Развертывание управления условным доступом для любого веб-приложения с помощью службы федерации Active Directory (AD FS) (AD FS) в качестве поставщика удостоверений (IdP)

Вы можете настроить элементы управления сеансами в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт. В этой статье описывается маршрутизация сеансов приложений из AD FS в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом.

Предварительные условия

• Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

  • Предварительно настроенная среда AD FS
  • Microsoft Defender for Cloud Apps

• Существующая конфигурация единого входа AD FS для приложения с использованием протокола проверки подлинности SAML 2.0

Примечание.

Приведенные здесь действия применяются ко всем версиям AD FS, работающим в поддерживаемой версии Windows Server.

Настройка элементов управления сеансом для приложения с использованием AD FS в качестве поставщика удостоверений

Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из AD FS в Defender for Cloud Apps.

Примечание.

Вы можете настроить сведения о едином входе SAML приложения, предоставляемые AD FS, с помощью одного из следующих методов:

• Вариант 1. Отправка файла метаданных SAML приложения.
• Вариант 2. Предоставление данных SAML приложения вручную.

На следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа SAML приложения

Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения

Шаг 3. Создание конфигурации доверия и единого входа в приложение AD FS с проверяющей стороной.

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS

Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в Defender for Cloud Apps

Шаг 1. Получение параметров единого входа SAML приложения

1. В Salesforce перейдите к разделу Параметры настройки>Удостоверение>>Одно Sign-On Параметры.

2. В разделе Параметры одного Sign-On щелкните имя существующей конфигурации AD FS.

   

3. На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Это потребуется позже при настройке Defender for Cloud Apps.

   Примечание.

   Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

   

Шаг 2. Настройка Defender for Cloud Apps со сведениями SAML приложения

1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

2. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

3. Выберите +Добавить, а затем во всплывающем окне выберите приложение, которое требуется развернуть, а затем нажмите кнопку Запустить мастер.

4. На странице СВЕДЕНИЯ О ПРИЛОЖЕНИИ выберите Заполнить данные вручную, в поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее, а затем нажмите кнопку Далее.

   Примечание.

   Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.

   

Шаг 3. Создание конфигурации доверия с проверяющей стороной AD FS и единой Sign-On приложения

Примечание.

Чтобы ограничить время простоя конечных пользователей и сохранить существующую известную хорошую конфигурацию, рекомендуется создать новую конфигурацию доверия проверяющей стороны и одну Sign-On. Если это невозможно, пропустите соответствующие шаги. Например, если настраиваемая приложение не поддерживает создание нескольких конфигураций single Sign-On, пропустите шаг создания единого входа.

1. В консоли управления AD FS в разделе Отношения доверия с проверяющей стороной просмотрите свойства существующего отношения доверия с проверяющей стороной для приложения и запишите параметры.

2. В разделе Действия щелкните Добавить доверие проверяющей стороны. Помимо значения идентификатора , которое должно быть уникальным именем, настройте новое доверие с помощью параметров, которые вы записали ранее. Это доверие потребуется позже при настройке Microsoft Defender for Cloud Apps.

3. Откройте файл метаданных федерации и запишите расположение AD FS SingleSignOnService. Он потребуется позже.

   Примечание.

   Для доступа к файлу метаданных федерации можно использовать следующую конечную точку: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. Скачайте сертификат подписи поставщика удостоверений. Он потребуется позже.

   1. В разделеСертификатыслужб> щелкните правой кнопкой мыши сертификат подписи AD FS и выберите Пункт Просмотреть сертификат.

      

   2. На вкладке сведений о сертификате щелкните Копировать в файл и выполните действия, описанные в мастере экспорта сертификатов , чтобы экспортировать сертификат в формате X.509 в кодировке Base-64 (. CER) файл.

      

5. Вернитесь в Salesforce на существующей странице параметров единого входа AD FS, запишите все параметры.

