使用 Okta 作为标识提供者的任何 Web 应用部署条件访问应用控制 (IdP)

可以在 Microsoft Defender for Cloud Apps 中配置会话控件，以使用任何 Web 应用和任何非Microsoft IdP。 本文介绍如何将应用会话从 Okta 路由到用于实时会话控制的Defender for Cloud Apps。

对于本文，我们将使用 Salesforce 应用作为 Web 应用配置为使用Defender for Cloud Apps会话控件的示例。

先决条件

• 组织必须具有以下许可证才能使用条件访问应用控制：

  • 预配置的 Okta 租户。
  • Microsoft Defender for Cloud Apps

• 使用 SAML 2.0 身份验证协议的应用的现有 Okta 单一登录配置

使用 Okta 作为 IdP 为应用配置会话控件

使用以下步骤将 Web 应用会话从 Okta 路由到Defender for Cloud Apps。

注意

可以使用以下方法之一配置 Okta 提供的应用的 SAML 单一登录信息：

• 选项 1：上传应用的 SAML 元数据文件。
• 选项 2：手动提供应用的 SAML 数据。

在以下步骤中，我们将使用选项 2。

步骤 1： 获取应用的 SAML 单一登录设置

步骤 2：使用应用的 SAML 信息配置Defender for Cloud Apps

步骤 3： 创建新的 Okta 自定义应用程序和应用单一登录配置

步骤 4：使用 Okta 应用的信息配置Defender for Cloud Apps

步骤 5： 完成 Okta 自定义应用程序的配置

步骤 6：获取Defender for Cloud Apps中的应用更改

步骤 7： 完成应用更改

步骤 8：在 Defender for Cloud Apps 中完成配置

步骤 1：获取应用的 SAML 单一登录设置

1. 在 Salesforce 中，浏览到“ 设置>设置”“>标识>单个 Sign-On 设置”。

2. 在 “单 Sign-On 设置”下，单击现有 Okta 配置的名称。

   

3. 在“SAML 单一登录设置”页面上，记下 Salesforce 登录 URL。 稍后在配置Defender for Cloud Apps时需要用到它。

   注意

   如果应用提供 SAML 证书，请下载证书文件。

   

步骤 2：使用应用的 SAML 信息配置Defender for Cloud Apps

1. 在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。

2. 在 “连接的应用”下，选择 “条件访问应用控制应用”。

3. 选择“ +添加”，然后在弹出窗口中选择要部署的应用，然后选择“ 启动向导”。

4. 在 “应用信息 ”页上，选择“ 手动填写数据”，在 “断言使用者服务 URL ”中输入前面记录的 Salesforce 登录 URL ，然后单击“ 下一步”。

   注意

   如果应用提供 SAML 证书，请选择“ 使用 <app_name> SAML 证书 ”并上传证书文件。

   

步骤 3：创建新的 Okta 自定义应用程序和应用单 Sign-On 配置

注意

若要限制最终用户停机时间并保留现有的已知良好配置，建议创建新的自定义应用程序和单 Sign-On 配置。 如果无法执行此操作，请跳过相关步骤。 例如，如果要配置的应用不支持创建多个 单 Sign-On 配置，请跳过创建新的单一登录步骤。

1. 在 Okta 管理员 控制台的“应用程序”下，查看应用现有配置的属性，并记下设置。

2. 单击“ 添加应用程序”，然后单击“ 创建新应用”。 除了 访问群体 URI (SP 实体 ID) 值（必须是唯一名称）之外，使用前面记录的设置配置新应用程序。 稍后在配置Defender for Cloud Apps时需要此应用程序。

3. 导航到 “应用程序”，查看现有的 Okta 配置，然后在“ 登录 ”选项卡上，选择“ 查看设置说明”。

   

4. 记下 标识提供者单 Sign-On URL ，并下载标识提供者的签名证书 (X.509) 。 以后会用到此值。

5. 返回到 Salesforce，在现有的 Okta 单一登录设置页上，记下所有设置。

6. 创建新的 SAML 单一登录配置。 除了必须与自定义应用程序的受众 URI (SP 实体 ID) 匹配的实体 ID 值外，使用前面记下的设置配置单一登录。 稍后在配置Defender for Cloud Apps时需要用到它。

7. 保存新应用程序后，导航到“分配”页，并分配需要访问应用程序的人员或组。

ׂ

步骤 4：使用 Okta 应用的信息配置Defender for Cloud Apps

1. 返回到“Defender for Cloud Apps标识提供者”页，单击“下一步”继续。

2. 在下一页上，选择“ 手动填写数据”，执行以下操作，然后单击“ 下一步”。

   • 对于 “单一登录服务 URL”，请输入前面记下的 Salesforce 登录 URL 。
   • 选择 “上传标识提供者的 SAML 证书 ”，并上传之前下载的证书文件。

   

3. 在下一页上，记下以下信息，然后单击“ 下一步”。 稍后需要这些信息。

   • Defender for Cloud Apps 单一登录 URL
   • Defender for Cloud Apps 属性和值

   注意

   如果看到上传标识提供者Defender for Cloud Apps SAML 证书的选项，请单击以下载证书文件。 以后会用到此值。

   

步骤 5：完成 Okta 自定义应用程序的配置

1. 返回到 Okta 管理员 控制台的“应用程序”下，选择之前创建的自定义应用程序，然后在“常规>SAML 设置”下，单击“编辑”。

   

2. 在“单一登录 URL”字段中，将 URL 替换为前面记下的Defender for Cloud Apps单一登录 URL，然后保存设置。

3. 在“目录”下，选择“配置文件编辑器”，选择之前创建的自定义应用程序，然后单击“配置文件”。 使用以下信息添加属性。

   显示名称	变量名称	数据类型	属性类型
   McasSigningCert	McasSigningCert	string	自定义警报
   McasAppId	McasAppId	string	自定义警报

   

4. 返回“配置文件编辑器”页，选择之前创建的自定义应用程序，单击“映射”，然后选择“Okta User to {custom_app_name}”。 将 McasSigningCert 和 McasAppId 属性映射到前面记录的 Defender for Cloud Apps 属性值。

   注意

   • 请确保将值括在双引号 (“)
   • Okta 将属性限制为 1024 个字符。 若要缓解此限制，请使用配置文件编辑器添加属性，如所述。

   

5. 保存设置。

步骤 6：获取Defender for Cloud Apps中的应用更改

返回“Defender for Cloud Apps应用更改”页，执行以下操作，但不要单击“完成”。 稍后需要这些信息。

• 复制Defender for Cloud Apps SAML 单一登录 URL
• 下载Defender for Cloud Apps SAML 证书

步骤 7：完成应用更改

在 Salesforce 中，浏览到“ 设置>设置”“>标识>单个 Sign-On 设置”，并执行以下操作：

1. [推荐]创建当前设置的备份。

2. 将“标识提供者登录 URL”字段值替换为前面记下Defender for Cloud Apps SAML 单一登录 URL。

3. 上传之前下载的Defender for Cloud Apps SAML 证书。

4. 单击保存。

   注意

   • 保存设置后，将通过条件访问应用控制路由对此应用的所有关联登录请求。
   • Defender for Cloud Apps SAML 证书的有效期为一年。 过期后，需要生成新证书。

   

步骤 8：在 Defender for Cloud Apps 中完成配置

• 返回到“Defender for Cloud Apps应用更改”页，单击“完成”。 完成向导后，此应用的所有关联登录请求都将通过条件访问应用控制进行路由。

相关内容

条件访问应用控制简介

排查访问和会话控制问题

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。