Share via

Nasazení řízení podmíněného přístupu k aplikacím pro libovolnou webovou aplikaci pomocí Okty jako zprostředkovatele identity (IDP)

  • Článek

Ovládací prvky relací v programu Microsoft Defender for Cloud Apps můžete nakonfigurovat tak, aby fungovaly s libovolnou webovou aplikací a jakýmkoli zprostředkovatele identity od jiných společností než Microsoft. Tento článek popisuje, jak směrovat relace aplikací z Okta do Defenderu for Cloud Apps pro řízení relací v reálném čase.

V tomto článku použijeme aplikaci Salesforce jako příklad nakonfigurované webové aplikace tak, aby používala ovládací prvky relace Defenderu pro Cloud Apps.

Požadavky

  • K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:

    • Předem nakonfigurovaný tenant Okta.
    • Microsoft Defender for Cloud Apps

  • Existující konfigurace jednotného přihlašování Okta pro aplikaci pomocí ověřovacího protokolu SAML 2.0

Konfigurace ovládacích prvků relace pro vaši aplikaci pomocí Okta jako zprostředkovatele identity

Pomocí následujících kroků můžete směrovat relace webové aplikace z Okta do Defenderu for Cloud Apps. Postup konfigurace Microsoft Entra najdete v tématu Onboarding a nasazení řízení podmíněného přístupu k aplikacím pro vlastní aplikace pomocí ID Microsoft Entra.

Poznámka:

Informace o jednotném přihlašování SAML aplikace, které poskytuje Okta, můžete nakonfigurovat jedním z následujících způsobů:

  • Možnost 1: Nahrání souboru metadat SAML aplikace
  • Možnost 2: Ruční poskytnutí dat SAML aplikace

V následujících krocích použijeme možnost 2.

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

Krok 2: Konfigurace Defenderu for Cloud Apps s informacemi SAML vaší aplikace

Krok 3: Vytvoření nové vlastní aplikace Okta a konfigurace jednotného přihlašování aplikace

Krok 4: Konfigurace Defenderu for Cloud Apps s informacemi o aplikaci Okta

Krok 5: Dokončení konfigurace vlastní aplikace Okta

Krok 6: Získání změn aplikace v Defenderu pro Cloud Apps

Krok 7: Dokončení změn aplikace

Krok 8: Dokončení konfigurace v Defenderu for Cloud Apps

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

  1. V Salesforce přejděte do nastavení> Nastavení> Identity>jednotného přihlašování Nastavení.

  2. V části Jednotné přihlašování Nastavení klikněte na název vaší stávající konfigurace Okta.

    Select Salesforce SSO settings.

  3. Na stránce nastavení jednotného přihlašování SAML si poznamenejte přihlašovací adresu URL salesforce. Budete ho potřebovat později při konfiguraci Defenderu pro Cloud Apps.

    Poznámka:

    Pokud vaše aplikace poskytuje certifikát SAML, stáhněte si soubor certifikátu.

    Select Salesforce SSO login URL.

Krok 2: Konfigurace Defenderu for Cloud Apps s informacemi SAML vaší aplikace

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.

  3. Vyberte +Přidat a v automaticky otevírané nabídce vyberte aplikaci, kterou chcete nasadit, a pak vyberte Spustit průvodce.

  4. Na stránce INFORMACE O APLIKACI vyberte vyplnit data ručně, v adrese URL služby Kontrolní příjemce zadejte přihlašovací adresu URL salesforce, kterou jste si poznamenali dříve, a potom klikněte na tlačítko Další.

    Poznámka:

    Pokud vaše aplikace poskytuje certifikát SAML, vyberte Použít <app_name> certifikát SAML a nahrajte soubor certifikátu.

    Manually fill in Salesforce SAML information.

Krok 3: Vytvoření nové vlastní aplikace Okta a konfigurace jednotného přihlašování aplikace

Poznámka:

Pokud chcete omezit výpadek koncových uživatelů a zachovat stávající známou dobrou konfiguraci, doporučujeme vytvořit novou vlastní aplikaci a konfiguraci jednotného přihlašování. Pokud to není možné, přeskočte příslušné kroky. Pokud například aplikace, kterou konfigurujete, nepodporuje vytváření více konfigurací jednotného přihlašování, přeskočte vytvoření nového kroku jednotného přihlašování.

  1. V konzole Okta Správa v části Aplikace zobrazte vlastnosti vaší stávající konfigurace aplikace a poznamenejte si nastavení.

  2. Klikněte na Přidat aplikaci a potom klikněte na Vytvořit novou aplikaci. Kromě hodnoty URI cílové skupiny (SP Entity ID), která musí být jedinečným názvem, nakonfigurujte novou aplikaci pomocí nastavení, která jste si poznamenali dříve. Tuto aplikaci budete potřebovat později při konfiguraci Defenderu pro Cloud Apps.

  3. Přejděte na Aplikace, zobrazte stávající konfiguraci Okta a na kartě Přihlásit se vyberte Zobrazit pokyny k nastavení.

    Note existing Salesforce app's SSO service location.

  4. Poznamenejte si adresu URL jednotného přihlašování zprostředkovatele identity a stáhněte podpisový certifikát zprostředkovatele identity (X.509). Budete ho potřebovat později.

