Freigeben über

Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mithilfe von PingOne als Identitätsanbieter (IdP)

  • Artikel

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und jedem Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von PingOne an Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung Defender for Cloud Apps Sitzungssteuerelemente konfiguriert wird. Führen Sie zum Konfigurieren anderer Apps die gleichen Schritte gemäß ihren Anforderungen aus.

Voraussetzungen

  • Ihr organization muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff verwenden zu können:

    • Eine relevante PingOne-Lizenz (erforderlich für einmaliges Anmelden)
    • Microsoft Defender for Cloud Apps

  • Eine vorhandene PingOne-Konfiguration für einmaliges Anmelden für die App mit dem SAML 2.0-Authentifizierungsprotokoll

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mit PingOne als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von PingOne an Defender for Cloud Apps weiterzuleiten.

Hinweis

Sie können die saml-SSO-Informationen der App konfigurieren, die von PingOne bereitgestellt werden, indem Sie eine der folgenden Methoden verwenden:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für einmaliges Anmelden für Ihre App

Schritt 2: Konfigurieren Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für einmaliges Anmelden für Ihre App

  1. Navigieren Sie in Salesforce zu Setupeinstellungen>>Identität>einzel Sign-On Einstellungen.

  2. Wählen Sie unter Single Sign-On Settings (Einstellungen für einmaliges Sign-On) den Namen Ihrer vorhandenen SAML 2.0-Konfiguration aus.

    Wählen Sie Salesforce SSO-Einstellungen aus.

  3. Notieren Sie sich auf der Seite SAM-SSO-Einstellungen die Salesforce-Login-URL. Diesen benötigen Sie später.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Wählen Sie Salesforce SSO-Anmelde-URL aus.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerungs-Apps für bedingten Zugriff aus.

  3. Wählen Sie + Hinzufügen aus, wählen Sie im Popupfenster die App aus, die Sie bereitstellen möchten, und wählen Sie dann Assistenten starten aus.

  4. Wählen Sie auf der Seite APP-INFORMATIONEN die Option Daten manuell ausfüllen aus, geben Sie unter Assertionsconsumerdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie App_name> SAML-Zertifikat verwenden < aus, und laden Sie die Zertifikatdatei hoch.

    Geben Sie salesforce SAML-Informationen manuell ein.

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Bevor Sie fortfahren, führen Sie die folgenden Schritte aus, um Informationen aus Ihrer vorhandenen Salesforce-App abzurufen.

  1. Bearbeiten Sie in PingOne Ihre vorhandene Salesforce-App.

  2. Notieren Sie sich auf der Seite SSO-Attribut-Zuordnung das Attribut SAML_SUBJECT und den Wert und laden Sie dann die Dateien für das Signierzertifikat und die SAML-Metadaten herunter.

    Beachten Sie die Attribute der vorhandenen Salesforce-App.

  3. Öffnen Sie die SAML-Metadatendatei, und notieren Sie sich den PingOne SingleSignOnService-Speicherort. Diesen benötigen Sie später.

    Notieren Sie sich den Standort des SSO-Diensts der vorhandenen Salesforce-App.

  4. Notieren Sie sich auf der Seite Gruppenzugriff die zugewiesenen Gruppen.

    Beachten Sie die zugewiesenen Gruppen der vorhandenen Salesforce-App.

Verwenden Sie dann die Anweisungen auf der Seite Hinzufügen einer SAML-Anwendung mit Ihrem Identitätsanbieter , um eine benutzerdefinierte App im Portal Ihres Identitätsanbieters zu konfigurieren.

Fügen Sie die SAML-App mit Ihrem Identitätsanbieter hinzu.

Hinweis

Wenn Sie eine benutzerdefinierte App konfigurieren, können Sie die vorhandene App mit Zugriffs- und Sitzungssteuerelementen testen, ohne das aktuelle Verhalten für Ihre organization zu ändern.

  1. Erstellen Sie eine Neue SAML-Anwendung.

    Erstellen Sie in PingOne eine neue benutzerdefinierte Salesforce-App.

  2. Füllen Sie auf der Seite Anwendungsdetails das Formular aus, und wählen Sie dann Mit nächstem Schritt fortfahren aus.

    Tipp

    Verwenden Sie einen App-Namen, der Ihnen hilft, zwischen der benutzerdefinierten App und der vorhandenen Salesforce-App zu unterscheiden.

    Füllen Sie die Details der benutzerdefinierten App aus.

  3. Führen Sie auf der Seite Anwendungskonfiguration die folgenden Schritte aus, und wählen Sie dann Mit nächstem Schritt fortfahren aus.

