Déployer le contrôle d’application d’accès conditionnel pour n’importe quelle application web à l’aide de Services ADFS (AD FS) en tant que fournisseur d’identité (IdP)
Vous pouvez configurer des contrôles de session dans Microsoft Defender for Cloud Apps pour qu’ils fonctionnent avec n’importe quelle application web et tout fournisseur d’identité non-Microsoft. Cet article explique comment router les sessions d’application d’AD FS vers Defender for Cloud Apps pour les contrôles de session en temps réel.
Pour cet article, nous allons utiliser l’application Salesforce comme exemple d’application web configurée pour utiliser Defender for Cloud Apps contrôles de session.
Configuration requise
Votre organization doit disposer des licences suivantes pour utiliser le contrôle d’application à accès conditionnel :
- Un environnement AD FS préconfiguré
- Microsoft Defender for Cloud Apps
Une configuration d’authentification unique AD FS existante pour l’application à l’aide du protocole d’authentification SAML 2.0
Remarque
Les étapes décrites ici s’appliquent à toutes les versions d’AD FS qui s’exécutent sur la version prise en charge de Windows Server.
Pour configurer des contrôles de session pour votre application à l’aide d’AD FS comme fournisseur d’identité
Procédez comme suit pour router vos sessions d’application web d’AD FS vers Defender for Cloud Apps.
Remarque
Vous pouvez configurer les informations d’authentification unique SAML de l’application fournies par AD FS à l’aide de l’une des méthodes suivantes :
- Option 1 : chargement du fichier de métadonnées SAML de l’application.
- Option 2 : fournir manuellement les données SAML de l’application.
Dans les étapes suivantes, nous allons utiliser l’option 2.
Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application
Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application
Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application AD FS
Étape 5 : Terminer la configuration de l’approbation de partie de confiance AD FS
Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps
Étape 7 : Effectuer les modifications apportées à l’application
Étape 8 : Terminer la configuration dans Defender for Cloud Apps
Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application
Dans Salesforce, accédez à Configuration>Paramètres>Identité>unique Sign-On Paramètres.
Sous Paramètres de Sign-On unique, cliquez sur le nom de votre configuration AD FS existante.
Dans la page Paramètre de l’authentification unique SAML, notez l’URL de connexion Salesforce. Vous en aurez besoin plus tard lors de la configuration de Defender for Cloud Apps.
Remarque
Si votre application fournit un certificat SAML, téléchargez le fichier de certificat.
Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps.
Sous Applications connectées, sélectionnez Applications de contrôle d’application par accès conditionnel.
Sélectionnez +Ajouter, puis dans la fenêtre contextuelle, sélectionnez l’application que vous souhaitez déployer, puis sélectionnez Démarrer l’Assistant.
Dans la page INFORMATIONS DE L’APPLICATION , sélectionnez Remplir les données manuellement, dans l’URL du service consommateur Assertion , entrez l’URL de connexion Salesforce que vous avez notée précédemment, puis cliquez sur Suivant.
Remarque
Si votre application fournit un certificat SAML, sélectionnez Utiliser <app_name> certificat SAML et chargez le fichier de certificat.
Étape 3 : Créer une approbation de partie de confiance AD FS et une configuration de Sign-On unique d’application
Remarque
Pour limiter le temps d’arrêt de l’utilisateur final et préserver votre configuration correcte connue, nous vous recommandons de créer une nouvelle approbation de partie de confiance et une configuration de Sign-On unique. Si cela n’est pas possible, ignorez les étapes appropriées. Par exemple, si l’application que vous configurez ne prend pas en charge la création de plusieurs configurations de Sign-On unique, ignorez l’étape Créer une authentification unique.
Dans la console de gestion AD FS , sous Approbations de partie de confiance, affichez les propriétés de votre approbation de partie de confiance existante pour votre application et notez les paramètres.
Sous Actions, cliquez sur Ajouter une approbation de partie de confiance. Outre la valeur Identificateur qui doit être un nom unique, configurez la nouvelle approbation à l’aide des paramètres que vous avez notés précédemment. Vous aurez besoin de cette approbation ultérieurement lors de la configuration de Defender pour Cloud Apps.
Ouvrez le fichier de métadonnées de fédération et notez l’emplacement du service SingleSignOnService AD FS. Vous en aurez besoin plus tard.
Remarque
Vous pouvez utiliser le point de terminaison suivant pour accéder à votre fichier de métadonnées de fédération :
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Téléchargez le certificat de signature du fournisseur d’identité. Vous en aurez besoin plus tard.
Sous Certificats de services>, cliquez avec le bouton droit sur le certificat de signature AD FS, puis sélectionnez Afficher le certificat.
Sous l’onglet Détails du certificat, cliquez sur Copier dans un fichier et suivez les étapes de l’Assistant Exportation de certificat pour exporter votre certificat en tant que X.509 encodé en Base 64 (. CER).
