Distribuera appkontroll för villkorsstyrd åtkomst för alla webbappar med PingOne som identitetsprovider (IdP)

Du kan konfigurera sessionskontroller i Microsoft Defender for Cloud Apps så att de fungerar med alla webbappar och andra IdP:er som inte kommer från Microsoft. Den här artikeln beskriver hur du dirigerar appsessioner från PingOne till Defender for Cloud Apps för sessionskontroller i realtid.

I den här artikeln använder vi Salesforce-appen som ett exempel på en webbapp som konfigureras för att använda Defender for Cloud Apps sessionskontroller. Utför samma steg enligt deras krav för att konfigurera andra appar.

Förhandskrav

• Din organisation måste ha följande licenser för att använda appkontrollen för villkorsstyrd åtkomst:

  • En relevant PingOne-licens (krävs för enkel inloggning)
  • Microsoft Defender for Cloud Apps

• En befintlig PingOne-konfiguration för enkel inloggning för appen med hjälp av SAML 2.0-autentiseringsprotokollet

Så här konfigurerar du sessionskontroller för din app med PingOne som IdP

Använd följande steg för att dirigera dina webbappsessioner från PingOne till Defender for Cloud Apps.

Obs!

Du kan konfigurera appens SAML-information om enkel inloggning som tillhandahålls av PingOne med någon av följande metoder:

• Alternativ 1: Ladda upp appens SAML-metadatafil.
• Alternativ 2: Tillhandahålla appens SAML-data manuellt.

I följande steg använder vi alternativ 2.

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

Steg 2: Konfigurera Defender for Cloud Apps med din apps SAML-information

Steg 3: Skapa en anpassad app i PingOne

Steg 4: Konfigurera Defender for Cloud Apps med PingOne-appens information

Steg 5: Slutför den anpassade appen i PingOne

Steg 6: Hämta appändringarna i Defender for Cloud Apps

Steg 7: Slutför appändringarna

Steg 8: Slutför konfigurationen i Defender for Cloud Apps

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

1. I Salesforce bläddrar du till Konfigurationsinställningar>>Identitet>– enskild Sign-On Inställningar.

2. Under Single Sign-On Settings (Inställningar för enstaka Sign-On) väljer du namnet på din befintliga SAML 2.0-konfiguration.

   

3. På sidan SAML Single Sign-On Setting (SAML Single Sign-On Setting) antecknar du Salesforce-inloggnings-URL:en. Du behöver det senare.

   Obs!

   Om din app tillhandahåller ett SAML-certifikat laddar du ned certifikatfilen.

   

Steg 2: Konfigurera Defender for Cloud Apps med din apps SAML-information

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

3. Välj +Lägg till. I popup-fönstret väljer du den app som du vill distribuera och väljer sedan Starta guiden.

4. På sidan APPINFORMATION väljer du Fyll i data manuellt. I URL:en för konsumenttjänsten för försäkran anger du den Salesforce-inloggnings-URL som du antecknade tidigare och väljer sedan Nästa.

   Obs!

   Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

   

Steg 3: Skapa en anpassad app i PingOne

Innan du fortsätter använder du följande steg för att hämta information från din befintliga Salesforce-app.

1. I PingOne redigerar du din befintliga Salesforce-app.

2. På sidan Mappning av SSO-attribut antecknar du SAML_SUBJECT attribut och värde och laddar sedan ned filerna Signeringscertifikat och SAML-metadata .

   

3. Öppna SAML-metadatafilen och anteckna platsen PingOne SingleSignOnService. Du behöver det senare.

   

4. På sidan Gruppåtkomst antecknar du de tilldelade grupperna.

   

Använd sedan anvisningarna från sidan Lägg till ett SAML-program med din identitetsprovider för att konfigurera en anpassad app i IdP-portalen.

Obs!

Genom att konfigurera en anpassad app kan du testa den befintliga appen med åtkomst- och sessionskontroller utan att ändra organisationens aktuella beteende.