  5. Zpátky v Salesforce si na stávající stránce nastavení jednotného přihlašování Okta poznamenejte všechna nastavení.

  6. Vytvořte novou konfiguraci jednotného přihlašování SAML. Kromě hodnoty ID entity, která musí odpovídat identifikátoru URI cílové skupiny vlastní aplikace (SP Entity ID), nakonfigurujte jednotné přihlašování pomocí nastavení, která jste si poznamenali dříve. Budete ho potřebovat později při konfiguraci Defenderu pro Cloud Apps.

  7. Po uložení nové aplikace přejděte na stránku Přiřazení a přiřaďte Lidé nebo skupiny, které vyžadují přístup k aplikaci.

ׂ

Krok 4: Konfigurace Defenderu for Cloud Apps s informacemi o aplikaci Okta

  1. Vraťte se na stránku ZPROSTŘEDKOVATELE IDENTITY Defenderu for Cloud Apps a pokračujte kliknutím na další.

  2. Na další stránce vyberte Vyplnit data ručně, proveďte následující a potom klepněte na tlačítko Další.

    • Jako adresu URL služby jednotného přihlašování zadejte přihlašovací adresu URL Salesforce, kterou jste si poznamenali dříve.
    • Vyberte Nahrát certifikát SAML zprostředkovatele identity a nahrajte soubor certifikátu, který jste si stáhli dříve.

    Add SSO service URL and SAML certificate.

  3. Na další stránce si poznamenejte následující informace a klepněte na tlačítko Další. Budete potřebovat informace později.

    • Adresa URL jednotného přihlašování pro Defender for Cloud Apps
    • Atributy a hodnoty Defenderu for Cloud Apps

    Poznámka:

    Pokud se zobrazí možnost nahrát certifikát SAML pro Defender for Cloud Apps pro zprostředkovatele identity, kliknutím na tlačítko stáhněte soubor certifikátu. Budete ho potřebovat později.

    In Defender for Cloud Apps, note SSO URL and attributes.

Krok 5: Dokončení konfigurace vlastní aplikace Okta

  1. Zpět v konzole Okta Správa vyberte v části Aplikace vlastní aplikaci, kterou jste vytvořili dříve, a potom v části Obecné>SAML Nastavení klepněte na tlačítko Upravit.

    Locate and edit SAML settings.

  2. V poli adresy URL Jednotné přihlašování nahraďte adresu URL adresou URL jednotného přihlašování Defenderu for Cloud Apps, kterou jste si poznamenali dříve, a pak uložte nastavení.

  3. V části Adresář vyberte Editor profilu, vyberte vlastní aplikaci, kterou jste vytvořili dříve, a potom klepněte na tlačítko Profil. Přidejte atributy pomocí následujících informací.

    Zobrazované jméno Název proměnné Datový typ Typ atributu
    McasSigningCert McasSigningCert string Vlastní
    McasAppId McasAppId string Vlastní

    Add profile attributes.

  4. Zpět na stránce Editor profilů vyberte vlastní aplikaci, kterou jste vytvořili dříve, klikněte na Mapování a pak vyberte Okta User to {custom_app_name}. Namapujte atributy McasSigningCert a McasAppId na hodnoty atributů Defender for Cloud Apps, které jste si poznamenali dříve.

    Poznámka:

    • Ujistěte se, že hodnoty uzavřete do dvojitých uvozovek (")
    • Okta omezuje atributy na 1024 znaků. Pokud chcete toto omezení zmírnit, přidejte atributy pomocí Editoru profilů, jak je popsáno.

    Map profile attributes.

  5. Uložte svá nastavení.

Krok 6: Získání změn aplikace v Defenderu pro Cloud Apps

Zpátky na stránce Změny aplikace Defender for Cloud Apps udělejte toto, ale neklikejte na Dokončit. Budete potřebovat informace později.

  • Zkopírování adresy URL jednotného přihlašování PRO Defender for Cloud Apps SAML
  • Stažení certifikátu SAML pro Defender for Cloud Apps

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Krok 7: Dokončení změn aplikace

V Salesforce přejděte do části Nastavení> Nastavení> Identity>jednotného přihlašování Nastavení a postupujte takto:

  1. [Doporučeno] Vytvořte zálohu aktuálního nastavení.

  2. Hodnotu pole Přihlašovací adresa URL zprostředkovatele identity nahraďte adresou URL jednotného přihlašování SAML pro Defender for Cloud Apps, kterou jste si poznamenali dříve.

  3. Nahrajte certifikát SAML pro Defender for Cloud Apps, který jste si stáhli dříve.

  4. Klikněte na možnost Uložit.

    Poznámka:

    • Po uložení nastavení se všechny přidružené žádosti o přihlášení do této aplikace budou směrovat prostřednictvím řízení podmíněného přístupu k aplikacím.
    • Certifikát SAML pro Defender for Cloud Apps je platný po dobu jednoho roku. Po vypršení platnosti bude potřeba vygenerovat nový certifikát.

    Update SSO settings.

Krok 8: Dokončení konfigurace v Defenderu for Cloud Apps

  • Zpět na stránce Změny aplikace Defender for Cloud Apps klikněte na Dokončit. Po dokončení průvodce budou všechny přidružené žádosti o přihlášení k této aplikaci směrovány prostřednictvím řízení podmíněného přístupu k aplikacím.

Další kroky

« PŘEDCHOZÍ: Nasazení řízení podmíněného přístupu aplikací pro všechny aplikace

Viz také

Úvod do řízení podmíněného přístupu k aplikacím

Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.