载入用于条件访问应用控制的非Microsoft IdP 目录应用

Microsoft Defender for Cloud 应用中的访问和会话控制同时适用于目录应用和自定义应用。 虽然自动载入Microsoft Entra ID应用以使用条件访问应用控制，但如果使用的是非Microsoft IdP，则需要手动载入应用。

本文介绍如何将 IdP 配置为使用 Defender for Cloud Apps。 将 IdP 与 Defender for Cloud Apps 集成会自动载入 IdP 中用于条件访问应用控制的所有目录应用。

先决条件

• 组织必须具有以下许可证才能使用条件访问应用控制：

  • 标识提供者 (IdP) 解决方案所需的许可证
  • Microsoft Defender for Cloud Apps

• 应用必须配置单一登录

• 必须使用 SAML 2.0 身份验证协议配置应用。

若要完全执行和测试本文中的过程，需要配置会话或访问策略。 有关更多信息，请参阅：

• 创建Microsoft Defender for Cloud Apps访问策略
• 创建Microsoft Defender for Cloud Apps会话策略

将 IdP 配置为使用 Defender for Cloud Apps

此过程介绍如何将应用会话从其他 IdP 解决方案路由到Defender for Cloud Apps。

提示

以下文章提供了此过程的详细示例：

• 配置 PingOne IdP
• 配置 AD FS IdP
• 配置 Okta IdP

若要将 IdP 配置为使用 Defender for Cloud Apps：

1. 在“Microsoft Defender XDR”中，选择“设置>云应用>连接应用>条件访问应用控制应用”。

2. 在 “条件访问应用控制应用 ”页中，选择“ + 添加”。

3. 在 “使用标识提供者添加 SAML 应用程序 ”对话框中，选择“ 搜索应用 ”下拉列表，然后选择要部署的应用。 选择应用后，选择 “开始向导”。

4. 在向导的“ 应用信息 ”页上，从应用上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 断言使用者服务 URL。 这是应用用于从 IdP 接收 SAML 断言的 URL。
   • 如果应用提供 SAML 证书，则为 。 在这种情况下，请选择“ 使用...”SAML 证书 选项，然后上传证书文件。

   完成后，选择“ 下一步 ”以继续。

5. 在向导的 “标识提供者 ”页上，按照说明在 IdP 的门户中设置新的自定义应用。

   注意

   所需步骤可能会有所不同，具体取决于 IdP。 出于以下原因，建议按说明执行外部配置：

   • 某些标识提供者不允许更改库/目录应用的 SAML 属性或 URL 属性。
   • 配置自定义应用时，可以使用Defender for Cloud Apps访问和会话控件测试应用，而无需更改组织的现有配置行为。

   复制应用的单一登录配置信息，以便在此过程的后面部分使用。 完成后，选择“ 下一步 ”以继续。

6. 继续在向导的 “标识提供者 ”页上，从 IdP 上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 单一登录服务 URL。 这是 IdP 用于接收单一登录请求的 URL。
   • 如果 IdP 提供 SAML 证书，则为 。 在这种情况下，请选择“ 使用标识提供者的 SAML 证书 ”选项，然后上传证书文件。

7. 继续在向导的 “标识提供程序 ”页上复制单一登录 URL 以及所有属性和值，供稍后在此过程中使用。

   完成后，选择“ 下一步 ”以继续。

8. 浏览到 IdP 的门户，并输入已复制到 IdP 配置的值。 通常，这些设置位于 IdP 的自定义应用设置区域中。

   1. 输入从上一步复制的应用单一登录 URL。 某些提供程序可能会将单一登录 URL 称为 “回复 URL”。

   2. 将上一步中复制的属性和值添加到应用的属性。 某些提供程序可能会将它们称为 用户属性 或 声明。

      如果新应用的属性限制为 1024 个字符，请先创建没有相关属性的应用，然后通过编辑应用将其添加到中。

   3. 验证名称标识符的格式是否为电子邮件地址。

   4. 完成后，请务必保存设置。

9. 返回到 Defender for Cloud Apps，在向导的“应用更改”页上，复制 SAML 单一登录 URL 并下载Microsoft Defender for Cloud Apps SAML 证书。 与 Defender for Cloud Apps 条件访问应用控件一起使用时，SAML 单一登录 URL 是应用的自定义 URL。

10. 浏览到应用的门户并配置单一登录设置，如下所示：

    1. (建议) 创建当前设置的备份。
    2. 将标识提供者登录 URL 字段值替换为从上一步复制的 Defender for Cloud Apps SAML 单一登录 URL。 此字段的特定名称可能会有所不同，具体取决于你的应用。
    3. 上传在上一步中下载的Defender for Cloud Apps SAML 证书。
    4. 请确保保存更改。

11. 在向导中，选择“ 完成 ”以完成配置。

使用Defender for Cloud Apps自定义的值保存应用的单一登录设置后，将通过Defender for Cloud Apps和条件访问应用控制路由到应用的所有关联的登录请求。

注意

Defender for Cloud Apps SAML 证书的有效期为 1 年。 过期后，需要生成并上传一个新文件。

使用范围限定为策略的用户登录到应用

创建访问或会话策略后，登录到策略中配置的每个应用。 请确保首先注销所有现有会话，并使用策略中配置的用户登录。

Defender for Cloud Apps会将策略详细信息同步到你登录的每个新应用的服务器。 这可能需要长达一分钟的时间。

有关更多信息，请参阅：

• 创建Microsoft Defender for Cloud Apps访问策略
• 创建Microsoft Defender for Cloud Apps会话策略

验证应用是否已配置为使用访问和会话控制

此过程介绍如何验证应用是否已配置为使用Defender for Cloud Apps中的访问和会话控件，并根据需要配置这些设置。

注意

虽然无法删除应用的会话控制设置，但为应用配置会话或访问策略之前，不会更改任何行为。

1. 在“Microsoft Defender XDR”中，选择“设置>云应用>连接应用>条件访问应用控制应用”。

2. 在应用表中，搜索应用并检查 IDP 类型列值。 确保为应用显示 非 MS 身份验证应用 和 会话控制 。

相关内容

• 使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用
• 为具有非Microsoft标识提供者的自定义应用部署条件访问应用控件
• 排查访问和会话控制问题

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。