ID プロバイダー (IdP) として Active Directory フェデレーション サービス (AD FS) を使用して、任意の Web アプリに対してアプリの条件付きアクセス制御をデプロイする

Microsoft Defender for Cloud Apps のセッション制御は、任意の Web アプリおよび Microsoft 以外の IdP と連動するように構成できます。 この記事では、アプリのセッションを AD FS から Defender for Cloud Apps にルーティングして、セッションをリアルタイムで制御する方法について説明します。

この記事では、Defender for Cloud Apps セッション制御を使用するように構成されている Web アプリの例として、Salesforce アプリを使用します。

前提条件

• 条件付きアクセス アプリ制御を使用するには、組織が次のライセンスを持っている必要があります。

  • 事前構成済みの AD FS 環境
  • Microsoft Defender for Cloud Apps

• SAML 2.0 認証プロトコルを使用したアプリの既存の AD FS シングル サインオン構成

Note

ここでの手順は、サポートされているバージョンの Windows Server で実行されるすべてのバージョンの AD FS に適用されます。

AD FS を IdP として使用してアプリのセッション制御を構成する方法

AD FS から Defender for Cloud Apps にお使いの Web アプリのセッションをルーティングするには、次の手順を使用します。

Note

次のいずれかの方法を使用して、AD FS によって提供されるアプリの SAML シングル サインオン情報を構成することができます。

• オプション 1: アプリの SAML メタデータ ファイルをアップロードする。
• オプション 2: アプリの SAML データを手動で指定する。

次の手順では、オプション 2 を使用します。

手順 1: アプリの SAML シングル サインオン設定を取得する

手順 2: アプリの SAML 情報を使用して Defender for Cloud Apps を構成する

ステップ3: 新しいAD FS証明書利用者信頼とアプリのシングルサインオン構成を作成する。

手順 4: AD FS アプリの情報を使用して Defender for Cloud Apps を構成する

手順 5: AD FS 証明書利用者信頼の構成を完了する

手順 6: Defender for Cloud Apps でアプリの変更を取得する

手順 7: アプリの変更を完了する

手順 8: Defender for Cloud Apps で構成を完了する

手順 1: アプリの SAML シングル サインオン設定を取得する

1. Salesforce で、 [セットアップ]>[設定]>[ID]>[シングル サインオン設定]に移動します。

2. [シングル サインオン 設定] で、既存の AD FS 構成の名前をクリックします。

   

3. [SAML シングル サインオン設定] ページで、Salesforce ログイン URLをメモしておきます。 これは、後で Defender for Cloud Apps を構成するときに必要になります。

   Note

   アプリで SAML 証明書が提供されている場合は、証明書ファイルをダウンロードします。

   

手順 2: アプリの SAML 情報を使用して Defender for Cloud Apps を構成する

1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

2. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します。

3. [+ 追加] を選択し、ポップアップでデプロイするアプリを選択してから、[ウィザード起動] を選択します。

4. [アプリ情報] ページで、[データを手動で入力する] を選択し、[Assertion consumer service URL] に前にメモした Salesforce のログイン URL を入力して、[次へ] をクリックします。

   Note

   アプリで SAML 証明書が提供されている場合は、 [<アプリ名> の SAML 証明書を使用する] を選択して、証明書ファイルをアップロードします。

   

ステップ3: 新しい AD FS 証明書利用者信頼とアプリのシングル サインオン構成を作成する

Note

エンドユーザーのダウンタイムを制限し、既存の既知の適切な構成を保持するには、新しい 証明書利用者信頼 と シングル サインオン構成を作成することをお勧めします。 これを実行することができない場合は、関連する手順をスキップしてください。 たとえば、構成しているアプリで複数の シングル サインオン構成の作成がサポートされていない場合は、新しいシングル サインオンの作成手順をスキップします。

1. AD FS 管理 コンソールの [証明書利用者信頼] で、アプリの既存の証明書利用者信頼のプロパティを表示し、設定を書き留めます。

2. [操作] の下の [証明書利用者信頼の追加] をクリックします。 一意の名前である必要がある 識別子 の値とは別に、前にメモした設定を使用して新しい信頼を構成します。 この信頼は、後で Defender for Cloud Apps を構成するときに必要になります。

3. フェデレーション メタデータ ファイルを開き、AD FS SingleSignOnService の場所をメモします。 これは後で必要になります。

   Note

   フェデレーション メタデータ ファイルにアクセスするには、次のエンドポイントを使用することができます。 https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. ID プロバイダーの署名証明書をダウンロードします。 これは後で必要になります。

   1. [サービス>] [証明書] で、AD FS 署名証明書を右クリックし、[証明書の表示] を選択します。

      

