Implementación del control de aplicaciones de acceso condicional para cualquier aplicación web mediante Servicios de federación de Active Directory (AD FS) (AD FS) como proveedor de identidades (IdP)
Puede configurar controles de sesión en Microsoft Defender for Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP que no sea de Microsoft. En este artículo se describe cómo enrutar las sesiones de aplicación de AD FS a Defender for Cloud Apps para controles de sesión en tiempo real.
En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se está configurando para usar Defender for Cloud Apps controles de sesión.
Requisitos previos
Su organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:
- Un entorno de AD FS preconfigurado
- Microsoft Defender for Cloud Apps
Una configuración de inicio de sesión único de AD FS existente para la aplicación mediante el protocolo de autenticación SAML 2.0
Nota:
Los pasos aquí se aplican a todas las versiones de AD FS que se ejecutan en la versión compatible de Windows Server.
Para configurar los controles de sesión de la aplicación mediante AD FS como IdP
Siga estos pasos para enrutar las sesiones de aplicación web de AD FS a Defender for Cloud Apps.
Nota:
Puede configurar la información de inicio de sesión único de SAML de la aplicación proporcionada por AD FS mediante uno de los métodos siguientes:
- Opción 1: Cargar el archivo de metadatos SAML de la aplicación.
- Opción 2: Proporcionar manualmente los datos SAML de la aplicación.
En los pasos siguientes, usaremos la opción 2.
Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación
Paso 2: Configurar Defender for Cloud Apps con la información de SAML de la aplicación
Paso 4: Configuración de Defender for Cloud Apps con la información de la aplicación de AD FS
Paso 5: Completar la configuración de la confianza de usuario de confianza de AD FS
Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps
Paso 7: Completar los cambios de la aplicación
Paso 8: Completar la configuración en Defender for Cloud Apps
Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación
En Salesforce, vaya aConfiguración de>configuración>Identity>Single Sign-On Settings (Identidad de configuración de Sign-On única).
En Configuración de Sign-On única, haga clic en el nombre de la configuración de AD FS existente.
En la página Configuración de inicio de sesión único de SAML, tome nota de la Dirección URL de inicio de sesión de Salesforce. Lo necesitará más adelante al configurar Defender for Cloud Apps.
Nota:
Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.
Paso 2: Configuración de Defender for Cloud Apps con la información de SAML de la aplicación
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.
Seleccione +Agregar y, en el elemento emergente, seleccione la aplicación que desea implementar y, a continuación, seleccione Asistente para iniciar.
En la página INFORMACIÓN DE LA APLICACIÓN , seleccione Rellenar datos manualmente, en la dirección URL del servicio de consumidor de aserciones escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, haga clic en Siguiente.
Nota:
Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.
Paso 3: Creación de una nueva configuración Sign-On de confianza de usuario de confianza y aplicación de AD FS
Nota:
Para limitar el tiempo de inactividad del usuario final y conservar la buena configuración conocida existente, se recomienda crear una nueva configuración de confianza de usuario de confianza y una única Sign-On. Cuando esto no sea posible, omita los pasos pertinentes. Por ejemplo, si la aplicación que está configurando no admite la creación de varias configuraciones de single Sign-On, omita el paso crear nuevo inicio de sesión único.
En la consola de administración de AD FS , en Confianzas de usuario de confianza, vea las propiedades de la confianza de usuario de confianza existente para la aplicación y anote la configuración.
En Acciones, haga clic en Agregar confianza de usuario de confianza. Aparte del valor identificador que debe ser un nombre único, configure la nueva confianza con los valores que anotó anteriormente. Necesitará esta confianza más adelante al configurar Defender for Cloud Apps.
Abra el archivo de metadatos de federación y anote la ubicación singleSignOnService de AD FS. Lo necesitará más adelante.
Nota:
Puede usar el siguiente punto de conexión para acceder al archivo de metadatos de federación:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Descargue el certificado de firma del proveedor de identidades. Lo necesitará más adelante.
En Certificados de servicios>, haga clic con el botón derecho en el certificado de firma de AD FS y, a continuación, seleccione Ver certificado.
En la pestaña de detalles del certificado, haga clic en Copiar en archivo y siga los pasos del Asistente para exportación de certificados para exportar el certificado como X.509 codificado en Base 64 (. CER).
De vuelta en Salesforce, en la página de configuración de inicio de sesión único de AD FS existente, tome nota de toda la configuración.
