Distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando Active Directory Federation Services (AD FS) come provider di identità (IdP)
È possibile configurare i controlli sessione in Microsoft Defender for Cloud Apps per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da AD FS a Defender for Cloud Apps per i controlli sessione in tempo reale.
Per questo articolo si userà l'app Salesforce come esempio di app Web configurata per l'uso di Defender for Cloud Apps controlli sessione.
Prerequisiti
L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:
- Un ambiente AD FS pre-configurato
- Microsoft Defender for Cloud Apps
Configurazione dell'accesso Single Sign-On di AD FS esistente per l'app tramite il protocollo di autenticazione SAML 2.0
Nota
La procedura seguente si applica a tutte le versioni di AD FS eseguite nella versione supportata di Windows Server.
Per configurare i controlli sessione per l'app usando AD FS come IdP
Usare la procedura seguente per instradare le sessioni dell'app Web da AD FS a Defender for Cloud Apps.
Nota
È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da AD FS usando uno dei metodi seguenti:
- Opzione 1: caricamento del file di metadati SAML dell'app.
- Opzione 2: fornire manualmente i dati SAML dell'app.
Nei passaggi seguenti verrà usata l'opzione 2.
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
Passaggio 2: Configurare Defender for Cloud Apps con le informazioni SAML dell'app
Passaggio 3: Creare una nuova configurazione dell'attendibilità della relying party di AD FS e dell'accesso Single Sign-On dell'app.
Passaggio 4: Configurare Defender for Cloud Apps con le informazioni dell'app AD FS
Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS
Passaggio 6: Ottenere le modifiche dell'app in Defender for Cloud Apps
Passaggio 7: Completare le modifiche dell'app
Passaggio 8: Completare la configurazione in Defender for Cloud Apps
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
In Salesforce passare a Impostazioni di installazione> IdentitySingle Sign-On Settings (Impostazioni> diSign-On> singole).
In Single Sign-On Settings (Impostazioni Sign-On singole) fare clic sul nome della configurazione di AD FS esistente.
Nella pagina Configurazione Single Sign-On di SAML prendere nota dell'URL di accesso di Salesforce. Questa operazione sarà necessaria in un secondo momento durante la configurazione di Defender for Cloud Apps.
Nota
Se l'app fornisce un certificato SAML, scaricare il file del certificato.
Passaggio 2: Configurare Defender for Cloud Apps con le informazioni SAML dell'app
Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In App connesse selezionare App di controllo app per l'accesso condizionale.
Selezionare +Aggiungi e nella finestra popup selezionare l'app da distribuire e quindi selezionare Avvia guidata.
Nella pagina INFORMAZIONI APP selezionare Compila i dati manualmente, nell'URL del servizio consumer di asserzione immettere l'URL di accesso salesforce annotato in precedenza e quindi fare clic su Avanti.
Nota
Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.
Passaggio 3: Creare una nuova configurazione dell'attendibilità della relying party di AD FS e dell'app singola Sign-On
Nota
Per limitare i tempi di inattività dell'utente finale e mantenere la configurazione valida nota esistente, è consigliabile creare una nuova configurazione relying party trust e single Sign-On. Se ciò non è possibile, ignorare i passaggi pertinenti. Ad esempio, se l'app che si sta configurando non supporta la creazione di più configurazioni single Sign-On, ignorare il passaggio Crea nuovo accesso Single Sign-On.
Nella console di gestione di AD FS , in Attendibilità relying party, visualizzare le proprietà dell'attendibilità della relying party esistente per l'app e prendere nota delle impostazioni.
In Azioni fare clic su Aggiungi attendibilità relying party. Oltre al valore Identificatore che deve essere un nome univoco, configurare il nuovo trust usando le impostazioni annotate in precedenza. Questa relazione di trust sarà necessaria in un secondo momento durante la configurazione di Defender for Cloud Apps.
Aprire il file di metadati della federazione e prendere nota del percorso SingleSignOnService di AD FS. Sarà necessario in un secondo momento.
Nota
È possibile usare l'endpoint seguente per accedere al file di metadati della federazione:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Scaricare il certificato di firma del provider di identità. Sarà necessario in un secondo momento.
In Certificati di servizi> fare clic con il pulsante destro del mouse sul certificato di firma di AD FS e quindi scegliere Visualizza certificato.