   2. 証明書の [詳細] タブで、[ファイルへコピー] をクリックし、[証明書のエクスポート ウィザード] の手順に従って、 Base-64 でエンコードされた X.509 (.CER) ファイルとして証明書をエクスポートします。

      

5. Salesforce に戻り、既存の AD FS のシングル サインオン設定ページで、すべての設定を書き留めます。

6. 新しい SAML シングル サインオン構成を作成します。 証明書利用者信頼 識別子と一致する必要がある エンティティ ID 値とは別に、前にメモした設定を使用してシングル サインオンを構成します。 これは、後で Defender for Cloud Apps を構成するときに必要になります。

手順 4: AD FS アプリの情報を使用して Defender for Cloud Apps を構成する

1. Defender for Cloud Apps の [ID プロバイダー] ページに戻り、 [次へ] をクリックして続行します。

2. 次のページで、[データを手動で入力] を選択し、次の手順を実行して、[次へ] をクリックします。

   • [シングル サインオン サービス URL] に、前にメモした Salesforce の ログイン URL を入力します。
   • [Upload identity provider's SAML certificate] (ID プロバイダーの SAML 証明書をアップロードする) を選択し、前にダウンロードした証明書ファイルをアップロードします。

   

3. 次のページで、以下の情報をメモしてから、 [次へ] をクリックします。 この情報は後で必要になります。

   • Defender for Cloud Apps のシングル サインオン URL
   • Defender for Cloud Apps の属性と値

   Note

   ID プロバイダー用の Defender for Cloud Apps SAML 証明書をアップロードするオプションが表示された場合は、リンクをクリックして証明書ファイルをダウンロードします。 これは後で必要になります。

   

手順 5: AD FS 証明書利用者信頼の構成を完了する

1. AD FS 管理 コンソールに戻り、前に作成した証明書利用者信頼を右クリックして、[要求発行ポリシー の編集] を選択します 。

   

2. [要求発行ポリシーの編集] ダイアログ ボックスの [発行変換規則] で、次のテーブルに示す情報を使用して、カスタム規則を作成する手順を完了します。

   要求規則名	カスタム規則
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>"); の <value> は、前にメモした Defender for Cloud Apps ウィザードの McasSigningCert 値です
   McasAppId	=> issue(type="McasAppId", value="<value>"); は、前にメモした Defender for Cloud Apps ウィザードの McasAppId 値です

   1. [要求規則テンプレート] で [ルールの追加] をクリックし、[カスタム規則を使用して要求を送信] を選択して、[次へ] をクリックします
   2. [ルールの構成] ページで、指定された [要求規則名] と [カスタム規則] をそれぞれ入力します。

   Note

   これらの規則は、構成しているアプリに必要なすべての要求規則または属性に追加されます。

3. [証明書利用者信頼] ページに戻り、先ほど作成した証明書利用者信頼を右クリックして、[プロパティ] を選択します。

4. [エンドポイント] タブで [SAML アサーション コンシューマー エンドポイント] を選択し、 [編集] をクリックし、 [信頼された URL] を先ほどメモした Defender for Cloud Apps シングル サインオン URL に置き換え、 [OK]をクリックします。

   

5. ID プロバイダーの Defender for Cloud Apps SAML 証明書をダウンロードした場合、 [署名] タブで [追加] をクリックして、証明書ファイルをアップロードし、 [OK] をクリックします。

   

6. 設定を保存します。

手順 6: Defender for Cloud Apps でアプリの変更を取得する

Defender for Cloud Apps の [アプリの変更] ページに戻り、次のようにしますが、 [完了] はクリックしないでください。 この情報は後で必要になります。

• Defender for Cloud Apps の SAML シングル サインオン URL をコピーする
• Defender for Cloud Apps の SAML 証明書をダウンロードする

手順 7: アプリの変更を完了する

Salesforce で、 [セットアップ]>[設定]>[ID]>[シングル サインオン設定]を参照し、次を行います。

1. 推奨: 現在の設定のバックアップを作成します。

2. [ID プロバイダーのログイン URL] フィールドの値を、先ほどメモした Defender for Cloud Apps SAML シングル サインオンの URL に置き換えます。

3. 先ほどダウンロードした Defender for Cloud Apps の SAML 証明書をアップロードします。

4. [保存] をクリックします。

   Note

   Defender for Cloud Apps の SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しい証明書を生成する必要があります。

手順 8: Defender for Cloud Apps で構成を完了する

• Defender for Cloud Apps の [アプリの変更] ページに戻り、 [完了]をクリックします。 ウィザードを完了すると、このアプリに関連付けられているすべてのログイン要求が、アプリの条件付きアクセス制御を介してルーティングされます。

関連するコンテンツ

« 前へ: すてのアプリを対象としたアプリの条件付きアクセス制御のデプロイ

アプリの条件付きのアクセス制御の概要

アクセス制御とセッション制御に関するトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。