Distribuera appkontroll för villkorsstyrd åtkomst för alla webbappar med hjälp av Active Directory Federation Services (AD FS) (AD FS) som identitetsprovider (IdP)

Du kan konfigurera sessionskontroller i Microsoft Defender for Cloud Apps så att de fungerar med alla webbappar och andra IdP:er som inte kommer från Microsoft. Den här artikeln beskriver hur du dirigerar appsessioner från AD FS till Defender for Cloud Apps för sessionskontroller i realtid.

I den här artikeln använder vi Salesforce-appen som ett exempel på en webbapp som konfigureras för att använda Defender for Cloud Apps sessionskontroller.

Förhandskrav

• Din organisation måste ha följande licenser för att använda appkontrollen för villkorsstyrd åtkomst:

  • En förkonfigurerad AD FS-miljö
  • Microsoft Defender for Cloud Apps

• En befintlig AD FS-konfiguration för enkel inloggning för appen med hjälp av SAML 2.0-autentiseringsprotokollet

Obs!

Stegen här gäller för alla versioner av AD FS som körs på den version av Windows Server som stöds.

Så här konfigurerar du sessionskontroller för din app med AD FS som IdP

Använd följande steg för att dirigera dina webbappsessioner från AD FS till Defender for Cloud Apps.

Obs!

Du kan konfigurera appens SAML-information om enkel inloggning som tillhandahålls av AD FS med någon av följande metoder:

• Alternativ 1: Ladda upp appens SAML-metadatafil.
• Alternativ 2: Tillhandahålla appens SAML-data manuellt.

I följande steg använder vi alternativ 2.

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

Steg 2: Konfigurera Defender for Cloud Apps med din apps SAML-information

Steg 3: Skapa ett nytt AD FS-förlitande partförtroende och appkonfiguration för enkel inloggning.

Steg 4: Konfigurera Defender for Cloud Apps med AD FS-appens information

Steg 5: Slutför konfigurationen av AD FS-förlitande partförtroende

Steg 6: Hämta appändringarna i Defender for Cloud Apps

Steg 7: Slutför appändringarna

Steg 8: Slutför konfigurationen i Defender for Cloud Apps

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

1. I Salesforce bläddrar du till Konfigurationsinställningar>>Identitet>– enskild Sign-On Inställningar.

2. Under Single Sign-On Settings (Inställningar för enstaka Sign-On) klickar du på namnet på din befintliga AD FS-konfiguration.

   

3. På sidan SAML Single Sign-On Setting (SAML Single Sign-On Setting) antecknar du Salesforce-inloggnings-URL:en. Du behöver detta senare när du konfigurerar Defender for Cloud Apps.

   Obs!

   Om din app tillhandahåller ett SAML-certifikat laddar du ned certifikatfilen.

   

Steg 2: Konfigurera Defender for Cloud Apps med din apps SAML-information

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

3. Välj +Lägg till. I popup-fönstret väljer du den app som du vill distribuera och väljer sedan Starta guiden.

4. På sidan APPINFORMATION väljer du Fyll i data manuellt. I URL:en för konsumenttjänsten för försäkran anger du den Salesforce-inloggnings-URL som du antecknade tidigare och klickar sedan på Nästa.

   Obs!

   Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

   

Steg 3: Skapa ett nytt AD FS-förlitande partförtroende och appkonfiguration med en enda Sign-On

Obs!

För att begränsa slutanvändarnas stilleståndstid och bevara din befintliga fungerande konfiguration rekommenderar vi att du skapar ett nytt förtroende för förlitande part och konfiguration med en enda Sign-On. Om detta inte är möjligt hoppar du över relevanta steg. Om den app som du konfigurerar till exempel inte stöder att skapa flera konfigurationer med en enda Sign-On hoppar du över steget för att skapa ny enkel inloggning.

1. I AD FS-hanteringskonsolen , under Förtroenden för förlitande part, visar du egenskaperna för ditt befintliga förlitande partsförtroende för din app och noterar inställningarna.

2. Under Åtgärder klickar du på Lägg till förlitande partsförtroende. Förutom identifierarvärdet som måste vara ett unikt namn konfigurerar du det nya förtroendet med de inställningar som du antecknade tidigare. Du behöver det här förtroendet senare när du konfigurerar Defender for Cloud Apps.

3. Öppna federationsmetadatafilen och anteckna PLATSEN AD FS SingleSignOnService. Du behöver det senare.

   Obs!

   Du kan använda följande slutpunkt för att komma åt federationsmetadatafilen: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. Ladda ned identitetsproviderns signeringscertifikat. Du behöver det senare.

   1. Under Tjänstecertifikat>högerklickar du på AD FS-signeringscertifikatet och väljer sedan Visa certifikat.

      

   2. På informationsfliken för certifikatet klickar du på Kopiera till fil och följer stegen i guiden Exportera certifikat för att exportera certifikatet som en Base-64-kodad X.509 (. CER-fil .

