共用方式為


使用 Active Directory 同盟服務 (AD FS) 作為身分識別提供者 (IdP) ,為任何 Web 應用程式部署條件式存取應用程控

您可以在 Microsoft Defender for Cloud Apps 中設定工作階段控制件,以使用任何 Web 應用程式和任何非Microsoft IdP。 本文說明如何將應用程式會話從AD FS路由至即時會話控件的 Defender for Cloud Apps。

在本文中,我們將使用 Salesforce 應用程式作為設定為使用 Defender for Cloud Apps 工作階段控件的 Web 應用程式範例。

必要條件

  • 您的組織必須具有下列授權,才能使用條件式存取應用程控:

    • 預先設定的AD FS環境
    • Microsoft Defender for Cloud Apps
  • 使用 SAML 2.0 驗證通訊協定的應用程式現有 AD FS 單一登入設定

注意事項

這裡的步驟適用於在支援的 Windows Server 版本上執行的所有 AD FS 版本。

使用AD FS作為IdP為您的應用程式設定會話控件

使用下列步驟,將 Web 應用程式會話從 AD FS 路由傳送至 Defender for Cloud Apps。

注意事項

您可以使用下列其中一種方法,設定 AD FS 所提供的應用程式 SAML 單一登入資訊:

  • 選項 1:上傳應用程式的 SAML 元資料檔案。
  • 選項 2:手動提供應用程式的 SAML 資料。

在下列步驟中,我們將使用選項 2。

步驟 1: 取得應用程式的 SAML 單一登入設定

步驟 2:使用應用程式的 SAML 資訊設定 Defender for Cloud Apps

步驟 3: 建立新的 AD FS 信賴憑證者信任和應用程式單一登錄設定

步驟 4:使用 AD FS 應用程式的資訊設定 Defender for Cloud Apps

步驟 5: 完成 AD FS 信賴憑證者信任的設定

步驟 6:在 Defender for Cloud Apps 中取得應用程式變更

步驟 7: 完成應用程式變更

步驟 8:在 Defender for Cloud Apps 中完成設定

步驟 1:取得應用程式的 SAML 單一登入設定

  1. 在 Salesforce 中,流覽至 [設定設定>>>身分識別單一 Sign-On 設定]

  2. [單一 Sign-On 設定] 下,按兩下現有AD FS組態的名稱。

    選取 [Salesforce SSO 設定]。

  3. [SAML 單一登入設定] 頁面上,記下 Salesforce 登入 URL。 您稍後在設定 Defender for Cloud Apps 時將需要此專案。

    注意事項

    如果您的應用程式提供 SAML 憑證,請下載憑證檔案。

    選取 [Salesforce SSO 登入 URL]。

步驟 2:使用應用程式的 SAML 資訊設定 Defender for Cloud Apps

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]

  2. 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控應用程式]

  3. 選取 [+新增],然後在彈出視窗中選取您要部署的應用程式,然後選取 [ 啟動精靈]

  4. [應用程式資訊] 頁面上, 選取 [手動填入數據],在 [判斷 提示取用者服務 URL ] 中輸入您稍早記下的 Salesforce 登入 URL ,然後按 [ 下一步]

    注意事項

    如果您的應用程式提供 SAML 憑證,請選 取 [使用 <app_name> SAML 憑證 ],然後上傳憑證檔案。

    手動填入 Salesforce SAML 資訊。

步驟 3:建立新的 AD FS 信賴憑證者信任和應用程式單一 Sign-On 組態

注意事項

若要限制使用者停機時間並保留您現有的已知良好設定,建議您建立新的 信賴憑證者信任單一 Sign-On 組態。 如果無法這麼做,請略過相關步驟。 例如,如果您要設定的應用程式不支援建立多個 單一 Sign-On 組態,請略過建立新的單一登錄步驟。

  1. AD FS管理 主控台的 [ 信賴憑證者信任] 下,檢視您應用程式現有信賴憑證者信任的屬性,並記下設定。

  2. 在 [ 動作] 底下,按兩下 [新增信賴憑證者信任]。 除了必須是唯一名稱 的標識碼 值之外,請使用您稍早記下的設定來設定新的信任。 稍後在設定適用於雲端的 Defender 應用程式時會需要此信任。

  3. 開啟同盟元數據檔案,並記下 AD FS SingleSignOnService 位置。 You'll need this later.

    注意事項

    您可以使用下列端點來存取同盟元資料檔案: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    請注意現有 Salesforce 應用程式的 SSO 服務位置。

  4. 下載識別提供者的簽署憑證。 You'll need this later.

