将 Active Directory 联合身份验证服务 (AD FS) 作为标识提供者 (IdP) 为任何 Web 应用部署条件访问应用控制

你可以在 Microsoft Defender for Cloud Apps 中配置会话控制,以使用任何 Web 应用和任何非 Microsoft IdP。 本文介绍如何将应用会话从 AD FS 路由到 Defender for Cloud Apps 以进行实时会话控制。

在本文中,我们将 Salesforce 应用用作配置为使用 Defender for Cloud Apps 会话控制的 Web 应用的示例。

先决条件

  • 组织必须具有以下许可证才能使用条件访问应用控制:

    • 预配置的 AD FS 环境
    • Microsoft Defender for Cloud Apps
  • 使用 SAML 2.0 身份验证协议的应用的现有的 AD FS 单一登录配置

注意

此处的步骤适用于在 Windows Server 的受支持版本上运行的所有 AD FS 版本。

要将 AD FS 用作 IdP 来为应用配置会话控制

使用以下步骤将你的 Web 应用会话从 AD FS 路由到 Defender for Cloud Apps。

注意

你可以使用以下方法之一配置 AD FS 提供的应用的 SAML 单一登录信息:

  • 选项 1:上传应用的 SAML 元数据文件。
  • 选项 2:手动提供应用的 SAML 数据。

在以下步骤中,我们将使用选项 2。

步骤 1:获取应用的 SAML 单一登录设置

步骤 2: 使用应用的 SAML 信息来配置 Defender for Cloud Apps

步骤 3:创建新的 AD FS 信赖方信任和应用单一登录配置

步骤 4: 使用 AD FS 应用的信息配置 Defender for Cloud Apps

步骤 5: 完成 AD FS 信赖方信任的配置

步骤 6: 在 Defender for Cloud Apps 中获取应用更改

步骤 7:完成应用更改

步骤 8:在 Defender for Cloud Apps 中完成配置

步骤 1:获取应用的 SAML 单一登录设置

  1. 在 Salesforce 中,浏览到“设置”>“设置”>“标识”>“单一登录设置”。

  2. 在“单一登录设置”下,单击现有的 AD FS 配置的名称。

    选择 Salesforce SSO 设置。

  3. 在“SAML 单一登录设置”页上,记下 Salesforce 登录 URL。 稍后在配置 Defender for Cloud Apps 时你需要用到此内容。

    注意

    如果应用提供 SAML 证书,请下载证书文件。

    选择 Salesforce SSO 登录 URL。

步骤 2:使用应用的 SAML 信息来配置 Defender for Cloud Apps

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。

  2. 在“连接的应用”下,选择“条件访问应用控制应用”。

  3. 选择“+添加”,然后在弹出窗口中选择要部署的应用,然后选择“启动向导”。

  4. 在“应用信息”页上,选择“手动填写数据”,在“断言使用者服务 URL”中输入前面记录的 Salesforce 登录 URL,然后单击“下一步”。

    注意

    如果应用提供 SAML 证书,请选择“使用 <app_name> SAML 证书”并上传证书文件。

    手动填写 Salesforce SAML 信息。

步骤 3:创建新的 AD FS 信赖方信任和应用单一登录配置

注意

要限制最终用户停机时间并保留现有的已知良好配置,建议创建新的信赖方信任单一登录配置。 如果无法执行此操作,则请跳过相关步骤。 例如,如果要配置的应用不支持创建多个单一登录配置,请跳过创建新的单一登录步骤。

  1. 在“AD FS 管理”控制台的“信赖方信任下”,查看应用现有的信赖方信任的属性,并记下设置。

  2. 在“操作”下,单击“添加信赖方信任”。 除了必须是唯一名称的标识符值外,还请使用前面所述的设置配置新信任。 稍后在配置 Defender for Cloud Apps 时你需要用到此信任。

  3. 打开联合元数据文件并记下 AD FS SingleSignOnService 位置。 稍后会需要它。

    注意

    你可以使用以下终结点访问联合元数据文件:https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    记下现有的 Salesforce 应用的 SSO 服务位置。

