Подключение приложений каталога поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом
Элементы управления доступом и сеансами в Microsoft Defender для облачных приложений работают как с каталогом, так и с пользовательскими приложениями. Хотя Microsoft Entra ID приложения автоматически подключены к управлению условным доступом к приложениям, если вы работаете с поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт, вам потребуется подключить приложение вручную.
В этой статье описывается настройка поставщика удостоверений для работы с Defender for Cloud Apps. Интеграция поставщика удостоверений с Defender for Cloud Apps автоматически встраивает все приложения каталога из вашего поставщика удостоверений для элемента управления условным доступом.
Предварительные условия
Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:
- Лицензия, необходимая для решения поставщика удостоверений (IdP)
- Microsoft Defender for Cloud Apps
Для приложений необходимо настроить единый вход.
Приложения должны быть настроены с использованием протокола проверки подлинности SAML 2.0.
Для полного выполнения и тестирования процедур, описанных в этой статье, необходимо настроить сеанс или политику доступа. Дополнительные сведения см. в разделе:
- Создание политик доступа Microsoft Defender for Cloud Apps
- Создание политик сеанса Microsoft Defender for Cloud Apps
Настройка поставщика удостоверений для работы с Defender for Cloud Apps
В этой процедуре описывается маршрутизация сеансов приложений из других решений поставщика удостоверений на Defender for Cloud Apps.
Совет
В следующих статьях приведены подробные примеры этой процедуры.
Чтобы настроить поставщика удостоверений для работы с Defender for Cloud Apps:
В Microsoft Defender XDR выберите Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям.
На странице Приложений управления условным доступом выберите + Добавить.
В диалоговом окне Добавление приложения SAML с поставщиком удостоверений выберите раскрывающийся список Поиск приложения , а затем выберите приложение, которое требуется развернуть. Выбрав приложение, выберите Запустить мастер.
На странице сведения о приложении мастера отправьте файл метаданных из приложения или введите данные приложения вручную.
Обязательно укажите следующие сведения:
- URL-адрес службы потребителя утверждений. Это URL-адрес, который приложение использует для получения утверждений SAML от поставщика удостоверений.
- Сертификат SAML, если приложение предоставляет его. В таких случаях выберите Использовать ... Параметр сертификата SAML , а затем отправьте файл сертификата.
По завершении нажмите кнопку Далее , чтобы продолжить.
На странице IDENTITY PROVIDER мастера следуйте инструкциям, чтобы настроить новое пользовательское приложение на портале поставщика удостоверений.
Примечание.
Требуемые действия могут отличаться в зависимости от поставщика удостоверений. Мы рекомендуем выполнить внешнюю настройку, как описано, по следующим причинам:
- Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции или каталога.
- При настройке пользовательского приложения можно протестировать приложение с помощью Defender for Cloud Apps управления доступом и сеансом, не изменяя существующее настроенное поведение организации.
Скопируйте сведения о конфигурации единого входа приложения, чтобы использовать их позже в этой процедуре. По завершении нажмите кнопку Далее , чтобы продолжить.
Продолжая работу на странице IDENTITY PROVIDER мастера, отправьте файл метаданных из поставщика удостоверений или введите данные приложения вручную.
Обязательно укажите следующие сведения:
- URL-адрес службы единого входа. Это URL-адрес, который поставщик удостоверений использует для получения запросов единого входа.
- Сертификат SAML, если он предоставляется поставщиком удостоверений. В таких случаях выберите параметр Использовать сертификат SAML поставщика удостоверений и отправьте файл сертификата.
На странице IDENTITY PROVIDER мастера скопируйте URL-адрес единого входа, а также все атрибуты и значения для последующего использования в этой процедуре.
По завершении нажмите кнопку Далее , чтобы продолжить.
Перейдите на портал поставщика удостоверений и введите значения, скопированные в конфигурацию поставщика удостоверений. Как правило, эти параметры находятся в области настраиваемых параметров приложения поставщика удостоверений.
Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.
Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут называть их атрибутами пользователя или утверждениями.
Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов, а затем добавьте их, изменив приложение.
Убедитесь, что идентификатор вашего имени имеет формат адреса электронной почты.
По завершении обязательно сохраните параметры.
В Defender for Cloud Apps на странице ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ мастера скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender for Cloud Apps. URL-адрес единого входа SAML — это настраиваемый URL-адрес приложения при использовании с элементом управления Defender for Cloud Apps условным доступом.
Перейдите на портал приложения и настройте параметры единого входа следующим образом:
- (Рекомендуется) Создайте резервную копию текущих параметров.
- Замените значение поля "URL-адрес входа поставщика удостоверений" Defender for Cloud Apps URL-адресом единого входа SAML, скопированным на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от вашего приложения.
- Отправьте сертификат SAML Defender for Cloud Apps, скачанный на предыдущем шаге.
- Обязательно сохраните изменения.
В мастере нажмите кнопку Готово , чтобы завершить настройку.
После сохранения параметров единого входа приложения со значениями, настроенными Defender for Cloud Apps, все связанные запросы на вход в приложение перенаправляются с помощью Defender for Cloud Apps и элемента управления условным доступом.
Примечание.
Сертификат SAML Defender for Cloud Apps действителен в течение 1 года. По истечении срока действия необходимо создать и отправить новый.
Вход в приложение с помощью пользователя с областью действия политики
После создания политики доступа или сеанса войдите в каждое приложение, настроенного в политике. Убедитесь, что вы вышли из всех существующих сеансов и выполнили вход с пользователем, настроенным в политике.
Defender for Cloud Apps синхронизирует сведения о политике со своими серверами для каждого нового приложения, в которое вы выполняете вход. Это может занять до одной минуты.
Дополнительные сведения см. в разделе:
- Создание политик доступа Microsoft Defender for Cloud Apps
- Создание политик сеанса Microsoft Defender for Cloud Apps
Убедитесь, что приложения настроены для использования элементов управления доступом и сеансами.
В этой процедуре описывается, как убедиться, что приложения настроены для использования элементов управления доступом и сеансами в Defender for Cloud Apps и при необходимости настроить эти параметры.
Примечание.
Хотя вы не можете удалить параметры управления сеансом для приложения, поведение не изменится, пока не будет настроена политика сеанса или доступа для приложения.
В Microsoft Defender XDR выберите Параметры > Облачные приложения > Подключенные приложения > Условный доступ к приложениям управления приложениями.
В таблице приложений найдите свое приложение и проверка значение столбца типа поставщика удостоверений. Убедитесь, что для вашего приложения отображаются приложение проверки подлинности и элемент управления сеансом , отличный от MS.
Связанные материалы
- Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям
- Развертывание элемента управления условным доступом для пользовательских приложений с поставщиками удостоверений сторонних производителей
- Устранение неполадок с элементами управления доступом и сеансами
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.