使用Okta作為識別提供者 (IdP) ,為任何 Web 應用程式部署條件式存取應用程控
您可以在 Microsoft Defender for Cloud Apps 中設定工作階段控制件,以使用任何 Web 應用程式和任何非Microsoft IdP。 本文說明如何將應用程式會話從Okta路由至即時會話控件的 Defender for Cloud Apps。
在本文中,我們將使用 Salesforce 應用程式作為設定為使用 Defender for Cloud Apps 工作階段控件的 Web 應用程式範例。
必要條件
您的組織必須具有下列授權,才能使用條件式存取應用程控:
- 預先設定的Okta租使用者。
- Microsoft Defender for Cloud Apps
使用 SAML 2.0 驗證通訊協定的應用程式現有 Okta 單一登入設定
若要使用Okta作為IdP來設定應用程式的會話控件
使用下列步驟,將 Web 應用程式會話從 Okta 路由傳送至 Defender for Cloud Apps。
注意事項
您可以使用下列其中一種方法,設定Okta所提供的應用程式 SAML 單一登入資訊:
- 選項 1:上傳應用程式的 SAML 元資料檔案。
- 選項 2:手動提供應用程式的 SAML 資料。
在下列步驟中,我們將使用選項 2。
步驟 1: 取得應用程式的 SAML 單一登入設定
步驟 2:使用應用程式的 SAML 資訊設定 Defender for Cloud Apps
步驟 3: 建立新的 Okta 自定義應用程式和應用程式單一登入設定
步驟 4:使用 Okta 應用程式的資訊設定 Defender for Cloud Apps
步驟 5: 完成 Okta 自定義應用程式的設定
步驟 6:在 Defender for Cloud Apps 中取得應用程式變更
步驟 7: 完成應用程式變更
步驟 8:在 Defender for Cloud Apps 中完成設定
步驟 1:取得應用程式的 SAML 單一登入設定
在 Salesforce 中,流覽至 [設定設定>>>身分識別單一 Sign-On 設定]。
在 [單一 Sign-On 設定] 下,按兩下現有Okta組態的名稱。
![選取 [Salesforce SSO 設定]。](media/proxy-idp-okta/idp-okta-sf-select-sso-settings.png)
在 [SAML 單一登入設定] 頁面上,記下 Salesforce 登入 URL。 您稍後在設定 Defender for Cloud Apps 時將需要此資訊。
注意事項
如果您的應用程式提供 SAML 憑證,請下載憑證檔案。
![選取 [Salesforce SSO 登入 URL]。](media/proxy-idp-okta/idp-okta-sf-copy-saml-sso-login-url.png)
步驟 2:使用應用程式的 SAML 資訊設定 Defender for Cloud Apps
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。
在 [ 連線的應用程式] 底下,選 取條件式存取應用程控應用程式。
選取 [+新增],然後在彈出視窗中選取您要部署的應用程式,然後選取 [ 啟動精靈]。
在 [應用程式資訊] 頁面上, 選取 [手動填入數據],在 [判斷 提示取用者服務 URL ] 中輸入您稍早記下的 Salesforce 登入 URL ,然後按 [ 下一步]。
注意事項
如果您的應用程式提供 SAML 憑證,請選 取 [使用 <app_name> SAML 憑證 ],然後上傳憑證檔案。
步驟 3:建立新的 Okta 自定義應用程式和應用程式單一 Sign-On 組態
注意事項
若要限制使用者停機時間並保留您現有的已知良好設定,建議您建立新的 自定義應用程式 和 單一 Sign-On 組態。 如果無法這麼做,請略過相關步驟。 例如,如果您要設定的應用程式不支援建立多個 單一 Sign-On 組態,請略過建立新的單一登錄步驟。
在Okta 管理員主控台的 [應用程式] 底下,檢視您應用程式現有組態的屬性,並記下設定。
按兩下 [新增應用程式],然後按兩下 [ 建立新的應用程式]。 除了 物件 URI (SP 實體識別碼) 必須是唯一名稱的值,請使用您稍早記下的設定來設定新的應用程式。 您稍後在設定 Defender for Cloud Apps 時將需要此應用程式。
流覽至 [應用程式],檢視您現有的Okta設定,然後在 [登入] 索 引卷標上,選 取 [檢視設定指示]。
記下識別 提供者單一 Sign-On URL ,並下載識別提供者的簽署憑證 (X.509) 。 You'll need this later.
