Distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando PingOne come provider di identità (IdP)
È possibile configurare i controlli sessione in Microsoft Defender for Cloud Apps per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da PingOne a Defender for Cloud Apps per i controlli sessione in tempo reale.
Per questo articolo si userà l'app Salesforce come esempio di app Web configurata per l'uso di Defender for Cloud Apps controlli sessione. Per configurare altre app, eseguire gli stessi passaggi in base ai requisiti.
Prerequisiti
L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:
- Una licenza PingOne pertinente (necessaria per l'accesso Single Sign-On)
- Microsoft Defender for Cloud Apps
Configurazione dell'accesso Single Sign-On di PingOne esistente per l'app tramite il protocollo di autenticazione SAML 2.0
Per configurare i controlli sessione per l'app usando PingOne come IdP
Usare la procedura seguente per instradare le sessioni dell'app Web da PingOne a Defender for Cloud Apps.
Nota
È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da PingOne usando uno dei metodi seguenti:
- Opzione 1: caricamento del file di metadati SAML dell'app.
- Opzione 2: fornire manualmente i dati SAML dell'app.
Nei passaggi seguenti verrà usata l'opzione 2.
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
Passaggio 2: Configurare Defender for Cloud Apps con le informazioni SAML dell'app
Passaggio 3: Creare un'app personalizzata in PingOne
Passaggio 4: Configurare Defender for Cloud Apps con le informazioni dell'app PingOne
Passaggio 5: Completare l'app personalizzata in PingOne
Passaggio 6: Ottenere le modifiche dell'app in Defender for Cloud Apps
Passaggio 7: Completare le modifiche dell'app
Passaggio 8: Completare la configurazione in Defender for Cloud Apps
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
In Salesforce passare a Impostazioni di installazione> IdentitySingle Sign-On Settings (Impostazioni> diSign-On> singole).
In Impostazioni Sign-On singole selezionare il nome della configurazione SAML 2.0 esistente.
Nella pagina Configurazione Single Sign-On di SAML prendere nota dell'URL di accesso di Salesforce. Sarà necessario in un secondo momento.
Nota
Se l'app fornisce un certificato SAML, scaricare il file del certificato.
Passaggio 2: Configurare Defender for Cloud Apps con le informazioni SAML dell'app
Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In App connesse selezionare App di controllo app per l'accesso condizionale.
Selezionare +Aggiungi e nella finestra popup selezionare l'app da distribuire e quindi selezionare Avvia guidata.
Nella pagina INFORMAZIONI APP selezionare Compila manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso salesforce annotato in precedenza e quindi selezionare Avanti.
Nota
Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.
Passaggio 3: Creare un'app personalizzata in PingOne
Prima di procedere, seguire questa procedura per ottenere informazioni dall'app Salesforce esistente.
In PingOne modificare l'app Salesforce esistente.
Nella pagina Mapping di attributi SSO prendere nota dell'attributo e del valore SAML_SUBJECT, quindi scaricare i file Certificato di firma e Metadati SAML.
Aprire il file di metadati SAML e prendere nota del percorso PingOne SingleSignOnService. Sarà necessario in un secondo momento.
Nella pagina Accesso ai gruppi prendere nota dei gruppi assegnati.
Usare quindi le istruzioni della pagina Aggiungi un'applicazione SAML con il provider di identità per configurare un'app personalizzata nel portale di IdP.
Nota
La configurazione di un'app personalizzata consente di testare l'app esistente con controlli di accesso e sessione senza modificare il comportamento corrente per l'organizzazione.
Creare una Nuova applicazione SAML.
Nella pagina Dettagli applicazione compilare il modulo e quindi selezionare Continua al passaggio successivo.
Consiglio
Usa un nome di app che ti aiuterà a distinguere tra l'app personalizzata e l'app Salesforce esistente.
Nella pagina Configurazione applicazione eseguire le operazioni seguenti e quindi selezionare Continua al passaggio successivo.
- Nel campo Assertion Consumer Service (ACS) immettere l'URL di accesso di Salesforce annotato in precedenza.
- Nel campo ID entità immettere un ID univoco a partire da
https://. Assicurarsi che sia diverso dalla configurazione dell'app Salesforce PingOne in uscita. - Prendere nota dell'ID entità. Sarà necessario in un secondo momento.
Nella pagina Mapping attributi SSO aggiungere l'attributo e il valore SAML_SUBJECT dell'app Salesforce esistente annotati in precedenza e quindi selezionare Continua al passaggio successivo.
Nella pagina Accesso al gruppo aggiungere i gruppi dell'app Salesforce esistenti annotati in precedenza e completare la configurazione.
Passaggio 4: Configurare Defender for Cloud Apps con le informazioni dell'app PingOne
Nella pagina Defender for Cloud Apps IDENTITY PROVIDER selezionare Avanti per continuare.
Nella pagina successiva selezionare Compila manualmente i dati, eseguire le operazioni seguenti e quindi selezionare Avanti.
- Per l'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza.
- Selezionare Carica certificato SAML del provider di identità e caricare il file di certificato scaricato in precedenza.
Nella pagina successiva prendere nota delle informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie in un secondo momento.
- URL single Sign-On di Defender for Cloud Apps
- Attributi e valori di Defender for Cloud Apps
Passaggio 5: Completare l'app personalizzata in PingOne
In PingOne individuare e modificare l'app Salesforce personalizzata.
Nel campo Servizio consumer di asserzione (ACS) sostituire l'URL con l'URL di accesso Single Sign-On Defender for Cloud Apps annotato in precedenza e quindi selezionare Avanti.
Aggiungere gli attributi e i valori Defender for Cloud Apps annotati in precedenza alle proprietà dell'app.
Salvare le impostazioni.
Passaggio 6: Ottenere le modifiche dell'app in Defender for Cloud Apps
Tornare alla pagina Defender for Cloud Apps MODIFICHE APP, eseguire le operazioni seguenti, ma non selezionare Fine. Le informazioni saranno necessarie in un secondo momento.
- Copiare l'URL di accesso Single Sign-On Defender for Cloud Apps SAML
- Scaricare il certificato SAML Defender for Cloud Apps
Passaggio 7: Completare le modifiche dell'app
In Salesforce passare a Impostazioni di installazione>Identity>>Single Sign-On Settings ed eseguire le operazioni seguenti:
Consigliato: creare un backup delle impostazioni correnti.
Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL di accesso Single Sign-On SAML Defender for Cloud Apps annotato in precedenza.
Caricare il certificato SAML Defender for Cloud Apps scaricato in precedenza.
Sostituire il valore del campo ID entità con l'ID entità dell'app personalizzata PingOne registrata in precedenza.
Seleziona Salva.
Nota
Il certificato SAML Defender for Cloud Apps è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.
Passaggio 8: Completare la configurazione in Defender for Cloud Apps
- Nella pagina Defender for Cloud Apps MODIFICHE APP selezionare Fine. Dopo aver completato la procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo dell'app di accesso condizionale.
Contenuto correlato
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.