Integrar aplicações de catálogo IdP não Microsoft para controlo de aplicações de Acesso Condicional

Os controlos de acesso e sessão no Microsoft Defender para aplicações na Cloud funcionam com aplicações personalizadas e de catálogo. Enquanto Microsoft Entra ID aplicações são automaticamente integradas para utilizar o controlo de aplicações de Acesso Condicional, se estiver a trabalhar com um IdP que não seja da Microsoft, terá de integrar a sua aplicação manualmente.

Este artigo descreve como configurar o seu IdP para trabalhar com Defender para Aplicativos de Nuvem. Integrar o seu IdP com Defender para Aplicativos de Nuvem integra automaticamente todas as aplicações de catálogo do seu IdP para controlo de aplicações de Acesso Condicional.

Pré-requisitos

• A sua organização tem de ter as seguintes licenças para utilizar o controlo de aplicações de acesso condicional:

  • A licença exigida pela sua solução de fornecedor de identidade (IdP)
  • Microsoft Defender for Cloud Apps

• As aplicações têm de ser configuradas com o início de sessão único

• As aplicações têm de ser configuradas com o protocolo de autenticação SAML 2.0.

Executar e testar totalmente os procedimentos neste artigo requer que tenha uma política de acesso ou sessão configurada. Para saber mais, confira:

• Criar políticas de acesso Microsoft Defender para Aplicativos de Nuvem
• Criar políticas de sessão Microsoft Defender para Aplicativos de Nuvem

Configurar o IdP para trabalhar com Defender para Aplicativos de Nuvem

Este procedimento descreve como encaminhar sessões de aplicações de outras soluções de IdP para Defender para Aplicativos de Nuvem.

Dica

Os seguintes artigos fornecem exemplos detalhados deste procedimento:

• Configurar o pingOne IdP
• Configurar o IdP do AD FS
• Configurar o IdP do Okta

Para configurar o seu IdP para trabalhar com Defender para Aplicativos de Nuvem:

1. No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > Ligadas > Aplicações Aplicações > De Controlo de Aplicações de Acesso Condicional.

2. Na página Aplicações de Controlo de Aplicações de Acesso Condicional , selecione + Adicionar.

3. Na caixa de diálogo Adicionar uma aplicação SAML com o seu fornecedor de identidade , selecione o menu pendente Procurar uma aplicação e, em seguida, selecione a aplicação que pretende implementar. Com a aplicação selecionada, selecione Assistente de início.

4. Na página INFORMAÇÕES DA APLICAÇÃO do assistente, carregue um ficheiro de metadados a partir da sua aplicação ou introduza os dados da aplicação manualmente.

   Certifique-se de que fornece as seguintes informações:

   • O URL do serviço de consumidor assertion. Este é o URL que a sua aplicação utiliza para receber asserções SAML do seu IdP.
   • Um certificado SAML, se a sua aplicação fornecer um. Nesses casos, selecione Utilizar... Opção de certificado SAML e, em seguida, carregue o ficheiro de certificado.

   Quando terminar, selecione Seguinte para continuar.

5. Na página FORNECEDOR DE IDENTIDADE do assistente, siga as instruções para configurar uma nova aplicação personalizada no portal do seu IdP.

   Observação

   Os passos necessários podem ser diferentes, consoante o seu IdP. Recomendamos que execute a configuração externa, conforme descrito pelos seguintes motivos:

   • Alguns fornecedores de identidade não lhe permitem alterar os atributos SAML ou as propriedades de URL de uma aplicação de galeria/catálogo.
   • Quando configura uma aplicação personalizada, pode testar a aplicação com Defender para Aplicativos de Nuvem controlos de acesso e sessão, sem alterar o comportamento configurado existente da sua organização.

   Copie as informações de configuração do início de sessão único da sua aplicação para utilização posteriormente neste procedimento. Quando terminar, selecione Seguinte para continuar.

6. Continuando na página FORNECEDOR DE IDENTIDADE do assistente, carregue um ficheiro de metadados a partir do seu IdP ou introduza os dados da aplicação manualmente.

   Certifique-se de que fornece as seguintes informações:

   • O URL do serviço de início de sessão único. Este é o URL que o seu IdP utiliza para receber pedidos de início de sessão único.
   • Um certificado SAML, se o seu IdP fornecer um. Nesses casos, selecione a opção Utilizar certificado SAML do fornecedor de identidade e, em seguida, carregue o ficheiro de certificado.

