Condividi tramite

Eseguire l'onboarding di app del catalogo IDP non Microsoft per il controllo delle app per l'accesso condizionale

  • Articolo

I controlli di accesso e sessione in Microsoft Defender per le app cloud funzionano sia con le app del catalogo che con le app personalizzate. Mentre Microsoft Entra ID app vengono caricate automaticamente per usare il controllo app di accesso condizionale, se si usa un IdP non Microsoft, sarà necessario eseguire manualmente l'onboarding dell'app.

Questo articolo descrive come configurare l'IdP in modo che funzioni con Defender for Cloud Apps. L'integrazione di IdP con Defender for Cloud Apps esegue automaticamente l'onboarding di tutte le app del catalogo dal provider di identità per il controllo delle app di accesso condizionale.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:

    • La licenza richiesta dalla soluzione IdP (Identity Provider)
    • Microsoft Defender for Cloud Apps

  • Le app devono essere configurate con l'accesso Single Sign-On

  • Le app devono essere configurate con il protocollo di autenticazione SAML 2.0.

Per eseguire e testare in modo completo le procedure descritte in questo articolo, è necessario configurare una sessione o un criterio di accesso. Per altre informazioni, vedere:

Configurare il provider di identità per l'uso con Defender for Cloud Apps

Questa procedura descrive come instradare le sessioni dell'app da altre soluzioni IdP a Defender for Cloud Apps.

Consiglio

Gli articoli seguenti forniscono esempi dettagliati di questa procedura:

Per configurare l'IdP in modo che funzioni con Defender for Cloud Apps:

  1. In Microsoft Defender XDR selezionare Impostazioni > App cloud App > connesse App > connesse App con accesso condizionale App di controllo app.

  2. Nella pagina App controllo app accesso condizionale selezionare + Aggiungi.

  3. Nella finestra di dialogo Aggiungi un'applicazione SAML con il provider di identità selezionare l'elenco a discesa Cerca un'app e quindi selezionare l'app da distribuire. Con l'app selezionata, selezionare Avvia procedura guidata.

  4. Nella pagina INFORMAZIONI APP della procedura guidata caricare un file di metadati dall'app o immettere manualmente i dati dell'app.

    Assicurarsi di fornire le informazioni seguenti:

    • URL del servizio consumer di asserzione. Questo è l'URL usato dall'app per ricevere asserzioni SAML dal provider di identità.
    • Certificato SAML, se l'app ne fornisce uno. In questi casi, selezionare l'opzione Usa ... Opzione del certificato SAML e quindi caricare il file del certificato.

    Al termine, selezionare Avanti per continuare.

  5. Nella pagina IDENTITY PROVIDER della procedura guidata seguire le istruzioni per configurare una nuova app personalizzata nel portale di IdP.

    Nota

    I passaggi necessari possono variare a seconda del provider di identità. È consigliabile eseguire la configurazione esterna come descritto per i motivi seguenti:

    • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app raccolta/catalogo.
    • Quando si configura un'app personalizzata, è possibile testare l'app con Defender for Cloud Apps controlli di accesso e sessione, senza modificare il comportamento configurato esistente dell'organizzazione.

    Copiare le informazioni di configurazione dell'accesso Single Sign-On dell'app per usarle più avanti in questa procedura. Al termine, selezionare Avanti per continuare.

  6. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, caricare un file di metadati dal provider di identità o immettere manualmente i dati dell'app.

    Assicurarsi di fornire le informazioni seguenti:

    • URL del servizio Single Sign-On. Questo è l'URL usato dall'IdP per ricevere richieste Di Accesso Single Sign-On.
    • Certificato SAML, se il provider di identità ne fornisce uno. In questi casi selezionare l'opzione Usa certificato SAML del provider di identità e quindi caricare il file del certificato.

  7. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, copiare sia l'URL di Single Sign-On che tutti gli attributi e i valori da usare più avanti in questa procedura.

    Al termine, selezionare Avanti per continuare.

  8. Passare al portale di IdP e immettere i valori copiati nella configurazione IdP. In genere, queste impostazioni si trovano nell'area delle impostazioni dell'app personalizzata del provider di identità.

    1. Immettere l'URL di accesso Single Sign-On dell'app copiato dal passaggio precedente. Alcuni provider possono fare riferimento all'URL di accesso Single Sign-On come URL di risposta.

    2. Aggiungere gli attributi e i valori copiati dal passaggio precedente alle proprietà dell'app. Alcuni provider possono farvi riferimento come attributi utente o attestazioni.

      Se gli attributi sono limitati a 1024 caratteri per le nuove app, creare prima l'app senza gli attributi pertinenti e aggiungerli successivamente modificando l'app.

    3. Verificare che l'identificatore del nome sia nel formato di un indirizzo di posta elettronica.

    4. Assicurarsi di salvare le impostazioni al termine.

  9. Di nuovo in Defender for Cloud Apps, nella pagina MODIFICHE APP della procedura guidata copiare l'URL di accesso Single Sign-On SAML e scaricare il certificato SAML Microsoft Defender for Cloud Apps. L'URL di accesso Single Sign-On SAML è un URL personalizzato per l'app se usato con Defender for Cloud Apps controllo dell'app di accesso condizionale.

  10. Passare al portale dell'app e configurare le impostazioni di Single Sign-On come indicato di seguito:

    1. (Scelta consigliata) Creare un backup delle impostazioni correnti.
    2. Sostituire il valore del campo URL di accesso del provider di identità con l'URL di accesso Single Sign-On saml Defender for Cloud Apps copiato dal passaggio precedente. Il nome specifico per questo campo può variare a seconda dell'app.
    3. Caricare il Defender for Cloud Apps certificato SAML scaricato nel passaggio precedente.
    4. Assicurarsi di salvare le modifiche.

  11. Nella procedura guidata selezionare Fine per completare la configurazione.

Dopo aver salvato le impostazioni di accesso Single Sign-On dell'app con i valori personalizzati da Defender for Cloud Apps, tutte le richieste di accesso associate all'app vengono instradate tramite Defender for Cloud Apps e il controllo dell'app di accesso condizionale.

Nota

Il certificato SAML Defender for Cloud Apps è valido per 1 anno. Dopo la scadenza, sarà necessario generarne una nuova e caricarne una nuova.

Accedere all'app usando un utente con ambito per i criteri

Dopo aver creato i criteri di accesso o sessione, accedere a ogni app configurata nel criterio. Assicurarsi di aver eseguito la disconnessione da tutte le sessioni esistenti e di aver eseguito l'accesso con un utente configurato nei criteri.

Defender for Cloud Apps sincronizza i dettagli dei criteri con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere fino a un minuto.

Per altre informazioni, vedere:

Verificare che le app siano configurate per l'uso dei controlli di accesso e sessione

Questa procedura descrive come verificare che le app siano configurate per usare i controlli di accesso e sessione in Defender for Cloud Apps e configurare tali impostazioni, se necessario.

Nota

Anche se non è possibile rimuovere le impostazioni di controllo sessione per un'app, non viene modificato alcun comportamento fino a quando non si dispone di un criterio di sessione o di accesso configurato per l'app.

  1. In Microsoft Defender XDR selezionare Impostazioni > App cloud App > connesse App > connesse App con accesso condizionale App di controllo app.

  2. Nella tabella delle app cercare l'app e controllare il valore della colonna tipo IDP . Assicurarsi che l'app di autenticazione non MS e il controllo sessione siano visualizzati per l'app.

Contenuto correlato

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.