Compartilhar via

Implementar o controlo de aplicações de acesso condicional para qualquer aplicação Web com o PingOne como fornecedor de identidade (IdP)

  • Artigo

Pode configurar controlos de sessão no Microsoft Defender para Aplicativos de Nuvem para trabalhar com qualquer aplicação Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como encaminhar sessões de aplicações do PingOne para Defender para Aplicativos de Nuvem para controlos de sessão em tempo real.

Para este artigo, vamos utilizar a aplicação Salesforce como exemplo de uma aplicação Web que está a ser configurada para utilizar Defender para Aplicativos de Nuvem controlos de sessão. Para configurar outras aplicações, execute os mesmos passos de acordo com os respetivos requisitos.

Pré-requisitos

  • A sua organização tem de ter as seguintes licenças para utilizar o controlo de aplicações de acesso condicional:

    • Uma licença PingOne relevante (necessária para o início de sessão único)
    • Microsoft Defender for Cloud Apps

  • Uma configuração de início de sessão único PingOne existente para a aplicação com o protocolo de autenticação SAML 2.0

Para configurar controlos de sessão para a sua aplicação com o PingOne como o IdP

Utilize os seguintes passos para encaminhar as sessões da aplicação Web do PingOne para Defender para Aplicativos de Nuvem.

Observação

Pode configurar as informações de início de sessão único SAML da aplicação fornecidas pelo PingOne através de um dos seguintes métodos:

  • Opção 1: carregar o ficheiro de metadados SAML da aplicação.
  • Opção 2: fornecer manualmente os dados SAML da aplicação.

Nos passos seguintes, vamos utilizar a opção 2.

Passo 1: Obter as definições de início de sessão único SAML da sua aplicação

Passo 2: Configurar Defender para Aplicativos de Nuvem com as informações SAML da sua aplicação

Passo 3: Criar uma aplicação personalizada no PingOne

Passo 4: Configurar Defender para Aplicativos de Nuvem com as informações da aplicação PingOne

Passo 5: Concluir a aplicação personalizada no PingOne

Passo 6: Obter as alterações da aplicação no Defender para Aplicativos de Nuvem

Passo 7: Concluir as alterações da aplicação

Passo 8: Concluir a configuração no Defender para Aplicativos de Nuvem

Passo 1: Obter as definições de início de sessão único SAML da sua aplicação

  1. No Salesforce, navegue para Definições de Configuração>Definições Definições>de Identidade>Única Sign-On Definições.

  2. Em Definições de Sign-On Único, selecione o nome da configuração do SAML 2.0 existente.

    Selecione Definições de SSO do Salesforce.

  3. Na página Configurações do Logon Único SAML, anote a URL de logon do Salesforce. Você precisará dele mais tarde.

    Observação

    Se a sua aplicação fornecer um certificado SAML, transfira o ficheiro de certificado.

    Selecione URL de início de sessão do SSO do Salesforce.

Passo 2: Configurar Defender para Aplicativos de Nuvem com as informações SAML da sua aplicação

  1. No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud.

  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  3. Selecione +Adicionar e, no pop-up, selecione a aplicação que pretende implementar e, em seguida, selecione Assistente de Início.

  4. Na página INFORMAÇÕES da APLICAÇÃO , selecione Preencher dados manualmente, no URL do serviço de consumidor asserção introduza o URL de Início de Sessão do Salesforce que anotou anteriormente e, em seguida, selecione Seguinte.

    Observação

    Se a sua aplicação fornecer um certificado SAML, selecione Utilizar <app_name> certificado SAML e carregue o ficheiro de certificado.

    Preencha manualmente as informações SAML do Salesforce.

Passo 3: Criar uma aplicação personalizada no PingOne

Antes de continuar, utilize os seguintes passos para obter informações da sua aplicação Salesforce existente.

  1. No PingOne, edite a sua aplicação Salesforce existente.

  2. Na página Mapeamento de Atributo SSO, anote o atributo e o valor do SAML_SUBJECT e, em seguida, baixe os arquivos deCertificado de Assinatura e Metadados de SAML.

    Tenha em atenção os atributos existentes da aplicação Salesforce.

  3. Abra o ficheiro de metadados SAML e anote a Localização PingOne SingleSignOnService. Você precisará dele mais tarde.

    Tenha em atenção a localização do serviço SSO da aplicação Salesforce existente.

  4. Na página Acesso a Grupos , anote os grupos atribuídos.

    Tenha em atenção os grupos atribuídos da aplicação Salesforce existentes.

Em seguida, utilize as instruções da página Adicionar uma aplicação SAML com o seu fornecedor de identidade para configurar uma aplicação personalizada no portal do seu IdP.

Adicione a aplicação SAML ao seu fornecedor de identidade.

Observação

Configurar uma aplicação personalizada permite-lhe testar a aplicação existente com controlos de acesso e sessão sem alterar o comportamento atual da sua organização.

  1. Crie um Novo aplicativo SAML.

    No PingOne, crie uma nova aplicação personalizada do Salesforce.