1. Skapa ett nytt SAML-program.

   

2. På sidan Programinformation fyller du i formuläret och väljer sedan Fortsätt till Nästa steg.

   Tips

   Använd ett appnamn som hjälper dig att skilja mellan den anpassade appen och den befintliga Salesforce-appen.

   

3. På sidan Programkonfiguration gör du följande och väljer sedan Fortsätt till Nästa steg.

   • I fältet Assertion Consumer Service (ACS) anger du den Salesforce-inloggnings-URL som du antecknade tidigare.
   • I fältet Entitets-ID anger du ett unikt ID som börjar med https://. Kontrollera att detta skiljer sig från den avgående Salesforce PingOne-appens konfiguration.
   • Anteckna entitets-ID:t. Du behöver det senare.

   

4. På sidan Mappning av SSO-attribut lägger du till den befintliga Salesforce-appens SAML_SUBJECT attribut och värde som du antecknade tidigare och väljer sedan Fortsätt till Nästa steg.

   

5. På sidan Gruppåtkomst lägger du till de befintliga Salesforce-appgrupperna som du antecknade tidigare och slutför konfigurationen.

   

Steg 4: Konfigurera Defender for Cloud Apps med PingOne-appens information

1. På sidan Defender for Cloud Apps IDENTITETSPROVIDER väljer du Nästa för att fortsätta.

2. På nästa sida väljer du Fyll i data manuellt, gör följande och väljer sedan Nästa.

   • För url:en för konsumenttjänsten för försäkran anger du den Salesforce-inloggnings-URL som du antecknade tidigare.
   • Välj Ladda upp identitetsproviderns SAML-certifikat och ladda upp certifikatfilen som du laddade ned tidigare.

   

3. På nästa sida antecknar du följande information och väljer sedan Nästa. Du behöver informationen senare.

   • Defender for Cloud Apps url för enkel inloggning
   • Defender for Cloud Apps attribut och värden

   

Steg 5: Slutför den anpassade appen i PingOne

1. Leta upp och redigera den anpassade Salesforce-appen i PingOne.

   

2. I fältet Assertion Consumer Service (ACS) ersätter du URL:en med den Defender for Cloud Apps url för enkel inloggning som du antecknade tidigare och väljer sedan Nästa.

   

3. Lägg till de Defender for Cloud Apps attribut och värden som du antecknade tidigare i appens egenskaper.

   

4. Spara dina inställningar.

Steg 6: Hämta appändringarna i Defender for Cloud Apps

Gå tillbaka till sidan Defender for Cloud Apps APPÄNDRINGAR, gör följande, men välj inte Slutför. Du behöver informationen senare.

• Kopiera url:en för enkel inloggning med Defender for Cloud Apps SAML
• Ladda ned saml-certifikatet för Defender for Cloud Apps

Steg 7: Slutför appändringarna

I Salesforce bläddrar du till Konfigurera>inställningar>Identitet>– enskild Sign-On Inställningar och gör följande:

1. Rekommenderas: Skapa en säkerhetskopia av dina aktuella inställningar.

2. Ersätt fältet Inloggnings-URL för identitetsprovider med den Defender for Cloud Apps URL för enkel inloggning med SAML som du antecknade tidigare.

3. Ladda upp det Defender for Cloud Apps SAML-certifikat som du laddade ned tidigare.

4. Ersätt fältet Entity ID (Entitets-ID ) med det anpassade PingOne-app-ID:t för entitets-ID:t som du antecknade tidigare.

5. Välj Spara.

   Obs!

   SAML-certifikatet för Defender for Cloud Apps är giltigt i ett år. När det upphör att gälla måste ett nytt certifikat genereras.

   

Steg 8: Slutför konfigurationen i Defender for Cloud Apps

• Gå tillbaka till sidan Defender for Cloud Apps APPÄNDRINGAR och välj Slutför. När du har slutfört guiden dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

Relaterat innehåll

« FÖREGÅENDE: Distribuera appkontroll för villkorlig åtkomst för alla appar

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.