Udostępnij za pośrednictwem

Wdrażanie kontroli dostępu warunkowego dla dowolnej aplikacji internetowej przy użyciu narzędzia Okta jako dostawcy tożsamości

  • Artykuł

Kontrolki sesji w Microsoft Defender for Cloud Apps można skonfigurować tak, aby działały z dowolną aplikacją internetową i dowolnymi adresami tożsamości innych niż Microsoft. W tym artykule opisano sposób kierowania sesji aplikacji z usługi Okta do Defender for Cloud Apps kontrolek sesji w czasie rzeczywistym.

W tym artykule użyjemy aplikacji Salesforce jako przykładu aplikacji internetowej skonfigurowanej do używania kontrolek sesji Defender for Cloud Apps.

Wymagania wstępne

  • Twoja organizacja musi mieć następujące licencje, aby używać kontroli aplikacji dostępu warunkowego:

    • Wstępnie skonfigurowana dzierżawa usługi Okta.
    • Microsoft Defender for Cloud Apps

  • Istniejąca konfiguracja logowania jednokrotnego usługi Okta dla aplikacji przy użyciu protokołu uwierzytelniania SAML 2.0

Aby skonfigurować kontrolki sesji dla aplikacji przy użyciu narzędzia Okta jako dostawcy tożsamości

Poniższe kroki umożliwiają kierowanie sesji aplikacji internetowej z usługi Okta do Defender for Cloud Apps.

Uwaga

Informacje o logowaniu jednokrotnym SAML aplikacji udostępniane przez firmę Okta można skonfigurować przy użyciu jednej z następujących metod:

  • Opcja 1. Przekazywanie pliku metadanych SAML aplikacji.
  • Opcja 2. Ręczne podawanie danych SAML aplikacji.

W poniższych krokach użyjemy opcji 2.

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

Krok 2. Konfigurowanie Defender for Cloud Apps przy użyciu informacji SAML aplikacji

Krok 3. Tworzenie nowej konfiguracji aplikacji niestandardowej okta i logowania jednokrotnego aplikacji

Krok 4. Konfigurowanie Defender for Cloud Apps przy użyciu informacji aplikacji Okta

Krok 5. Ukończenie konfiguracji aplikacji niestandardowej okta

Krok 6. Pobieranie zmian aplikacji w Defender for Cloud Apps

Krok 7. Ukończenie zmian w aplikacji

Krok 8. Ukończenie konfiguracji w Defender for Cloud Apps

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

  1. W usłudze Salesforce przejdź do pozycjiUstawienia ustawień>konfiguracji>— pojedyncze>ustawienia Sign-On.

  2. W obszarze Ustawienia pojedynczego Sign-On kliknij nazwę istniejącej konfiguracji okta.

    Wybierz pozycję Ustawienia logowania jednokrotnego usługi Salesforce.

  3. Na stronie Ustawienie pojedynczego Sign-On SAML zanotuj adres URL logowania usługi Salesforce. Będzie to potrzebne później podczas konfigurowania Defender for Cloud Apps.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, pobierz plik certyfikatu.

    Wybierz pozycję Salesforce SSO login URL (Adres URL logowania jednokrotnego usługi Salesforce).

Krok 2. Konfigurowanie Defender for Cloud Apps przy użyciu informacji SAML aplikacji

  1. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps.

  2. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.

  3. Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Uruchom Kreatora.

  4. Na stronie INFORMACJE O APLIKACJI wybierz pozycję Wypełnij dane ręcznie, w polu Adres URL usługi assertion consumer service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce, a następnie kliknij przycisk Dalej.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.

    Ręcznie wypełnij informacje saml usługi Salesforce.

Krok 3. Tworzenie nowej konfiguracji Sign-On aplikacji niestandardowej i aplikacji okta

Uwaga

Aby ograniczyć przestoje użytkowników końcowych i zachować istniejącą znaną dobrą konfigurację, zalecamy utworzenie nowej konfiguracji aplikacji niestandardowej i pojedynczej Sign-On. Jeśli nie jest to możliwe, pomiń odpowiednie kroki. Jeśli na przykład skonfigurowana aplikacja nie obsługuje tworzenia wielu konfiguracji pojedynczego Sign-On, pomiń krok tworzenia nowego logowania jednokrotnego.

  1. W konsoli Administracja Okta w obszarze Aplikacje wyświetl właściwości istniejącej konfiguracji aplikacji i zanotuj ustawienia.

  2. Kliknij pozycję Dodaj aplikację, a następnie kliknij pozycję Utwórz nową aplikację. Oprócz wartości identyfikatora URI odbiorców (SP Entity ID), która musi być unikatową nazwą, skonfiguruj nową aplikację przy użyciu zanotowanej wcześniej ustawień. Ta aplikacja będzie potrzebna później podczas konfigurowania Defender for Cloud Apps.

  3. Przejdź do obszaru Aplikacje, wyświetl istniejącą konfigurację usługi Okta, a następnie na karcie Logowanie wybierz pozycję Wyświetl instrukcje instalacji.

    Zwróć uwagę na istniejącą lokalizację usługi logowania jednokrotnego aplikacji Salesforce.

  4. Zanotuj adres URL pojedynczego Sign-On dostawcy tożsamości i pobierz certyfikat podpisywania dostawcy tożsamości (X.509). Będzie potrzebna później.

  5. Po powrocie do usługi Salesforce na istniejącej stronie ustawień logowania jednokrotnego platformy Okta zanotuj wszystkie ustawienia.

