Поделиться через

Развертывание управления условным доступом для любого веб-приложения с помощью Okta в качестве поставщика удостоверений (IdP)

  • Статья

Вы можете настроить элементы управления сеансами в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт. В этой статье описывается маршрутизация сеансов приложения из Okta в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом.

Предварительные условия

  • Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

    • Предварительно настроенный клиент Okta.
    • Microsoft Defender for Cloud Apps

  • Существующая конфигурация единого входа Okta для приложения с использованием протокола проверки подлинности SAML 2.0

Настройка элементов управления сеансом для приложения с помощью Okta в качестве поставщика удостоверений

Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из Okta в Defender for Cloud Apps.

Примечание.

Вы можете настроить сведения о едином входе SAML приложения, предоставляемые Okta, с помощью одного из следующих методов:

  • Вариант 1. Отправка файла метаданных SAML приложения.
  • Вариант 2. Предоставление данных SAML приложения вручную.

На следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа SAML приложения

Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения

Шаг 3 . Создание конфигурации пользовательского приложения Okta и единого входа приложения

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении Okta

Шаг 5. Завершение настройки пользовательского приложения Okta

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в Defender for Cloud Apps

Шаг 1. Получение параметров единого входа SAML приложения

  1. В Salesforce перейдите к разделу Параметры настройки>Удостоверение>>Одно Sign-On Параметры.

  2. В разделе Параметры одного Sign-On щелкните имя существующей конфигурации Okta.

    Выберите Salesforce SSO settings (Параметры единого входа Salesforce).

  3. На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Это потребуется позже при настройке Defender for Cloud Apps.

    Примечание.

    Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

    Выберите URL-адрес для входа в Salesforce SSO.

Шаг 2. Настройка Defender for Cloud Apps со сведениями SAML приложения

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Подключенные приложения выберите приложения для управления условным доступом.

  3. Выберите +Добавить, а затем во всплывающем окне выберите приложение, которое требуется развернуть, а затем нажмите кнопку Запустить мастер.

  4. На странице СВЕДЕНИЯ О ПРИЛОЖЕНИИ выберите Заполнить данные вручную, в поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее, а затем нажмите кнопку Далее.

    Примечание.

    Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.

    Заполните сведения о Salesforce SAML вручную.

Шаг 3. Создание конфигурации пользовательского приложения Okta и отдельного Sign-On приложения

Примечание.

Чтобы ограничить время простоя конечных пользователей и сохранить существующую известную хорошую конфигурацию, рекомендуется создать новое пользовательское приложение и конфигурацию с одним Sign-On. Если это невозможно, пропустите соответствующие шаги. Например, если настраиваемая приложение не поддерживает создание нескольких конфигураций single Sign-On, пропустите шаг создания единого входа.

  1. В консоли Okta Администратор в разделе Приложения просмотрите свойства существующей конфигурации приложения и запишите параметры.

  2. Нажмите кнопку Добавить приложение, а затем — Создать новое приложение. Помимо значения URI аудитории (sp Entity ID), которое должно быть уникальным именем, настройте новое приложение с помощью параметров, которые вы записали ранее. Это приложение понадобится позже при настройке Defender for Cloud Apps.

  3. Перейдите в раздел Приложения, просмотрите существующую конфигурацию Okta и на вкладке Вход выберите Просмотреть инструкции по настройке.

    Обратите внимание на расположение службы единого входа приложения Salesforce.

  4. Запишите URL-адрес одного Sign-On поставщика удостоверений и скачайте сертификат подписи поставщика удостоверений (X.509). Он потребуется позже.

  5. Вернитесь в Salesforce на существующей странице параметров единого входа Okta, запишите все параметры.

  6. Создайте новую конфигурацию единого входа SAML. Помимо значения Entity ID , которое должно соответствовать URI аудитории пользовательского приложения (SP Entity ID), настройте единый вход с помощью параметров, которые вы записали ранее. Это потребуется позже при настройке Defender for Cloud Apps.