回到 Salesforce,在現有的 Okta 單一登入設定頁面上,記下所有設定。
建立新的 SAML 單一登入設定。 除了必須符合自定義應用程式的物件 URI (SP 實體識別碼) 的實體識別碼值之外,請使用您稍早記下的設定來設定單一登錄。 您稍後在設定 Defender for Cloud Apps 時將需要此資訊。
儲存新應用程式之後,流覽至 [指派] 頁面,並指派需要存取應用程式的 人員 或 群組。
步驟 4:使用 Okta 應用程式的資訊設定 Defender for Cloud Apps
回到 [Defender for Cloud Apps 識別提供者] 頁面,按 [下一步] 繼續進行。
在下一個頁面上,選取 [ 手動填入數據],執行下列動作,然後按 [ 下一步]。
- 針對 [單一登錄服務 URL],輸入您稍早記下的 Salesforce 登入 URL 。
- 選 取 [上傳識別提供者的 SAML 憑證 ],然後上傳您稍早下載的憑證檔案。
在下一個頁面上,記下下列資訊,然後按 [ 下一步]。 您稍後將需要這些資訊。
- 適用於雲端的 Defender 應用程式單一登入 URL
- 適用於雲端的 Defender 應用程式屬性和值
注意事項
如果您看到上傳識別提供者之 Defender for Cloud Apps SAML 憑證的選項,請按兩下以下載憑證檔案。 You'll need this later.
步驟 5:完成 Okta 自定義應用程式的設定
回到Okta 管理員控制台的 [應用程式] 底下,選取您稍早建立的自定義應用程式,然後在 [一般>SAML 設定] 下,按兩下 [編輯]。
在 [單一登入 URL] 字段中,將 URL 取代為您稍早記下的 Defender for Cloud Apps 單一登錄 URL,然後儲存您的設定。
在 [目錄] 底下,選取 [配置檔 編輯器],選取您稍早建立的自定義應用程式,然後按兩下 [配置檔]。 使用下列資訊新增屬性。
顯示名稱 變數名稱 資料類型 屬性類型 McasSigningCert McasSigningCert 字串 自訂 McasAppId McasAppId 字串 自訂 
回到 [配置檔 編輯器] 頁面,選取您稍早建立的自定義應用程式,按兩下 [對應],然後選取 [Okta User to {custom_app_name}]。 將 McasSigningCert 和 McasAppId 屬性對應至您稍早記下的 Defender for Cloud Apps 屬性值。
注意事項
- 請確定您以雙引弧括住值 ( )
- Okta 會將屬性限制為1024個字元。 若要減輕這項限制,請使用配置檔 編輯器 新增屬性,如所述。
儲存您的設定。
步驟 6:在 Defender for Cloud Apps 中取得應用程式變更
回到 [Defender for Cloud Apps 應用程式變更] 頁面,執行下列動作,但不要按兩下 [完成]。 您稍後將需要這些資訊。
- 複製 Defender for Cloud Apps SAML 單一登錄 URL
- 下載 Defender for Cloud Apps SAML 憑證
步驟 7:完成應用程式變更
在 Salesforce 中,流覽至 [設定>設定>>身分識別單一 Sign-On 設定],然後執行下列動作:
[建議]建立目前設定的備份。
以您稍早記下的 Defender for Cloud Apps SAML 單一登錄 URL 取代識別提供者登入 URL 域值。
上傳您稍早下載 Defender for Cloud Apps SAML 憑證。
按一下儲存。
注意事項
- 儲存您的設定之後,此應用程式的所有相關聯登入要求都會透過條件式存取應用程控來路由傳送。
- Defender for Cloud Apps SAML 憑證的有效期為一年。 到期之後,必須產生新的憑證。
步驟 8:在 Defender for Cloud Apps 中完成設定
- 回到 [Defender for Cloud Apps 應用程式變更] 頁面,按兩下 [完成]。 完成精靈之後,此應用程式的所有相關聯登入要求都會透過條件式存取應用程控來路由傳送。
相關內容
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。