    • Geben Sie im Feld Assertion Consumer Service (ACS) die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben.
    • Geben Sie im Feld Entitäts-ID eine eindeutige ID ein, die mit https://beginnt. Stellen Sie sicher, dass sich dies von der Konfiguration der beendenden Salesforce PingOne-App unterscheidet.
    • Notieren Sie sich die Entitäts-ID. Diesen benötigen Sie später.

    Konfigurieren Sie eine benutzerdefinierte App mit Salesforce SAML-Details.

  4. Fügen Sie auf der Seite SSO-Attributzuordnung das SAML_SUBJECT Attribut und den Wert der vorhandenen Salesforce-App hinzu, das Sie zuvor notiert haben, und wählen Sie dann Mit nächstem Schritt fortfahren aus.

    Hinzufügen von Attributen zur benutzerdefinierten Salesforce-App.

  5. Fügen Sie auf der Seite Gruppenzugriff die Gruppen der vorhandenen Salesforce-App hinzu, die Sie zuvor notiert haben, und schließen Sie die Konfiguration ab.

    Weisen Sie gruppen einer benutzerdefinierten Salesforce-App zu.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

  1. Wählen Sie auf der Seite Defender for Cloud Apps IDENTITÄTSANBIETER die Option Weiter aus, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite Daten manuell ausfüllen aus, gehen Sie wie folgt vor, und wählen Sie dann Weiter aus.

    • Geben Sie unter Assertion consumer service URL (Assertionsconsumerdienst-URL) die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben.
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen aus, und laden Sie die zertifikatsdatei hoch, die Sie zuvor heruntergeladen haben.

    Fügen Sie die SSO-Dienst-URL und das SAML-Zertifikat hinzu.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und wählen Sie dann Weiter aus. Sie benötigen die Informationen später.

    • Single Sign-On-URL für Defender for Cloud Apps
    • Attribute und Werte von Defender for Cloud Apps

    Notieren Sie sich in Defender for Cloud Apps die SSO-URL und -Attribute.

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

  1. Suchen und bearbeiten Sie in PingOne die benutzerdefinierte Salesforce-App.

    Suchen und bearbeiten Sie eine benutzerdefinierte Salesforce-App.

  2. Ersetzen Sie im Feld Assertion Consumer Service (ACS) die URL durch die Defender for Cloud Apps SSO-URL, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Ersetzen Sie ACS in einer benutzerdefinierten Salesforce-App.

  3. Fügen Sie den Eigenschaften der App die zuvor notierten Defender for Cloud Apps Attribute und Werte hinzu.

    Fügen Sie Defender for Cloud Apps Attribute zur benutzerdefinierten Salesforce-App hinzu.

  4. Speichern Sie Ihre Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Gehen Sie auf der Seite Defender for Cloud Apps APP-ÄNDERUNGEN wie folgt vor, wählen Sie aber nicht Fertig stellen aus. Sie benötigen die Informationen später.

  • Kopieren der Defender for Cloud Apps SAML-URL für einmaliges Anmelden
  • Herunterladen des Defender for Cloud Apps SAML-Zertifikats

Notieren Sie sich die Defender for Cloud Apps SAML-SSO-URL, und laden Sie das Zertifikat herunter.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setupeinstellungen>>Identitätseinstellungen>Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert des Felds Anmelde-URL des Identitätsanbieters durch die Defender for Cloud Apps SAML-URL für einmaliges Anmelden, die Sie zuvor notiert haben.

  3. Laden Sie das Defender for Cloud Apps SAML-Zertifikat hoch, das Sie zuvor heruntergeladen haben.

  4. Ersetzen Sie den Feldwert Entitäts-ID durch die zuvor notierte benutzerdefinierte Entitäts-ID der PingOne-App.

  5. Klicken Sie auf Speichern.

    Hinweis

    Das Defender for Cloud Apps SAML-Zertifikat ist ein Jahr lang gültig. Nach Ablauf des Zertifikats muss ein neues Zertifikat generiert werden.

    Aktualisieren Sie die benutzerdefinierte Salesforce-App mit Defender for Cloud Apps SAML-Details.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Wählen Sie auf der Seite Defender for Cloud Apps APP-ÄNDERUNGEN die Option Fertig stellen aus. Nach Abschluss des Assistenten werden alle zugeordneten Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Verwandte Inhalte

« ZURÜCK: Bereitstellen der App-Steuerung für bedingten Zugriff für alle Apps

Einführung in die App-Steuerung für bedingten Zugriff

Problembehandlung bei Zugriffs- und Sitzungssteuerungen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.