Поделиться через


Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом

Элементы управления доступом и сеансами в Microsoft Defender для облачных приложений работают как с каталогом, так и с пользовательскими приложениями. Хотя Microsoft Entra ID приложения автоматически подключены к управлению условным доступом к приложениям, если вы работаете с поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт, вам потребуется подключить приложение вручную.

В этой статье описывается настройка поставщика удостоверений для работы с Defender for Cloud Apps. Интеграция поставщика удостоверений с Defender for Cloud Apps автоматически встраивает все приложения каталога из вашего поставщика удостоверений для элемента управления условным доступом.

Предварительные условия

  • Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

    • Лицензия, необходимая для решения поставщика удостоверений (IdP)
    • Microsoft Defender for Cloud Apps
  • Для приложений необходимо настроить единый вход.

  • Приложения должны быть настроены с использованием протокола проверки подлинности SAML 2.0.

Для полного выполнения и тестирования процедур, описанных в этой статье, необходимо настроить сеанс или политику доступа. Дополнительные сведения см. в разделе:

Настройка поставщика удостоверений для работы с Defender for Cloud Apps

В этой процедуре описывается маршрутизация сеансов приложений из других решений поставщика удостоверений на Defender for Cloud Apps.

Совет

В следующих статьях приведены подробные примеры этой процедуры.

Чтобы настроить поставщика удостоверений для работы с Defender for Cloud Apps:

  1. В Microsoft Defender XDR выберите Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям.

  2. На странице Приложений управления условным доступом выберите + Добавить.

  3. В диалоговом окне Добавление приложения SAML с поставщиком удостоверений выберите раскрывающийся список Поиск приложения , а затем выберите приложение, которое требуется развернуть. Выбрав приложение, выберите Запустить мастер.

  4. На странице сведения о приложении мастера отправьте файл метаданных из приложения или введите данные приложения вручную.

    Обязательно укажите следующие сведения:

    • URL-адрес службы потребителя утверждений. Это URL-адрес, который приложение использует для получения утверждений SAML от поставщика удостоверений.
    • Сертификат SAML, если приложение предоставляет его. В таких случаях выберите Использовать ... Параметр сертификата SAML , а затем отправьте файл сертификата.

    По завершении нажмите кнопку Далее , чтобы продолжить.

  5. На странице IDENTITY PROVIDER мастера следуйте инструкциям, чтобы настроить новое пользовательское приложение на портале поставщика удостоверений.

    Примечание.

    Требуемые действия могут отличаться в зависимости от поставщика удостоверений. Мы рекомендуем выполнить внешнюю настройку, как описано, по следующим причинам:

    • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции или каталога.
    • При настройке пользовательского приложения можно протестировать приложение с помощью Defender for Cloud Apps управления доступом и сеансом, не изменяя существующее настроенное поведение организации.

    Скопируйте сведения о конфигурации единого входа приложения, чтобы использовать их позже в этой процедуре. По завершении нажмите кнопку Далее , чтобы продолжить.

  6. Продолжая работу на странице IDENTITY PROVIDER мастера, отправьте файл метаданных из поставщика удостоверений или введите данные приложения вручную.

    Обязательно укажите следующие сведения:

    • URL-адрес службы единого входа. Это URL-адрес, который поставщик удостоверений использует для получения запросов единого входа.
    • Сертификат SAML, если он предоставляется поставщиком удостоверений. В таких случаях выберите параметр Использовать сертификат SAML поставщика удостоверений и отправьте файл сертификата.
  7. На странице IDENTITY PROVIDER мастера скопируйте URL-адрес единого входа, а также все атрибуты и значения для последующего использования в этой процедуре.

    По завершении нажмите кнопку Далее , чтобы продолжить.

  8. Перейдите на портал поставщика удостоверений и введите значения, скопированные в конфигурацию поставщика удостоверений. Как правило, эти параметры находятся в области настраиваемых параметров приложения поставщика удостоверений.

    1. Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.

    2. Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут называть их атрибутами пользователя или утверждениями.

      Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов, а затем добавьте их, изменив приложение.

    3. Убедитесь, что идентификатор вашего имени имеет формат адреса электронной почты.

    4. По завершении обязательно сохраните параметры.

  9. В Defender for Cloud Apps на странице ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ мастера скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender for Cloud Apps. URL-адрес единого входа SAML — это настраиваемый URL-адрес приложения при использовании с элементом управления Defender for Cloud Apps условным доступом.

  10. Перейдите на портал приложения и настройте параметры единого входа следующим образом:

    1. (Рекомендуется) Создайте резервную копию текущих параметров.
    2. Замените значение поля "URL-адрес входа поставщика удостоверений" Defender for Cloud Apps URL-адресом единого входа SAML, скопированным на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от вашего приложения.
    3. Отправьте сертификат SAML Defender for Cloud Apps, скачанный на предыдущем шаге.
    4. Обязательно сохраните изменения.
  11. В мастере нажмите кнопку Готово , чтобы завершить настройку.

После сохранения параметров единого входа приложения со значениями, настроенными Defender for Cloud Apps, все связанные запросы на вход в приложение перенаправляются с помощью Defender for Cloud Apps и элемента управления условным доступом.

Примечание.

Сертификат SAML Defender for Cloud Apps действителен в течение 1 года. По истечении срока действия необходимо создать и отправить новый.

Вход в приложение с помощью пользователя с областью действия политики

После создания политики доступа или сеанса войдите в каждое приложение, настроенного в политике. Убедитесь, что вы вышли из всех существующих сеансов и выполнили вход с пользователем, настроенным в политике.

Defender for Cloud Apps синхронизирует сведения о политике со своими серверами для каждого нового приложения, в которое вы выполняете вход. Это может занять до одной минуты.

Дополнительные сведения см. в разделе:

Убедитесь, что приложения настроены для использования элементов управления доступом и сеансами.

В этой процедуре описывается, как убедиться, что приложения настроены для использования элементов управления доступом и сеансами в Defender for Cloud Apps и при необходимости настроить эти параметры.

Примечание.

Хотя вы не можете удалить параметры управления сеансом для приложения, поведение не изменится, пока не будет настроена политика сеанса или доступа для приложения.

  1. В Microsoft Defender XDR выберите Параметры > Облачные приложения > Подключенные приложения > Условный доступ к приложениям управления приложениями.

  2. В таблице приложений найдите свое приложение и проверка значение столбца типа поставщика удостоверений. Убедитесь, что для вашего приложения отображаются приложение проверки подлинности и элемент управления сеансом , отличный от MS.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.