Compartir a través de

Implementación del control de aplicaciones de acceso condicional para cualquier aplicación web mediante PingOne como proveedor de identidades (IdP)

  • Artículo

Puede configurar controles de sesión en Microsoft Defender for Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP que no sea de Microsoft. En este artículo se describe cómo enrutar las sesiones de aplicación de PingOne a Defender for Cloud Apps para controles de sesión en tiempo real.

En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se está configurando para usar Defender for Cloud Apps controles de sesión. Para configurar otras aplicaciones, realice los mismos pasos según sus requisitos.

Requisitos previos

  • Su organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

    • Una licencia de PingOne pertinente (necesaria para el inicio de sesión único)
    • Microsoft Defender for Cloud Apps

  • Una configuración de inicio de sesión único de PingOne existente para la aplicación mediante el protocolo de autenticación SAML 2.0

Para configurar los controles de sesión de la aplicación mediante PingOne como IdP

Siga estos pasos para enrutar las sesiones de la aplicación web de PingOne a Defender for Cloud Apps.

Nota:

Puede configurar la información de inicio de sesión único de SAML de la aplicación proporcionada por PingOne mediante uno de los métodos siguientes:

  • Opción 1: Cargar el archivo de metadatos SAML de la aplicación.
  • Opción 2: Proporcionar manualmente los datos SAML de la aplicación.

En los pasos siguientes, usaremos la opción 2.

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

Paso 2: Configurar Defender for Cloud Apps con la información de SAML de la aplicación

Paso 3: Crear una aplicación personalizada en PingOne

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación PingOne

Paso 5: Completar la aplicación personalizada en PingOne

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

Paso 7: Completar los cambios de la aplicación

Paso 8: Completar la configuración en Defender for Cloud Apps

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

  1. En Salesforce, vaya aConfiguración de>configuración>Identity>Single Sign-On Settings (Identidad de configuración de Sign-On única).

  2. En Configuración de Sign-On única, seleccione el nombre de la configuración de SAML 2.0 existente.

    Seleccione Configuración del inicio de sesión único de Salesforce.

  3. En la página Configuración de inicio de sesión único de SAML, tome nota de la Dirección URL de inicio de sesión de Salesforce. Lo necesitará más adelante.

    Nota:

    Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.

    Seleccione Dirección URL de inicio de sesión de SSO de Salesforce.

Paso 2: Configuración de Defender for Cloud Apps con la información de SAML de la aplicación

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.

  3. Seleccione +Agregar y, en el elemento emergente, seleccione la aplicación que desea implementar y, a continuación, seleccione Asistente para iniciar.

  4. En la página INFORMACIÓN DE LA APLICACIÓN , seleccione Rellenar datos manualmente, en la dirección URL del servicio de consumidor de aserciones escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, seleccione Siguiente.

    Nota:

    Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Rellene manualmente la información de Salesforce SAML.

Paso 3: Crear una aplicación personalizada en PingOne

Antes de continuar, siga estos pasos para obtener información de la aplicación salesforce existente.

  1. En PingOne, edite la aplicación salesforce existente.

  2. En la página de asignación de atributos de SSO, anote el atributo SAML_SUBJECT y el valor y descargue elCertificado de firma y los archivosde metadatos SAML.

    Tenga en cuenta los atributos de la aplicación Salesforce existentes.

  3. Abra el archivo de metadatos SAML y anote la ubicación de SingleSignOnService de PingOne. Lo necesitará más adelante.

    Tenga en cuenta la ubicación del servicio SSO de la aplicación Salesforce existente.

  4. En la página Acceso a grupos, anote los grupos asignados.

    Tenga en cuenta los grupos asignados de la aplicación Salesforce existentes.

A continuación, use las instrucciones de la página Agregar una aplicación SAML con el proveedor de identidades para configurar una aplicación personalizada en el portal del IdP.

Agregue la aplicación SAML con el proveedor de identidades.

Nota:

La configuración de una aplicación personalizada le permite probar la aplicación existente con controles de acceso y sesión sin cambiar el comportamiento actual de su organización.

  1. Crear una nueva aplicación SAML.

    En PingOne, cree una nueva aplicación de Salesforce personalizada.

  2. En la página Detalles de la aplicación , rellene el formulario y, a continuación, seleccione Continuar con el paso siguiente.

    Sugerencia

    Use un nombre de aplicación que le ayude a diferenciar entre la aplicación personalizada y la aplicación salesforce existente.

    Rellene los detalles de la aplicación personalizada.