De retour dans Salesforce, dans la page des paramètres d’authentification unique AD FS existante, notez tous les paramètres.
Créer une nouvelle configuration d’authentification unique SAML. Outre la valeur ID d’entité qui doit correspondre à l’identificateur d’approbation de la partie de confiance, configurez l’authentification unique à l’aide des paramètres que vous avez notés précédemment. Vous en aurez besoin plus tard lors de la configuration de Defender for Cloud Apps.
Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application AD FS
De retour dans la page Defender for Cloud Apps IDENTITY PROVIDER, cliquez sur Suivant pour continuer.
Dans la page suivante, sélectionnez Remplir les données manuellement, procédez comme suit, puis cliquez sur Suivant.
- Pour l’URL du service d’authentification unique, entrez l’URL de connexion Salesforce que vous avez notée précédemment.
- Sélectionnez Charger le certificat SAML du fournisseur d’identité et chargez le fichier de certificat que vous avez téléchargé précédemment.
Sur la page suivante, notez les informations suivantes, puis cliquez sur Suivant. Vous aurez besoin des informations ultérieurement.
- URL d’authentification unique Defender pour Cloud Apps
- Attributs et valeurs de Defender pour Cloud Apps
Remarque
Si vous voyez une option permettant de charger le certificat SAML Defender for Cloud Apps pour le fournisseur d’identité, cliquez sur le lien pour télécharger le fichier de certificat. Vous en aurez besoin plus tard.
Étape 5 : Terminer la configuration de l’approbation de partie de confiance AD FS
De retour dans la console de gestion AD FS , cliquez avec le bouton droit sur l’approbation de partie de confiance que vous avez créée précédemment, puis sélectionnez Modifier la stratégie d’émission de revendication.
Dans la boîte de dialogue Modifier la stratégie d’émission de revendication , sous Règles de transformation d’émission, utilisez les informations fournies dans le tableau suivant pour effectuer les étapes de création de règles personnalisées.
Nom de la règle de revendication Type de règle de validation personnalisée McasSigningCert => issue(type="McasSigningCert", value="<value>");où<value>est la valeur McasSigningCert de l’Assistant Defender for Cloud Apps que vous avez notée précédemmentMcasAppId => issue(type="McasAppId", value="<value>");est la valeur McasAppId de l’Assistant Defender for Cloud Apps que vous avez notée précédemment- Cliquez sur Ajouter une règle, sous Modèle de règle de revendication , sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée, puis cliquez sur Suivant.
- Dans la page Configurer la règle , entrez respectivement le nom de la règle de revendication et la règle personnalisée fournies.
Remarque
Ces règles s’ajoutent aux règles ou attributs de revendication requis par l’application que vous configurez.
De retour dans la page Approbation de partie de confiance, cliquez avec le bouton droit sur l’approbation de partie de confiance que vous avez créée précédemment, puis sélectionnez Propriétés.
Sous l’onglet Points de terminaison, sélectionnez Point de terminaison consommateur d’assertion SAML, cliquez sur Modifier et remplacez l’URL approuvée par l’URL d’authentification unique Defender for Cloud Apps que vous avez notée précédemment, puis cliquez sur OK.
Si vous avez téléchargé un certificat SAML Defender for Cloud Apps pour le fournisseur d’identité, sous l’onglet Signature, cliquez sur Ajouter et chargez le fichier de certificat, puis cliquez sur OK.
Enregistrez vos paramètres.
Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps
De retour dans la page Defender for Cloud Apps MODIFICATIONS DE L’APPLICATION, procédez comme suit, mais ne cliquez pas sur Terminer. Vous aurez besoin des informations ultérieurement.
- Copiez l’URL d’authentification unique SAML Defender for Cloud Apps
- Télécharger le certificat SAML Defender for Cloud Apps
Étape 7 : Effectuer les modifications apportées à l’application
Dans Salesforce, accédez à Configuration>Paramètres>Identité>unique Sign-On Paramètres, puis procédez comme suit :
Recommandé : créez une sauvegarde de vos paramètres actuels.
Remplacez la valeur du champ Identity Provider Login URL (URL de connexion du fournisseur d’identité) par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez notée précédemment.
Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé précédemment.
Cliquez sur Save (Enregistrer).
Remarque
Le certificat SAML Defender for Cloud Apps est valide pendant un an. Après son expiration, un nouveau certificat doit être généré.
Étape 8 : Terminer la configuration dans Defender for Cloud Apps
- De retour dans la page Defender for Cloud Apps MODIFICATIONS DE L’APPLICATION, cliquez sur Terminer. Une fois l’Assistant terminé, toutes les demandes de connexion associées à cette application sont routées via le contrôle d’application à accès conditionnel.
Contenu connexe
« PRÉCÉDENT : Déployer le contrôle d’application par accès conditionnel pour toutes les applications
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.