    1. 在 [ 服務>憑證] 下方,以滑鼠右鍵按兩下 AD FS 簽署憑證,然後選 取 [檢視憑證]

      檢視IdP簽署憑證屬性。

    2. 在憑證的詳細數據索引標籤上,按兩下 [複製到檔案] ,並遵循 [ 憑證導出 精靈] 中的步驟,將您的憑證導出為 Base-64編碼的 X.509 (。CER) 檔案。

      儲存IdP簽署憑證檔案。

  5. 回到 Salesforce,在現有的 AD FS 單一登入設定頁面上,記下所有設定。

  6. 建立新的 SAML 單一登入設定。 除了必須符合信賴憑證者信任標識符實體標識符值之外,請使用您稍早記下的設定來設定單一登錄。 您稍後在設定 Defender for Cloud Apps 時將需要此專案。

步驟 4:使用 AD FS 應用程式的資訊設定 Defender for Cloud Apps

  1. 回到 [Defender for Cloud Apps 識別提供者] 頁面,按 [下一步] 繼續進行。

  2. 在下一個頁面上,選取 [ 手動填入數據],執行下列動作,然後按 [ 下一步]

    • 針對 [單一登錄服務 URL],輸入您稍早記下的 Salesforce 登入 URL
    • 取 [上傳識別提供者的 SAML 憑證 ],然後上傳您稍早下載的憑證檔案。

    新增 SSO 服務 URL 和 SAML 憑證。

  3. 在下一個頁面上,記下下列資訊,然後按 [ 下一步]。 您稍後將需要這些資訊。

    • 適用於雲端的 Defender 應用程式單一登入 URL
    • 適用於雲端的 Defender 應用程式屬性和值

    注意事項

    如果您看到上傳識別提供者之 Defender for Cloud Apps SAML 憑證的選項,請按兩下連結以下載憑證檔案。 You'll need this later.

    在 Defender for Cloud Apps 中,請注意 SSO URL 和屬性。

步驟 5:完成 AD FS 信賴憑證者信任的設定

  1. 回到 AD FS管理 主控台,以滑鼠右鍵按下您稍早建立的信賴憑證者信任,然後選取 [ 編輯宣告發佈原則]

    找出並編輯信賴信任宣告發行。

  2. 在 [ 編輯宣告發行原則 ] 對話方塊的 [ 發行轉換規則] 下,使用下表中提供的資訊來完成建立自定義規則的步驟。

    宣告規則名稱 自訂規則
    McasSigningCert => issue(type="McasSigningCert", value="<value>");其中 <value> 是您稍早記下之 Defender for Cloud Apps 精靈中的McasSigningCert
    McasAppId => issue(type="McasAppId", value="<value>");是您稍早記下 Defender for Cloud Apps 精靈中的McasAppId
    1. 單擊 [新增規則], 在 [宣告規則範本] 底下選 取 [使用自定義規則傳送宣告],然後按 [ 下一步]
    2. 在 [ 設定規則] 頁面上,輸入個別的 宣告規則名稱 和提供的 自定義規則

    注意事項

    這些規則除了您要設定的應用程式所需的任何宣告規則或屬性之外。

  3. 回到 [ 信賴憑證者信任 ] 頁面,以滑鼠右鍵按下您稍早建立的信賴憑證者信任,然後選取 [ 屬性]

  4. 在 [端點] 索引標籤上,選取 [SAML 判斷提示取用者端點],按兩下 [編輯],並將 [信任的 URL] 取代為您稍早記下的 Defender for Cloud Apps 單一登錄 URL,然後按兩下 [確定]

    更新信賴信任端點屬性受信任的URL。

  5. 如果您已下載識別提供者的 Defender for Cloud Apps SAML 憑證,請在 [簽章] 索引卷標上,按兩下 [新增並上傳憑證檔案],然後按兩下 [確定]

    更新信賴信任簽章屬性 SAML 憑證。

  6. 儲存您的設定。

步驟 6:在 Defender for Cloud Apps 中取得應用程式變更

回到 [Defender for Cloud Apps 應用程式變更] 頁面,執行下列動作,但不要按兩下 [完成]。 您稍後將需要這些資訊。

  • 複製 Defender for Cloud Apps SAML 單一登錄 URL
  • 下載 Defender for Cloud Apps SAML 憑證

記下 #DBB427920F6AB4129ADF4D141D8C3DACE SAML SSO URL 並下載憑證。

步驟 7:完成應用程式變更

在 Salesforce 中,流覽至 [設定>設定>>身分識別單一 Sign-On 設定],然後執行下列動作:

  1. 建議:建立目前設定的備份。

  2. 將 [識別提供者登入 URL] 域值取代為您稍早記下的 Defender for Cloud Apps SAML 單一登錄 URL。

  3. 上傳您稍早下載 Defender for Cloud Apps SAML 憑證。

  4. 按一下儲存

    注意事項

    Defender for Cloud Apps SAML 憑證的有效期為一年。 到期之後,必須產生新的憑證。

步驟 8:在 Defender for Cloud Apps 中完成設定

  • 回到 [Defender for Cloud Apps 應用程式變更] 頁面,按兩下 [完成]。 完成精靈之後,此應用程式的所有相關聯登入要求都會透過條件式存取應用程控來路由傳送。

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證