  3. En la página Configuración de la aplicación , haga lo siguiente y, a continuación, seleccione Continuar con el paso siguiente.

    • En el campo Servicio de consumidor de aserciones (ACS ), escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • En el campo Id. de entidad , escriba un identificador único a partir de https://. Asegúrese de que esto es diferente de la configuración de la aplicación Salesforce PingOne que sale.
    • Anote el identificador de entidad. Lo necesitará más adelante.

    Configure la aplicación personalizada con los detalles de Salesforce SAML.

  4. En la página Asignación de atributos de SSO , agregue el atributo y el valor de SAML_SUBJECT de la aplicación Salesforce existente que anotó anteriormente y, a continuación, seleccione Continuar al paso siguiente.

    Agregar atributos a una aplicación de Salesforce personalizada.

  5. En la página Acceso a grupos, agregue los grupos de la aplicación Salesforce existentes que anotó anteriormente y complete la configuración.

    Asigne grupos a una aplicación de Salesforce personalizada.

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación PingOne

  1. De nuevo en la página Defender for Cloud Apps PROVEEDOR DE IDENTIDADes, seleccione Siguiente para continuar.

  2. En la página siguiente, seleccione Rellenar datos manualmente, haga lo siguiente y, a continuación, seleccione Siguiente.

    • Para la dirección URL del servicio de consumidor de aserciones, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • Seleccione Cargar el certificado SAML del proveedor de identidades y cargue el archivo de certificado que descargó anteriormente.

    Agregue la dirección URL del servicio SSO y el certificado SAML.

  3. En la página siguiente, tome nota de la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información más adelante.

    • URL de inicio de sesión único de Defender for Cloud Apps
    • Atributos y valores de Defender for Cloud Apps

    En Defender for Cloud Apps, tenga en cuenta la dirección URL y los atributos de SSO.

Paso 5: Completar la aplicación personalizada en PingOne

  1. En PingOne, busque y edite la aplicación salesforce personalizada.

    Busque y edite una aplicación de Salesforce personalizada.

  2. En el campo Servicio de consumidor de aserciones (ACS), reemplace la dirección URL por la dirección URL de inicio de sesión único Defender for Cloud Apps que anotó anteriormente y, a continuación, seleccione Siguiente.

    Reemplace ACS en una aplicación de Salesforce personalizada.

  3. Agregue los atributos y valores de Defender for Cloud Apps que anotó anteriormente a las propiedades de la aplicación.

    Agregue atributos de Defender for Cloud Apps a una aplicación de Salesforce personalizada.

  4. Guarde la configuración.

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

De nuevo en la página Defender for Cloud Apps CAMBIOS DE APLICACIÓN, haga lo siguiente, pero no seleccione Finalizar. Necesitará la información más adelante.

  • Copia de la dirección URL de inicio de sesión único de DEFENDER FOR CLOUD APPS SAML
  • Descarga del certificado SAML de Defender for Cloud Apps

Anote la Defender for Cloud Apps dirección URL de INICIO de sesión único de SAML y descargue el certificado.

Paso 7: Completar los cambios de la aplicación

En Salesforce, vaya aConfiguración de>configuración>Identity>Single Sign-On Settings y haga lo siguiente:

  1. Recomendado: cree una copia de seguridad de la configuración actual.

  2. Reemplace el valor del campo Identity Provider Login URL (Dirección URL de inicio de sesión del proveedor de identidades) por la dirección URL de inicio de sesión único de SAML Defender for Cloud Apps que anotó anteriormente.

  3. Cargue el Defender for Cloud Apps certificado SAML que descargó anteriormente.

  4. Reemplace laID de la entidad o de campo con el ID de entidad de la aplicación personalizada PingOne que anotó anteriormente.

  5. Haga clic en Guardar.

    Nota:

    El certificado Defender for Cloud Apps SAML es válido durante un año. Una vez que expire, deberá generarse un nuevo certificado.

    Actualice la aplicación salesforce personalizada con Defender for Cloud Apps detalles de SAML.

Paso 8: Completar la configuración en Defender for Cloud Apps

  • De nuevo en la página DEFENDER FOR CLOUD APPS CAMBIOS DE APLICACIÓN, seleccione Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicación de acceso condicional.

Contenido relacionado

« PREVIOUS: Implementación del control de aplicaciones de acceso condicional para cualquier aplicación

Introducción al control de aplicaciones de acceso condicional

Solución de problemas de acceso y controles de sesión

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.