7. Continuando na página FORNECEDOR DE IDENTIDADE do assistente, copie o URL de início de sessão único e todos os atributos e valores para utilização posteriormente neste procedimento.

   Quando terminar, selecione Seguinte para continuar.

8. Navegue para o portal do seu IdP e introduza os valores que copiou para a configuração do IdP. Normalmente, estas definições encontram-se na área de definições personalizadas da aplicação do seu IdP.

   1. Introduza o URL de início de sessão único da sua aplicação que copiou do passo anterior. Alguns fornecedores podem referir-se ao URL de início de sessão único como o URL de Resposta.

   2. Adicione os atributos e valores que copiou do passo anterior às propriedades da aplicação. Alguns fornecedores podem referir-se aos mesmos como Atributos de utilizador ou Afirmações.

      Se os atributos estiverem limitados a 1024 carateres para novas aplicações, primeiro crie a aplicação sem os atributos relevantes e adicione-os posteriormente ao editar a aplicação.

   3. Verifique se o identificador de nome está no formato de um endereço de e-mail.

   4. Certifique-se de que guarda as definições quando terminar.

9. Novamente no Defender para Aplicativos de Nuvem, na página ALTERAÇÕES DA APLICAÇÃO do assistente, copie o URL de início de sessão único SAML e transfira o certificado SAML Microsoft Defender para Aplicativos de Nuvem. O URL de início de sessão único SAML é um URL personalizado para a sua aplicação quando utilizado com Defender para Aplicativos de Nuvem controlo de aplicação de Acesso Condicional.

10. Navegue para o portal da aplicação e configure as definições de início de sessão único da seguinte forma:

    1. (Recomendado) Crie uma cópia de segurança das definições atuais.
    2. Substitua o valor do campo do URL de início de sessão do fornecedor de identidade pelo Defender para Aplicativos de Nuvem URL de início de sessão único SAML que copiou do passo anterior. O nome específico deste campo pode ser diferente, consoante a sua aplicação.
    3. Carregue o Defender para Aplicativos de Nuvem certificado SAML que transferiu no passo anterior.
    4. Certifique-se de que guarda as alterações.

11. No assistente, selecione Concluir para concluir a configuração.

Depois de guardar as definições de início de sessão único da sua aplicação com os valores personalizados pelo Defender para Aplicativos de Nuvem, todos os pedidos de início de sessão associados à aplicação são encaminhados, embora Defender para Aplicativos de Nuvem e controlo de aplicações de Acesso Condicional.

Observação

O Defender para Aplicativos de Nuvem certificado SAML é válido durante 1 ano. Depois de expirar, terá de gerar e carregar um novo.

Inicie sessão na sua aplicação com um utilizador no âmbito da política

Depois de criar a política de acesso ou sessão, inicie sessão em cada aplicação configurada na política. Certifique-se de que iniciou sessão em todas as sessões existentes pela primeira vez e que inicia sessão com um utilizador configurado na política.

Defender para Aplicativos de Nuvem irá sincronizar os detalhes da política com os respetivos servidores para cada nova aplicação em que iniciar sessão. Esta operação pode demorar até um minuto.

Para saber mais, confira:

• Criar políticas de acesso Microsoft Defender para Aplicativos de Nuvem
• Criar políticas de sessão Microsoft Defender para Aplicativos de Nuvem

Verifique se as aplicações estão configuradas para utilizar controlos de acesso e de sessão

Este procedimento descreve como verificar se as suas aplicações estão configuradas para utilizar controlos de acesso e sessão no Defender para Aplicativos de Nuvem e configurar essas definições, se necessário.

Observação

Embora não possa remover as definições de controlo de sessão de uma aplicação, nenhum comportamento é alterado até ter uma política de sessão ou acesso configurada para a aplicação.

1. No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > ligadas > Aplicações > de Controlo de Aplicações de Acesso Condicional.

2. Na tabela de aplicações, procure a sua aplicação e marcar o valor da coluna tipo IDP. Certifique-se de que a aplicação de autenticação Não MS e o Controlo de sessão são apresentados para a sua aplicação.

Conteúdo relacionado

• Proteger aplicações com Microsoft Defender para Aplicativos de Nuvem controlo de aplicações de Acesso Condicional
• Implementar o controlo de aplicações de Acesso Condicional para aplicações personalizadas com fornecedores de identidade não Microsoft
• Resolução de problemas de acesso e controlos de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.