellungsrichtlinie bearbeiten aus.

    Suchen und bearbeiten Sie die Anspruchsausstellung der vertrauenden Vertrauensstellung.

  2. Verwenden Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln die in der folgenden Tabelle bereitgestellten Informationen, um die Schritte zum Erstellen benutzerdefinierter Regeln auszuführen.

    Anspruchsregelname Benutzerdefinierte Regel
    McasSigningCert => issue(type="McasSigningCert", value="<value>");Dabei <value> ist der McasSigningCert-Wert aus dem Defender for Cloud Apps Assistenten, den Sie zuvor notiert haben.
    McasAppId => issue(type="McasAppId", value="<value>");ist der McasAppId-Wert aus dem Defender for Cloud Apps Assistenten, den Sie zuvor notiert haben.
    1. Klicken Sie auf Regel hinzufügen, wählen Sie unter Anspruchsregelvorlagedie Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus, und klicken Sie dann auf Weiter.
    2. Geben Sie auf der Seite Regel konfigurieren den entsprechenden Anspruchsregelnamen und die angegebene benutzerdefinierte Regel ein.

    Hinweis

    Diese Regeln gelten zusätzlich zu allen Anspruchsregeln oder Attributen, die für die App erforderlich sind, die Sie konfigurieren.

  3. Klicken Sie auf der Seite Vertrauensstellung der vertrauenden Seite mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben, und wählen Sie dann Eigenschaften aus.

  4. Wählen Sie auf der Registerkarte Endpunkte die Option SAML-Assertionsconsumerendpunkt aus, klicken Sie auf Bearbeiten, und ersetzen Sie die vertrauenswürdige URL durch die zuvor notierte Defender for Cloud Apps URL für einmaliges Anmelden, und klicken Sie dann auf OK.

    Aktualisieren sie die Eigenschaften des vertrauenswürdigen Endpunkts Vertrauenswürdige URL.

  5. Wenn Sie ein Defender for Cloud Apps SAML-Zertifikat für den Identitätsanbieter heruntergeladen haben, klicken Sie auf der Registerkarte Signatur auf Hinzufügen, und laden Sie die Zertifikatdatei hoch, und klicken Sie dann auf OK.

    Aktualisieren sie das SAML-Zertifikat der vertrauenswürdigen Vertrauenswürdigen Signatur.

  6. Speichern Sie Ihre Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Gehen Sie auf der Seite Defender for Cloud Apps APP-ÄNDERUNGEN wie folgt vor, aber klicken Sie nicht auf Fertig stellen. Sie benötigen die Informationen später.

  • Kopieren der Defender for Cloud Apps SAML-URL für einmaliges Anmelden
  • Herunterladen des Defender for Cloud Apps SAML-Zertifikats

Notieren Sie sich die Defender for Cloud Apps SAML-SSO-URL, und laden Sie das Zertifikat herunter.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setupeinstellungen>>Identitätseinstellungen>Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert des Felds Anmelde-URL des Identitätsanbieters durch die Defender for Cloud Apps SAML-URL für einmaliges Anmelden, die Sie zuvor notiert haben.

  3. Laden Sie das Defender for Cloud Apps SAML-Zertifikat hoch, das Sie zuvor heruntergeladen haben.

  4. Klicken Sie auf Speichern.

    Hinweis

    Das Defender for Cloud Apps SAML-Zertifikat ist ein Jahr lang gültig. Nach Ablauf des Zertifikats muss ein neues Zertifikat generiert werden.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Klicken Sie auf der Seite Defender for Cloud Apps APP-ÄNDERUNGEN auf Fertig stellen. Nach Abschluss des Assistenten werden alle zugeordneten Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Verwandte Inhalte

« ZURÜCK: Bereitstellen der App-Steuerung für bedingten Zugriff für alle Apps

Einführung in die App-Steuerung für bedingten Zugriff

Problembehandlung bei Zugriffs- und Sitzungssteuerungen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.