Cree una nueva configuración de inicio de sesión único de SAML. Además del valor de Id. de entidad que debe coincidir con el identificador de confianza del usuario de confianza, configure el inicio de sesión único con los valores que anotó anteriormente. Lo necesitará más adelante al configurar Defender for Cloud Apps.
Paso 4: Configuración de Defender for Cloud Apps con la información de la aplicación de AD FS
De nuevo en la página Defender for Cloud Apps PROVEEDOR DE IDENTIDADes, haga clic en Siguiente para continuar.
En la página siguiente, seleccione Rellenar datos manualmente, haga lo siguiente y, a continuación, haga clic en Siguiente.
- Para la dirección URL del servicio de inicio de sesión único, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
- Seleccione Cargar el certificado SAML del proveedor de identidades y cargue el archivo de certificado que descargó anteriormente.
En la página siguiente, anote la siguiente información y haga clic en Siguiente. Necesitará la información más adelante.
- URL de inicio de sesión único de Defender for Cloud Apps
- Atributos y valores de Defender for Cloud Apps
Nota:
Si ve una opción para cargar el certificado Defender for Cloud Apps SAML para el proveedor de identidades, haga clic en el vínculo para descargar el archivo de certificado. Lo necesitará más adelante.
Paso 5: Completar la configuración de la confianza de usuario de confianza de AD FS
De nuevo en la consola de administración de AD FS , haga clic con el botón derecho en la confianza de usuario de confianza que creó anteriormente y, a continuación, seleccione Editar directiva de emisión de notificaciones.
En el cuadro de diálogo Editar directiva de emisión de notificaciones , en Reglas de transformación de emisión, use la información proporcionada en la tabla siguiente para completar los pasos para crear reglas personalizadas.
Nombre de regla de notificación Regla personalizada McasSigningCert => issue(type="McasSigningCert", value="<value>");donde<value>es el valor de McasSigningCert del asistente de Defender for Cloud Apps que anotó anteriormenteMcasAppId => issue(type="McasAppId", value="<value>");es el valor de McasAppId del asistente de Defender for Cloud Apps que anotó anteriormente.- Haga clic en Agregar regla, en Plantilla de regla de notificación , seleccione Enviar notificaciones mediante una regla personalizada y, a continuación, haga clic en Siguiente.
- En la página Configurar regla , escriba el nombre de la regla de notificación correspondiente y la regla personalizada proporcionadas.
Nota:
Estas reglas se suman a las reglas o atributos de notificación necesarios para la aplicación que está configurando.
De nuevo en la página Confianza de usuario de confianza, haga clic con el botón derecho en la confianza de usuario de confianza que creó anteriormente y, a continuación, seleccione Propiedades.
En la pestaña Puntos de conexión, seleccione Saml Assertion Consumer Endpoint (Punto de conexión de consumidor de aserción de SAML), haga clic en Editar y reemplace la dirección URL de confianza por la dirección URL de inicio de sesión único Defender for Cloud Apps que anotó anteriormente y, a continuación, haga clic en Aceptar.
Si descargó una Defender for Cloud Apps certificado SAML para el proveedor de identidades, en la pestaña Firma, haga clic en Agregar y cargue el archivo de certificado y, a continuación, haga clic en Aceptar.
Guarde la configuración.
Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps
De vuelta en la página Defender for Cloud Apps APP CHANGES, haga lo siguiente, pero no haga clic en Finalizar. Necesitará la información más adelante.
- Copia de la dirección URL de inicio de sesión único de DEFENDER FOR CLOUD APPS SAML
- Descarga del certificado SAML de Defender for Cloud Apps
Paso 7: Completar los cambios de la aplicación
En Salesforce, vaya aConfiguración de>configuración>Identity>Single Sign-On Settings y haga lo siguiente:
Recomendado: cree una copia de seguridad de la configuración actual.
Reemplace el valor del campo Identity Provider Login URL (Dirección URL de inicio de sesión del proveedor de identidades) por la dirección URL de inicio de sesión único de SAML Defender for Cloud Apps que anotó anteriormente.
Cargue el Defender for Cloud Apps certificado SAML que descargó anteriormente.
Haga clic en Guardar.
Nota:
El certificado Defender for Cloud Apps SAML es válido durante un año. Una vez que expire, deberá generarse un nuevo certificado.
Paso 8: Completar la configuración en Defender for Cloud Apps
- De nuevo en la página Defender for Cloud Apps CAMBIOS DE APLICACIÓN, haga clic en Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicación de acceso condicional.
Contenido relacionado
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.