6. Создайте новую конфигурацию единого входа SAML. Помимо значения Entity ID , которое должно соответствовать идентификатору доверия проверяющей стороны, настройте единый вход с помощью параметров, которые вы записали ранее. Это потребуется позже при настройке Defender for Cloud Apps.

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS

1. На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.

2. На следующей странице выберите Заполнить данные вручную, выполните указанные ниже действия и нажмите кнопку Далее.

   • В поле URL-адрес службы единого входа введите URL-адрес входа в Salesforce, который вы записали ранее.
   • Выберите Отправить сертификат SAML поставщика удостоверений и передайте скачанный ранее файл сертификата.

   

3. На следующей странице запишите следующие сведения и нажмите кнопку Далее. Сведения потребуются позже.

   • URL-адрес единого входа в Defender for Cloud Apps
   • Атрибуты и значения Defender for Cloud Apps

   Примечание.

   Если вы видите параметр для отправки Defender for Cloud Apps сертификата SAML для поставщика удостоверений, щелкните ссылку, чтобы скачать файл сертификата. Он потребуется позже.

   

Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS

1. В консоли управления AD FS щелкните правой кнопкой мыши созданное ранее доверие проверяющей стороны и выберите Изменить политику выдачи утверждений.

   

2. В диалоговом окне Изменение политики выдачи утверждений в разделе Правила преобразования выдачи используйте сведения, указанные в следующей таблице, чтобы выполнить действия по созданию настраиваемых правил.

   Имя правила утверждения	Настраиваемое правило
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>");где <value> — значение McasSigningCert из мастера Defender for Cloud Apps, который вы записали ранее.
   McasAppId	=> issue(type="McasAppId", value="<value>");— это значение McasAppId из мастера Defender for Cloud Apps, который вы записали ранее.

   1. Щелкните Добавить правило, в разделе Шаблон правила утверждений выберите Отправить утверждения с помощью настраиваемого правила, а затем нажмите кнопку Далее.
   2. На странице Настройка правила введите соответствующее имя правила утверждения и предоставленное пользовательское правило .

   Примечание.

   Эти правила являются дополнением к любым правилам утверждений или атрибутам, необходимым для настраиваемого приложения.

3. На странице Доверие проверяющей стороны щелкните правой кнопкой мыши созданное ранее доверие проверяющей стороны и выберите Свойства.

4. На вкладке Конечные точки выберите SAML Assertion Consumer Endpoint (Конечная точка потребителя утверждений SAML), нажмите кнопку Изменить и замените доверенный URL-адрес URL-адресом единого входа Defender for Cloud Apps, который вы записали ранее, а затем нажмите кнопку ОК.

   

5. Если вы скачали сертификат SAML Defender for Cloud Apps для поставщика удостоверений, на вкладке Подпись щелкните Добавить и отправьте файл сертификата, а затем нажмите кнопку ОК.

   

6. Сохраните заданные параметры.

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

На странице Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ сделайте следующее, но не нажимайте кнопку Готово. Сведения потребуются позже.

• Скопируйте URL-адрес единого входа SAML Defender for Cloud Apps
• Скачивание сертификата SAML Defender for Cloud Apps

Шаг 7. Завершение изменений приложения

В Salesforce перейдите к разделу Параметры> установки >Удостоверение>одиночного Sign-On Параметры и выполните следующие действия.

1. Рекомендуется: создайте резервную копию текущих параметров.

2. Замените значение поля Identity Provider Login URL (URL-адрес входа поставщика удостоверений) на Defender for Cloud Apps URL-адрес единого входа SAML, который вы записали ранее.

3. Отправьте сертификат SAML Defender for Cloud Apps, скачанный ранее.

4. Нажмите кнопку Сохранить.

   Примечание.

   Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.

Шаг 8. Завершение настройки в Defender for Cloud Apps

• На странице Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ нажмите кнопку Готово. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.

Связанные материалы

«НАЗАД: развертывание управления условным доступом к приложениям для любых приложений

Общие сведения об управлении условным доступом к приложениям

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.