  6. Utwórz nową konfigurację logowania jednokrotnego SAML. Oprócz wartości identyfikatora jednostki , która musi być zgodna z identyfikatorem URI odbiorców aplikacji niestandardowej (IDENTYFIKATOR jednostki SP), skonfiguruj logowanie jednokrotne przy użyciu zanotowanej wcześniej ustawień. Będzie to potrzebne później podczas konfigurowania Defender for Cloud Apps.

  7. Po zapisaniu nowej aplikacji przejdź do strony Przypisania i przypisz Osoby lub Grupy, które wymagają dostępu do aplikacji.

ׂ

Krok 4. Konfigurowanie Defender for Cloud Apps przy użyciu informacji aplikacji Okta

  1. Po powrocie na stronę Defender for Cloud Apps IDENTITY PROVIDER (DOSTAWCA TOŻSAMOŚCI) kliknij przycisk Dalej, aby kontynuować.

  2. Na następnej stronie wybierz pozycję Wypełnij dane ręcznie, wykonaj następujące czynności, a następnie kliknij przycisk Dalej.

    • W polu Adres URL usługi logowania jednokrotnego wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
    • Wybierz pozycję Przekaż certyfikat SAML dostawcy tożsamości i przekaż pobrany wcześniej plik certyfikatu.

    Dodaj adres URL usługi logowania jednokrotnego i certyfikat SAML.

  3. Na następnej stronie zanotuj następujące informacje, a następnie kliknij przycisk Dalej. Informacje będą potrzebne później.

    • Defender for Cloud Apps adres URL logowania jednokrotnego
    • Defender for Cloud Apps atrybuty i wartości

    Uwaga

    Jeśli widzisz opcję przekazania certyfikatu Defender for Cloud Apps SAML dla dostawcy tożsamości, kliknij przycisk , aby pobrać plik certyfikatu. Będzie potrzebna później.

    W Defender for Cloud Apps zanotuj adres URL logowania jednokrotnego i atrybuty.

Krok 5. Ukończenie konfiguracji aplikacji niestandardowej okta

  1. W konsoli Administracja Okta w obszarze Aplikacje wybierz utworzoną wcześniej aplikację niestandardową, a następnie w obszarze Ogólne>ustawienia PROTOKOŁU SAML kliknij pozycję Edytuj.

    Znajdź i edytuj ustawienia SAML.

  2. W polu adres URL Logowanie jednokrotne zastąp adres URL zanotowanym wcześniej adresem URL Defender for Cloud Apps logowania jednokrotnego, a następnie zapisz ustawienia.

  3. W obszarze Katalog wybierz pozycję Profil Redaktor, wybierz utworzoną wcześniej aplikację niestandardową, a następnie kliknij pozycję Profil. Dodaj atrybuty, korzystając z poniższych informacji.

    Nazwa wyświetlana Nazwa zmiennej Typ danych Typ atrybutu
    McasSigningCert McasSigningCert ciąg Niestandardowe
    McasAppId McasAppId ciąg Niestandardowe

    Dodaj atrybuty profilu.

  4. Po powrocie na stronę Redaktor profilu wybierz utworzoną wcześniej aplikację niestandardową, kliknij pozycję Mapowania, a następnie wybierz pozycję Okta User to {custom_app_name}. Zamapuj atrybuty McasSigningCert i McasAppId na zanotowane wcześniej wartości atrybutów Defender for Cloud Apps.

    Uwaga

    • Upewnij się, że wartości są ujęte w podwójne cudzysłowy (")
    • Okta ogranicza atrybuty do 1024 znaków. Aby wyeliminować to ograniczenie, dodaj atrybuty przy użyciu Redaktor Profilu zgodnie z opisem.

    Mapowanie atrybutów profilu.

  5. Zapisz ustawienia.

Krok 6. Pobieranie zmian aplikacji w Defender for Cloud Apps

Wróć do strony Defender for Cloud Apps ZMIANY APLIKACJI, wykonaj następujące czynności, ale nie klikaj przycisku Zakończ. Informacje będą potrzebne później.

  • Skopiuj adres URL logowania jednokrotnego Defender for Cloud Apps SAML
  • Pobieranie certyfikatu SAML Defender for Cloud Apps

Zanotuj Defender for Cloud Apps adres URL logowania jednokrotnego SAML i pobierz certyfikat.

Krok 7. Ukończenie zmian w aplikacji

W usłudze Salesforce przejdź do pozycjiUstawienia>konfiguracjiIdentity>Single Sign-On Settings (Ustawienia pojedynczego Sign-On ustawień) > i wykonaj następujące czynności:

  1. [Zalecane] Utwórz kopię zapasową bieżących ustawień.

  2. Zastąp wartość pola Adres URL logowania dostawcy tożsamości zanotowanym wcześniej adresem URL logowania jednokrotnego Defender for Cloud Apps SAML.

  3. Przekaż pobrany wcześniej certyfikat DEFENDER FOR CLOUD APPS SAML.

  4. Kliknij Zapisz.

    Uwaga

    • Po zapisaniu ustawień wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane przez kontrolę aplikacji dostępu warunkowego.
    • Certyfikat SAML Defender for Cloud Apps jest ważny przez jeden rok. Po jego wygaśnięciu konieczne będzie wygenerowanie nowego certyfikatu.

    Zaktualizuj ustawienia logowania jednokrotnego.

Krok 8. Ukończenie konfiguracji w Defender for Cloud Apps

  • Wróć do strony Defender for Cloud Apps ZMIANY APLIKACJI, kliknij przycisk Zakończ. Po ukończeniu pracy kreatora wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane przez kontrolę aplikacji dostępu warunkowego.

Zawartość pokrewna

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolkami dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.