      

5. När du är tillbaka i Salesforce, på den befintliga sidan med inställningar för enkel inloggning med AD FS, antecknar du alla inställningar.

6. Skapa en ny SAML-konfiguration för enkel inloggning. Förutom värdet för entitets-ID som måste matcha den förlitande partens förtroendeidentifierare konfigurerar du enkel inloggning med de inställningar som du antecknade tidigare. Du behöver detta senare när du konfigurerar Defender for Cloud Apps.

Steg 4: Konfigurera Defender for Cloud Apps med AD FS-appens information

1. Gå tillbaka till sidan Defender for Cloud Apps IDENTITY PROVIDER och klicka på Nästa för att fortsätta.

2. På nästa sida väljer du Fyll i data manuellt, gör följande och klickar sedan på Nästa.

   • För url:en för tjänsten enkel inloggning anger du den Salesforce-inloggnings-URL som du antecknade tidigare.
   • Välj Ladda upp identitetsproviderns SAML-certifikat och ladda upp certifikatfilen som du laddade ned tidigare.

   

3. På nästa sida antecknar du följande information och klickar sedan på Nästa. Du behöver informationen senare.

   • Defender for Cloud Apps url för enkel inloggning
   • Defender for Cloud Apps attribut och värden

   Obs!

   Om du ser ett alternativ för att ladda upp Defender for Cloud Apps SAML-certifikat för identitetsprovidern klickar du på länken för att ladda ned certifikatfilen. Du behöver det senare.

   

Steg 5: Slutför konfigurationen av AD FS-förlitande partförtroende

1. Tillbaka i AD FS-hanteringskonsolen högerklickar du på det förlitande partförtroendet som du skapade tidigare och väljer sedan Redigera anspråksutfärdandeprincip.

   

2. I dialogrutan Redigera princip för utfärdande av anspråk under Utfärdande transformeringsregler använder du den angivna informationen i följande tabell för att slutföra stegen för att skapa anpassade regler.

   Anspråksregelnamn	Anpassad regel
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>");där <value> är McasSigningCert-värdet från Defender for Cloud Apps guiden som du antecknade tidigare
   McasAppId	=> issue(type="McasAppId", value="<value>");är McasAppId-värdet från Defender for Cloud Apps guiden som du antecknade tidigare

   1. Klicka på Lägg till regel. Under Anspråksregelmall väljer du Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
   2. På sidan Konfigurera regel anger du respektive anspråksregelnamn och anpassad regel .

   Obs!

   Dessa regler är utöver eventuella anspråksregler eller attribut som krävs av den app som du konfigurerar.

3. Tillbaka på sidan Förtroende för förlitande part högerklickar du på det förlitande partförtroendet som du skapade tidigare och väljer sedan Egenskaper.

4. På fliken Slutpunkter väljer du SAML-slutpunkt för försäkran, klickar på Redigera och ersätter den betrodda URL:en med den Defender for Cloud Apps url för enkel inloggning som du antecknade tidigare och klickar sedan på OK.

   

5. Om du har laddat ned ett Defender for Cloud Apps SAML-certifikat för identitetsprovidern klickar du på Lägg till och ladda upp certifikatfilen på fliken Signatur och klickar sedan på OK.

   

6. Spara dina inställningar.

Steg 6: Hämta appändringarna i Defender for Cloud Apps

Gå tillbaka till sidan Defender for Cloud Apps APPÄNDRINGAR, gör följande, men klicka inte på Slutför. Du behöver informationen senare.

• Kopiera url:en för enkel inloggning med Defender for Cloud Apps SAML
• Ladda ned saml-certifikatet för Defender for Cloud Apps

Steg 7: Slutför appändringarna

I Salesforce bläddrar du till Konfigurera>inställningar>Identitet>– enskild Sign-On Inställningar och gör följande:

1. Rekommenderas: Skapa en säkerhetskopia av dina aktuella inställningar.

2. Ersätt fältet Inloggnings-URL för identitetsprovider med den Defender for Cloud Apps URL för enkel inloggning med SAML som du antecknade tidigare.

3. Ladda upp det Defender for Cloud Apps SAML-certifikat som du laddade ned tidigare.

4. Klicka på Spara.

   Obs!

   SAML-certifikatet för Defender for Cloud Apps är giltigt i ett år. När det upphör att gälla måste ett nytt certifikat genereras.

Steg 8: Slutför konfigurationen i Defender for Cloud Apps

• Gå tillbaka till sidan Defender for Cloud Apps APPÄNDRINGAR och klicka på Slutför. När du har slutfört guiden dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

Relaterat innehåll

« FÖREGÅENDE: Distribuera appkontroll för villkorsstyrd åtkomst för alla appar

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.