Развертывание управления условным доступом для любого веб-приложения с помощью PingOne в качестве поставщика удостоверений (IdP)
Вы можете настроить элементы управления сеансами в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений, не являющихся поставщиком удостоверений Майкрософт. В этой статье описывается маршрутизация сеансов приложения из PingOne в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.
В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом. Чтобы настроить другие приложения, выполните те же действия в соответствии с их требованиями.
Предварительные условия
Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:
- Соответствующая лицензия PingOne (требуется для единого входа)
- Microsoft Defender for Cloud Apps
Существующая конфигурация единого входа PingOne для приложения с использованием протокола проверки подлинности SAML 2.0
Настройка элементов управления сеансом для приложения с помощью PingOne в качестве поставщика удостоверений
Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из PingOne в Defender for Cloud Apps.
Примечание.
Вы можете настроить сведения о едином входе SAML приложения, предоставляемые PingOne, с помощью одного из следующих методов:
- Вариант 1. Отправка файла метаданных SAML приложения.
- Вариант 2. Предоставление данных SAML приложения вручную.
На следующих шагах мы будем использовать вариант 2.
Шаг 1. Получение параметров единого входа SAML приложения
Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения
Шаг 3 . Создание пользовательского приложения в PingOne
Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении PingOne
Шаг 5. Завершение работы с пользовательским приложением в PingOne
Шаг 6. Получение изменений приложения в Defender for Cloud Apps
Шаг 7. Завершение изменений приложения
Шаг 8. Завершение настройки в Defender for Cloud Apps
Шаг 1. Получение параметров единого входа SAML приложения
В Salesforce перейдите к разделу Параметры настройки>Удостоверение>>Одно Sign-On Параметры.
В разделе Параметры отдельной Sign-On выберите имя существующей конфигурации SAML 2.0.
На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Он потребуется позже.
Примечание.
Если приложение предоставляет сертификат SAML, скачайте файл сертификата.
Шаг 2. Настройка Defender for Cloud Apps со сведениями SAML приложения
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.
В разделе Подключенные приложения выберите Приложения для управления условным доступом.
Выберите +Добавить, а затем во всплывающем окне выберите приложение, которое требуется развернуть, а затем нажмите кнопку Запустить мастер.
На странице СВЕДЕНИЯ О ПРИЛОЖЕНИИ выберите Заполнить данные вручную, в поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее, а затем нажмите кнопку Далее.
Примечание.
Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.
Шаг 3. Создание пользовательского приложения в PingOne
Прежде чем продолжить, выполните следующие действия, чтобы получить сведения из существующего приложения Salesforce.
В PingOne измените существующее приложение Salesforce.
На странице сопоставления атрибутов единого входа отметьте атрибут и значение SAML_SUBJECT, а затем скачайте файлы сертификата подписи и метаданных SAML.
Откройте файл метаданных SAML и запишите расположение PingOne SingleSignOnService. Он потребуется позже.
На странице Доступ к группе запишите назначенные группы.
Затем используйте инструкции на странице Добавление приложения SAML с помощью поставщика удостоверений , чтобы настроить пользовательское приложение на портале поставщика удостоверений.
Примечание.
Настройка пользовательского приложения позволяет протестировать существующее приложение с помощью элементов управления доступом и сеансами, не изменяя текущее поведение организации.
Создание новое приложение SAML.
На странице Сведения о приложении заполните форму и выберите Перейти к следующему шагу.
Совет
Используйте имя приложения, которое поможет вам различать пользовательское приложение и существующее приложение Salesforce.
На странице Конфигурация приложения выполните указанные ниже действия, а затем выберите Перейти к следующему шагу.
- В поле Служба потребителя утверждений (ACS) введите URL-адрес входа Salesforce, который вы записали ранее.
- В поле Идентификатор сущности введите уникальный идентификатор, начинающийся с
https://. Убедитесь, что это отличается от конфигурации выходного приложения Salesforce PingOne. - Запишите идентификатор сущности. Он потребуется позже.
На странице Сопоставление атрибутов единого входа добавьте атрибут и значение SAML_SUBJECT существующего приложения Salesforce, которые вы записали ранее, а затем выберите Продолжить до следующего шага.
На странице Доступ к группам добавьте существующие группы приложения Salesforce, которые вы записали ранее, и завершите настройку.
Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении PingOne
На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.
На следующей странице выберите Заполнить данные вручную, выполните следующие действия, а затем нажмите кнопку Далее.
- В поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее.
- Выберите Отправить сертификат SAML поставщика удостоверений и передайте скачанный ранее файл сертификата.
На следующей странице запишите следующие сведения и нажмите кнопку Далее. Сведения потребуются позже.
- URL-адрес единого входа в Defender for Cloud Apps
- Атрибуты и значения Defender for Cloud Apps
Шаг 5. Завершение работы с пользовательским приложением в PingOne
В PingOne найдите и измените пользовательское приложение Salesforce.
В поле Служба потребителей утверждений (ACS) замените URL-адрес Defender for Cloud Apps URL-адресом единого входа, который вы записали ранее, а затем нажмите кнопку Далее.
Добавьте атрибуты и значения Defender for Cloud Apps, которые вы записали ранее в свойства приложения.
Сохраните заданные параметры.
Шаг 6. Получение изменений приложения в Defender for Cloud Apps
Вернитесь на страницу Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ, выполните указанные ниже действия, но не нажимайте кнопку Готово. Сведения потребуются позже.
- Скопируйте URL-адрес единого входа SAML Defender for Cloud Apps
- Скачивание сертификата SAML Defender for Cloud Apps
Шаг 7. Завершение изменений приложения
В Salesforce перейдите к разделу Параметры> установки >Удостоверение>одиночного Sign-On Параметры и выполните следующие действия.
Рекомендуется: создайте резервную копию текущих параметров.
Замените значение поля Identity Provider Login URL (URL-адрес входа поставщика удостоверений) на Defender for Cloud Apps URL-адрес единого входа SAML, который вы записали ранее.
Отправьте сертификат SAML Defender for Cloud Apps, скачанный ранее.
Замените значение поля ИД сущности идентификатором сущности настраиваемого приложения PingOne, указанного ранее.
Выберите Сохранить.
Примечание.
Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.
Шаг 8. Завершение настройки в Defender for Cloud Apps
- На странице Defender for Cloud Apps ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ нажмите кнопку Готово. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.
Связанные материалы
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.