  4. 下载标识提供者的签名证书。 稍后会需要它。

    1. 在“服务”>“证书”下,右键单击 AD FS 签名证书,然后选择“查看证书”。

      查看 IdP 签名证书属性。

    2. 在证书的详细信息选项卡上,单击“复制到文件”,然后按照“证书导出向导”中的步骤将证书导出为 Base-64 编码的 X.509 (.CER) 文件。

      保存 IdP 签名证书文件。

  5. 返回 Salesforce 中,在现有的 AD FS 单一登录设置页上,记下所有设置。

  6. 创建新的 SAML 单一登录配置。 除了必须与信赖方信任标识符匹配的实体 ID 值外,还请使用前面记下的设置配置单一登录。 稍后在配置 Defender for Cloud Apps 时你需要用到此内容。

步骤 4:使用 AD FS 应用的信息来配置 Defender for Cloud Apps

  1. 返回到 Defender for Cloud Apps“标识提供者”页,单击“下一步”继续操作。

  2. 在下一页上,选择“手动填写数据”,执行以下操作,然后单击“下一步”。

    • 对于单一登录服务 URL,请输入前面记下的 Salesforce 登录 URL
    • 选择“上传标识提供者的 SAML 证书”,然后上传前面下载的证书文件。

    添加 SSO 服务 URL 和 SAML 证书。

  3. 在下一页上,记下以下信息,然后单击“下一步”。 稍后你将需要该信息。

    • Defender for Cloud Apps 单一登录 URL
    • Defender for Cloud Apps 属性和值

    注意

    如果看到上传标识提供者的 Defender for Cloud Apps SAML 证书的选项,请单击链接以下载证书文件。 稍后会需要它。

    在 Defender for Cloud Apps 中,记下 SSO URL 和属性。

步骤 5:完成 AD FS 信赖方信任的配置

  1. 返回 AD FS 管理控制台中,右键单击之前创建的信赖方信任,然后选择“编辑声明颁发策略”。

    查找并编辑信赖方信任声明颁发。

  2. 在“编辑声明颁发策略”对话框中的“颁发转换规则”下,使用下表中提供的信息来完成创建自定义规则的步骤。

    声明规则名称 自定义规则
    McasSigningCert => issue(type="McasSigningCert", value="<value>");,其中 <value> 是你之前记录的 Defender for Cloud Apps 向导中的 McasSigningCert
    McasAppId => issue(type="McasAppId", value="<value>"); 是你之前记录的 Defender for Cloud Apps 向导中的 McasAppId
    1. 单击“添加规则”,在“声明规则模板”下,选择“使用自定义规则发送声明”,然后单击“下一步”。
    2. 在“配置规则”页上,输入相应的声明规则名称和提供的自定义规则

    注意

    这些规则是对你正在配置的应用所需的任何声明规则或属性的补充。

  3. 返回“信赖方信任”页,右键单击之前创建的信赖方信任,然后选择“属性”。

  4. 在“终结点”选项卡上,选择“SAML 断言使用者终结点”,单击“编辑”并将“受信任的 URL”替换为前面记下的 Defender for Cloud Apps 单一登录 URL,然后单击“确定”。

    更新信赖方信任终结点属性受信任的 URL。

  5. 如果你为标识提供者下载了一个 Defender for Cloud Apps SAML 证书,请在“签名”选项卡上,单击“添加”并上传证书文件,然后单击“确定”。

    更新信赖方信任签名属性 SAML 证书。

  6. 保存设置。

步骤 6:在 Defender for Cloud Apps 中获取应用更改

返回 Defender for Cloud Apps“应用更改”页,执行以下操作,但不要单击“完成”。 稍后你将需要该信息。

  • 请复制 Defender for Cloud Apps SAML 单一登录 URL
  • 下载 Defender for Cloud Apps SAML 证书

记下 Defender for Cloud Apps SAML SSO URL,并下载证书。

步骤 7:完成应用更改

在 Salesforce 中,浏览到“设置”>“设置”>“标识”>“单一登录设置”,然后执行以下操作:

  1. 建议:创建当前设置的备份。

  2. 将“标识提供者登录 URL”字段值替换为前面记下的 Defender for Cloud Apps SAML 单一登录 URL。

  3. 上传前面下载的 Defender for Cloud Apps SAML 证书。

  4. 单击“保存” 。

    注意

    Defender for Cloud Apps SAML 证书的有效期为一年。 证书过期后,需要生成新的证书。

步骤 8:在 Defender for Cloud Apps 中完成配置

  • 返回 Defender for Cloud Apps“应用更改”页,单击“完成”。 完成向导后,将通过条件访问应用控制路由对此应用的所有关联的登录请求。

如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证