  2. Na página Detalhes da Aplicação , preencha o formulário e, em seguida, selecione Continuar para Passo Seguinte.

    Dica

    Utilize um nome de aplicação que o ajudará a diferenciar entre a aplicação personalizada e a aplicação Salesforce existente.

    Preencha os detalhes da aplicação personalizada.

  3. Na página Configuração da Aplicação , faça o seguinte e, em seguida, selecione Continuar para Passo Seguinte.

    • No campo Assertion Consumer Service (ACS), introduza o URL de Início de Sessão do Salesforce que anotou anteriormente.
    • No campo ID da Entidade , introduza um ID exclusivo a partir de https://. Certifique-se de que é diferente da configuração da aplicação PingOne do Salesforce que está a sair.
    • Anote o ID da Entidade. Você precisará dele mais tarde.

    Configure a aplicação personalizada com os detalhes SAML do Salesforce.

  4. Na página Mapeamento de Atributos SSO , adicione o atributo SAML_SUBJECT e o valor da aplicação Salesforce existente que anotou anteriormente e, em seguida, selecione Continuar para Passo Seguinte.

    Adicione atributos à aplicação salesforce personalizada.

  5. Na página Acesso a Grupos , adicione os grupos existentes da aplicação Salesforce que anotou anteriormente e conclua a configuração.

    Atribuir grupos a uma aplicação personalizada do Salesforce.

Passo 4: Configurar Defender para Aplicativos de Nuvem com as informações da aplicação PingOne

  1. Novamente na página Defender para Aplicativos de Nuvem FORNECEDOR DE IDENTIDADE, selecione Seguinte para continuar.

  2. Na página seguinte, selecione Preencher dados manualmente, faça o seguinte e, em seguida, selecione Seguinte.

    • Para o URL do serviço de consumidor assertion, introduza o URL de Início de Sessão do Salesforce que anotou anteriormente.
    • Selecione Carregar certificado SAML do fornecedor de identidade e carregue o ficheiro de certificado que transferiu anteriormente.

    Adicione o URL do serviço SSO e o certificado SAML.

  3. Na página seguinte, tome nota das seguintes informações e, em seguida, selecione Seguinte. Irá precisar das informações mais tarde.

    • URL de login único do Defender for Cloud Apps
    • Atributos e valores do Defender for Cloud Apps

    No Defender para Aplicativos de Nuvem, tenha em atenção o URL e os atributos do SSO.

Passo 5: Concluir a aplicação personalizada no PingOne

  1. No PingOne, localize e edite a aplicação salesforce personalizada.

    Localize e edite uma aplicação personalizada do Salesforce.

  2. No campo Serviço de Consumidor de Asserção (ACS), substitua o URL pelo Defender para Aplicativos de Nuvem URL de início de sessão único que anotou anteriormente e, em seguida, selecione Seguinte.

    Substitua ACS na aplicação salesforce personalizada.

  3. Adicione os Defender para Aplicativos de Nuvem atributos e valores que anotou anteriormente às propriedades da aplicação.

    Adicione Defender para Aplicativos de Nuvem atributos à aplicação Salesforce personalizada.

  4. Salvar suas configurações.

Passo 6: Obter as alterações da aplicação no Defender para Aplicativos de Nuvem

Na página Defender para Aplicativos de Nuvem APP CHANGES, faça o seguinte, mas não selecione Concluir. Irá precisar das informações mais tarde.

  • Copiar o URL de início de sessão único saml Defender para Aplicativos de Nuvem
  • Transferir o certificado SAML Defender para Aplicativos de Nuvem

Repare no Defender para Aplicativos de Nuvem URL do SSO SAML e transfira o certificado.

Passo 7: Concluir as alterações da aplicação

No Salesforce, navegue até Definições de Configuração>Definições Definições>de Identidade>Única Sign-On Definições e faça o seguinte:

  1. Recomendado: crie uma cópia de segurança das definições atuais.

  2. Substitua o valor do campo URL de Início de Sessão do Fornecedor de Identidade pelo DEFENDER PARA APLICATIVOS DE NUVEM URL de início de sessão único SAML que anotou anteriormente.

  3. Carregue o Defender para Aplicativos de Nuvem certificado SAML que transferiu anteriormente.

  4. Substitua o valor do campoID da Entidadepelo ID da Entidade do aplicativo personalizado PingOne que anotou anteriormente.

  5. Selecione Salvar.

    Observação

    O Defender para Aplicativos de Nuvem certificado SAML é válido durante um ano. Depois de expirar, terá de ser gerado um novo certificado.

    Atualize a aplicação personalizada do Salesforce com Defender para Aplicativos de Nuvem detalhes SAML.

Passo 8: Concluir a configuração no Defender para Aplicativos de Nuvem

  • Novamente na página alterações da aplicação Defender para Aplicativos de Nuvem, selecione Concluir. Depois de concluir o assistente, todos os pedidos de início de sessão associados a esta aplicação serão encaminhados através do controlo de aplicações de acesso condicional.

Conteúdo relacionado

« ANTERIOR: Implementar o controlo de aplicações de acesso condicional para quaisquer aplicações

Introdução ao controlo de aplicações de acesso condicional

Resolução de problemas de acesso e controlos de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.