Nella scheda dettagli del certificato fare clic su Copia nel file e seguire i passaggi dell'Esportazione guidata certificati per esportare il certificato come X.509 con codifica Base 64 (. CER).
Tornando a Salesforce, nella pagina delle impostazioni di Accesso Single Sign-On di AD FS esistente prendere nota di tutte le impostazioni.
Creare una nuova configurazione Single Sign-On SAML. Oltre al valore dell'ID entità che deve corrispondere all'identificatore di attendibilità della relying party, configurare l'accesso Single Sign-On usando le impostazioni annotate in precedenza. Questa operazione sarà necessaria in un secondo momento durante la configurazione di Defender for Cloud Apps.
Passaggio 4: Configurare Defender for Cloud Apps con le informazioni dell'app AD FS
Nella pagina Defender for Cloud Apps IDENTITY PROVIDER fare clic su Avanti per continuare.
Nella pagina successiva selezionare Compila manualmente i dati, eseguire le operazioni seguenti e quindi fare clic su Avanti.
- Per l'URL del servizio Single Sign-On immettere l'URL di accesso di Salesforce annotato in precedenza.
- Selezionare Carica certificato SAML del provider di identità e caricare il file di certificato scaricato in precedenza.
Nella pagina successiva prendere nota delle informazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie in un secondo momento.
- URL single Sign-On di Defender for Cloud Apps
- Attributi e valori di Defender for Cloud Apps
Nota
Se viene visualizzata un'opzione per caricare il certificato SAML Defender for Cloud Apps per il provider di identità, fare clic sul collegamento per scaricare il file di certificato. Sarà necessario in un secondo momento.
Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS
Tornare alla console di gestione di AD FS , fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi selezionare Modifica criterio di rilascio attestazioni.
Nella finestra di dialogo Modifica criteri di rilascio attestazioni , in Regole di trasformazione rilascio, usare le informazioni fornite nella tabella seguente per completare i passaggi per creare regole personalizzate.
Nome regola attestazione Regola personalizzata McasSigningCert => issue(type="McasSigningCert", value="<value>");dove<value>è il valore McasSigningCert della procedura guidata Defender for Cloud Apps annotata in precedenzaMcasAppId => issue(type="McasAppId", value="<value>");è il valore McasAppId della procedura guidata Defender for Cloud Apps annotata in precedenza- Fare clic su Aggiungi regola, in Modello regola attestazione selezionare Invia attestazioni usando una regola personalizzata e quindi fare clic su Avanti.
- Nella pagina Configura regola immettere il nome della regola attestazione e la regola personalizzata specificati.
Nota
Queste regole si aggiungono a qualsiasi regola o attributo di attestazione richiesto dall'app che si sta configurando.
Tornare alla pagina Attendibilità relying party , fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi scegliere Proprietà.
Nella scheda Endpoint selezionare SAML Assertion Consumer Endpoint, fare clic su Modifica e sostituire l'URL attendibile con l'URL single sign-on Defender for Cloud Apps annotato in precedenza e quindi fare clic su OK.
Se è stato scaricato un Defender for Cloud Apps certificato SAML per il provider di identità, nella scheda Firma fare clic su Aggiungi e caricare il file del certificato e quindi fare clic su OK.
Salvare le impostazioni.
Passaggio 6: Ottenere le modifiche dell'app in Defender for Cloud Apps
Tornare alla pagina Defender for Cloud Apps MODIFICHE APP, eseguire le operazioni seguenti, ma non fare clic su Fine. Le informazioni saranno necessarie in un secondo momento.
- Copiare l'URL di accesso Single Sign-On Defender for Cloud Apps SAML
- Scaricare il certificato SAML Defender for Cloud Apps
Passaggio 7: Completare le modifiche dell'app
In Salesforce passare a Impostazioni di installazione>Identity>>Single Sign-On Settings ed eseguire le operazioni seguenti:
Consigliato: creare un backup delle impostazioni correnti.
Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL di accesso Single Sign-On SAML Defender for Cloud Apps annotato in precedenza.
Caricare il certificato SAML Defender for Cloud Apps scaricato in precedenza.
Fare clic su Salva.
Nota
Il certificato SAML Defender for Cloud Apps è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.
Passaggio 8: Completare la configurazione in Defender for Cloud Apps
- Nella pagina Defender for Cloud Apps MODIFICHE APP fare clic su Fine. Dopo aver completato la procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo dell'app di accesso condizionale.
Contenuto correlato
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.