次の方法で共有

Id プロバイダーとして PingOne (IdP) を使用して、任意の Web アプリの条件付きアクセス アプリ制御をデプロイする

  • [アーティクル]

Microsoft Defender for Cloud Appsでセッション コントロールを構成して、任意の Web アプリと Microsoft 以外の IdP を操作できます。 この記事では、PingOne からリアルタイム セッション コントロールのDefender for Cloud Appsにアプリ セッションをルーティングする方法について説明します。

この記事では、セッション コントロールを使用するように構成されている Web アプリの例として、Salesforce アプリDefender for Cloud Apps使用します。 他のアプリを構成するには、要件に従って同じ手順を実行します。

前提条件

  • 条件付きアクセス アプリ制御を使用するには、organizationに次のライセンスが必要です。

    • 関連する PingOne ライセンス (シングル サインオンに必要)
    • Microsoft Defender for Cloud Apps

  • SAML 2.0 認証プロトコルを使用したアプリの既存の PingOne シングル サインオン構成

IdP として PingOne を使用してアプリのセッション コントロールを構成するには

次の手順を使用して、Web アプリ セッションを PingOne からDefender for Cloud Appsにルーティングします。

注:

PingOne によって提供されるアプリの SAML シングル サインオン情報は、次のいずれかの方法で構成できます。

  • オプション 1: アプリの SAML メタデータ ファイルをアップロードする。
  • オプション 2: アプリの SAML データを手動で提供する。

次の手順では、オプション 2 を使用します。

手順 1: アプリの SAML シングル サインオン設定を取得する

手順 2: アプリの SAML 情報を使用してDefender for Cloud Appsを構成する

手順 3: PingOne でカスタム アプリを作成する

手順 4: PingOne アプリの情報を使用してDefender for Cloud Appsを構成する

手順 5: PingOne でカスタム アプリを完了する

手順 6: Defender for Cloud Appsでアプリの変更を取得する

手順 7: アプリの変更を完了する

手順 8: Defender for Cloud Appsで構成を完了する

手順 1: アプリの SAML シングル サインオン設定を取得する

  1. Salesforce で、[ Setup>Settings>Identity>Single Sign-On Settings] を参照します。

  2. [ 単一 Sign-On 設定] で、既存の SAML 2.0 構成の名前を選択します。

    [Salesforce SSO 設定] を選択します。

  3. [SAML シングル サインオン設定] ページに表示されている Salesforce の [ログイン URL] をメモしておきます。 後でこの値が必要になります。

    注:

    アプリで SAML 証明書が提供されている場合は、証明書ファイルをダウンロードします。

    [Salesforce SSO ログイン URL] を選択します。

手順 2: アプリの SAML 情報を使用してDefender for Cloud Appsを構成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。

  2. [ 接続済みアプリ] で、[ 条件付きアクセス アプリ制御アプリ] を選択します。

  3. [ + 追加] を選択し、ポップアップで展開するアプリを選択し、[ ウィザードの開始] を選択します。

  4. [APP INFORMATION]\( アプリ情報 \) ページ で、[データを手動で入力する] を選択し、[ アサーション コンシューマー サービス URL] に前にメモした Salesforce ログイン URL を 入力し、[ 次へ] を選択します。

    注:

    アプリで SAML 証明書が提供されている場合は、[SAML 証明書<app_name>使用] を選択し、証明書ファイルをアップロードします。

    Salesforce SAML 情報を手動で入力します。

手順 3: PingOne でカスタム アプリを作成する

続行する前に、次の手順を使用して、既存の Salesforce アプリから情報を取得します。

  1. PingOne で、既存の Salesforce アプリを編集します。

  2. [SSO 属性マッピング] ページで、SAML_SUBJECT 属性と値を書き留めてから、[署名証明書] および [SAML メタデータ] ファイルをダウンロードします。

    既存の Salesforce アプリの属性をメモします。

  3. SAML メタデータ ファイルを開き、PingOne SingleSignOnService の場所を書き留めます。 後でこの値が必要になります。

    既存の Salesforce アプリの SSO サービスの場所に注意してください。

  4. [ グループ アクセス ] ページで、割り当てられたグループをメモします。

    既存の Salesforce アプリの割り当てられたグループに注意してください。

次に、「ID プロバイダーを使用して SAML アプリケーションを追加 する」ページの手順を使用して、IdP のポータルでカスタム アプリを構成します。

ID プロバイダーで SAML アプリを追加します。

注:

カスタム アプリを構成すると、organizationの現在の動作を変更することなく、アクセス制御とセッション制御を使用して既存のアプリをテストできます。

  1. [新しい SAML アプリケーション] を作成します。

    PingOne で、新しいカスタム Salesforce アプリを作成します。

  2. [ アプリケーションの詳細 ] ページでフォームに入力し、[ 次のステップに進む] を選択します。

    ヒント

    カスタム アプリと既存の Salesforce アプリを区別するのに役立つアプリ名を使用します。

    カスタム アプリの詳細を入力します。

  3. [ アプリケーション構成 ] ページで、次の操作を行い、[ 次のステップに進む] を選択します。

    • [ Assertion Consumer Service (ACS)] フィールドに、前にメモした Salesforce ログイン URL を 入力します。
    • [ エンティティ ID ] フィールドに、 https://で始まる一意の ID を入力します。 これは、Salesforce PingOne アプリの構成を終了する場合とは異なっていることを確認してください。
    • エンティティ ID を書き留めます。 後でこの値が必要になります。

    Salesforce SAML の詳細を使用してカスタム アプリを構成します。

  4. [ SSO 属性マッピング ] ページで、前にメモした既存の Salesforce アプリの SAML_SUBJECT 属性と値を追加し、[ 次のステップに進む] を選択します。

    カスタム Salesforce アプリに属性を追加します。

  5. [ グループ アクセス ] ページで、前に説明した既存の Salesforce アプリのグループを追加し、構成を完了します。

    カスタム Salesforce アプリにグループを割り当てます。

手順 4: PingOne アプリの情報を使用してDefender for Cloud Appsを構成する

  1. [ID プロバイダーのDefender for Cloud Apps] ページに戻り、[次へ] を選択して続行します。

  2. 次のページ で、[データを手動で入力する] を選択し、次の操作を行い、[ 次へ] を選択します。

    • [Assertion consumer service URL]\(アサーション コンシューマー サービス URL\) に、前にメモした Salesforce ログイン URL を入力します。
    • [ ID プロバイダーの SAML 証明書のアップロード] を 選択し、先ほどダウンロードした証明書ファイルをアップロードします。

    SSO サービス URL と SAML 証明書を追加します。

  3. 次のページで、次の情報を書き留め、[ 次へ] を選択します。 後で情報が必要になります。

    • Defender for Cloud Apps のシングル サインオン URL
    • Defender for Cloud Apps の属性と値

    Defender for Cloud Appsで、SSO URL と属性をメモします。

手順 5: PingOne でカスタム アプリを完了する

  1. PingOne で、カスタム Salesforce アプリを見つけて編集します。

    カスタム Salesforce アプリを見つけて編集します。

  2. [Assertion Consumer Service (ACS)] フィールドで、URL を前にメモしたDefender for Cloud Appsシングル サインオン URL に置き換え、[次へ] を選択します。

    カスタム Salesforce アプリの ACS を置き換えます。

  3. 前に示したDefender for Cloud Appsの属性と値をアプリのプロパティに追加します。

    カスタム Salesforce アプリにDefender for Cloud Apps属性を追加します。

  4. 設定内容を保存します。

手順 6: Defender for Cloud Appsでアプリの変更を取得する

[アプリの変更のDefender for Cloud Apps] ページに戻り、次の操作を行いますが、[完了] を選択しないでください。 後で情報が必要になります。

  • Defender for Cloud Apps SAML シングル サインオン URL をコピーする
  • Defender for Cloud Apps SAML 証明書をダウンロードする

DEFENDER FOR CLOUD APPS SAML SSO URL をメモし、証明書をダウンロードします。

手順 7: アプリの変更を完了する

Salesforce で、 Setup>Settings>Identity>Single Sign-On Settings に移動し、次の操作を行います。

  1. 推奨: 現在の設定のバックアップを作成します。

  2. [ID プロバイダー ログイン URL] フィールドの値を、前にメモしたDefender for Cloud Apps SAML シングル サインオン URL に置き換えます。

  3. 前にダウンロードしたDefender for Cloud Apps SAML 証明書をアップロードします。

  4. [エンティティ ID] フィールドの値を、先ほどメモしておいた PingOne カスタム アプリ エンティティ ID に置き換えます。

  5. [保存] を選択します。

    注:

    Defender for Cloud Apps SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しい証明書を生成する必要があります。

    Defender for Cloud Apps SAML の詳細を使用してカスタム Salesforce アプリを更新します。

手順 8: Defender for Cloud Appsで構成を完了する

  • [アプリの変更のDefender for Cloud Apps] ページに戻り、[完了] を選択します。 ウィザードが完了すると、このアプリに関連付けられているすべてのログイン要求が条件付きアクセス アプリ制御によってルーティングされます。

関連コンテンツ

« 前へ: 任意のアプリの条件付きアクセス アプリ制御をデプロイする

条件付きアクセス アプリ制御の概要

アクセスとセッション制御のトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。