  7. После сохранения нового приложения перейдите на страницу Назначения и назначьте Люди или Группы, которым требуется доступ к приложению.

ׂ

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении Okta

  1. На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.

  2. На следующей странице выберите Заполнить данные вручную, выполните указанные ниже действия и нажмите кнопку Далее.

    • В поле URL-адрес службы единого входа введите URL-адрес входа в Salesforce, который вы записали ранее.
    • Выберите Отправить сертификат SAML поставщика удостоверений и передайте скачанный ранее файл сертификата.

    Добавьте URL-адрес службы единого входа и сертификат SAML.

  3. На следующей странице запишите следующие сведения и нажмите кнопку Далее. Сведения потребуются позже.

    • URL-адрес единого входа в Defender for Cloud Apps
    • Атрибуты и значения Defender for Cloud Apps

    Примечание.

    Если вы видите параметр для отправки Defender for Cloud Apps сертификата SAML для поставщика удостоверений, щелкните значок, чтобы скачать файл сертификата. Он потребуется позже.

    В Defender for Cloud Apps обратите внимание на URL-адрес единого входа и атрибуты.

Шаг 5. Завершение настройки пользовательского приложения Okta

  1. Вернитесь в консоль Okta Администратор в разделе Приложения выберите ранее созданное пользовательское приложение, а затем в разделе Общие>параметры SAML нажмите кнопку Изменить.

    Найдите и измените параметры SAML.

  2. В поле URL-адрес Единый вход замените URL-адрес Defender for Cloud Apps URL-адресом единого входа, который вы записали ранее, а затем сохраните параметры.

  3. В разделе Каталог выберите Профиль Редактор, выберите пользовательское приложение, созданное ранее, а затем щелкните Профиль. Добавьте атрибуты, используя следующие сведения.

    Отображаемое имя Имя переменной Тип данных Тип атрибута
    McasSigningCert McasSigningCert string Пользовательский
    McasAppId McasAppId string Пользовательский

    Добавление атрибутов профиля.

  4. Вернитесь на страницу Профиль Редактор выберите созданное ранее пользовательское приложение, щелкните Сопоставления, а затем выберите Okta User to {custom_app_name}. Сопоставьте атрибуты McasSigningCert и McasAppId со значениями атрибутов Defender for Cloud Apps, которые вы записали ранее.

    Примечание.

    • Убедитесь, что значения заключены в двойные кавычки (")
    • Okta ограничивает атрибуты 1024 символами. Чтобы устранить это ограничение, добавьте атрибуты с помощью Редактор профиля, как описано.

    Атрибуты профиля сопоставления.

  5. Сохраните заданные параметры.

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

На странице Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ сделайте следующее, но не нажимайте кнопку Готово. Сведения потребуются позже.

  • Скопируйте URL-адрес единого входа SAML Defender for Cloud Apps
  • Скачивание сертификата SAML Defender for Cloud Apps

Запишите Defender for Cloud Apps URL-адрес единого входа SAML и скачайте сертификат.

Шаг 7. Завершение изменений приложения

В Salesforce перейдите к разделу Параметры> установки >Удостоверение>одиночного Sign-On Параметры и выполните следующие действия.

  1. [Рекомендуется] Создайте резервную копию текущих параметров.

  2. Замените значение поля Identity Provider Login URL (URL-адрес входа поставщика удостоверений) на Defender for Cloud Apps URL-адрес единого входа SAML, который вы записали ранее.

  3. Отправьте сертификат SAML Defender for Cloud Apps, скачанный ранее.

  4. Нажмите кнопку Сохранить.

    Примечание.

    • После сохранения параметров все связанные запросы на вход в это приложение будут перенаправлены через управление условным доступом к приложению.
    • Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.

    Обновление параметров единого входа.

Шаг 8. Завершение настройки в Defender for Cloud Apps

  • На странице Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ нажмите кнопку Готово. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.

Связанные материалы

Общие сведения об управлении условным доступом к приложениям

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.