Sdílet prostřednictvím

Nasazení řízení podmíněného přístupu k aplikacím pro libovolnou webovou aplikaci pomocí Active Directory Federation Services (AD FS) (AD FS) jako zprostředkovatele identity (IDP)

  • Článek

Ovládací prvky relací v programu Microsoft Defender for Cloud Apps můžete nakonfigurovat tak, aby fungovaly s libovolnou webovou aplikací a jakýmkoli zprostředkovatele identity od jiných společností než Microsoft. Tento článek popisuje, jak směrovat relace aplikací ze služby AD FS do Defenderu pro Cloud Apps pro řízení relací v reálném čase.

V tomto článku použijeme aplikaci Salesforce jako příklad nakonfigurované webové aplikace tak, aby používala ovládací prvky relace Defenderu pro Cloud Apps.

Požadavky

  • K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:

    • Předkonfigurované prostředí SLUŽBY AD FS
    • Microsoft Defender for Cloud Apps

  • Existující konfigurace jednotného přihlašování služby AD FS pro aplikaci pomocí ověřovacího protokolu SAML 2.0

Poznámka:

Postup platí pro všechny verze služby AD FS, které běží na podporované verzi Windows Serveru.

Konfigurace ovládacích prvků relace pro vaši aplikaci pomocí služby AD FS jako zprostředkovatele identity

Pomocí následujícího postupu můžete směrovat relace webové aplikace ze služby AD FS do Defenderu for Cloud Apps.

Poznámka:

Informace o jednotném přihlašování SAML aplikace, které poskytuje služba AD FS, můžete nakonfigurovat pomocí jedné z následujících metod:

  • Možnost 1: Nahrání souboru metadat SAML aplikace
  • Možnost 2: Ruční poskytnutí dat SAML aplikace

V následujících krocích použijeme možnost 2.

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

Krok 2: Konfigurace Defenderu for Cloud Apps s informacemi SAML vaší aplikace

Krok 3: Vytvoření nové konfigurace vztahu důvěryhodnosti předávající strany služby AD FS a jednotného přihlašování aplikace

Krok 4: Konfigurace Defenderu for Cloud Apps s informacemi o aplikaci AD FS

Krok 5: Dokončení konfigurace vztahu důvěryhodnosti předávající strany služby AD FS

Krok 6: Získání změn aplikace v Defenderu pro Cloud Apps

Krok 7: Dokončení změn aplikace

Krok 8: Dokončení konfigurace v Defenderu for Cloud Apps

Krok 1: Získání nastavení jednotného přihlašování SAML vaší aplikace

  1. V Salesforce přejděte do >>nastavení nastavení identity>jednotného přihlašování.

  2. V části Nastavení jednotného přihlašování klikněte na název existující konfigurace služby AD FS.

    Vyberte nastavení jednotného přihlašování Salesforce.

  3. Na stránce nastavení jednotného přihlašování SAML si poznamenejte přihlašovací adresu URL salesforce. Budete ho potřebovat později při konfiguraci Defenderu pro Cloud Apps.

    Poznámka:

    Pokud vaše aplikace poskytuje certifikát SAML, stáhněte si soubor certifikátu.

    Vyberte přihlašovací adresu URL jednotného přihlašování Salesforce.

Krok 2: Konfigurace Defenderu for Cloud Apps s informacemi SAML vaší aplikace

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Připojené aplikace vyberte aplikace řízení podmíněného přístupu.

  3. Vyberte +Přidat a v automaticky otevírané nabídce vyberte aplikaci, kterou chcete nasadit, a pak vyberte Spustit průvodce.

  4. Na stránce INFORMACE O APLIKACI vyberte vyplnit data ručně, v adrese URL služby Kontrolní příjemce zadejte přihlašovací adresu URL salesforce, kterou jste si poznamenali dříve, a potom klikněte na tlačítko Další.

    Poznámka:

    Pokud vaše aplikace poskytuje certifikát SAML, vyberte Použít <app_name> certifikát SAML a nahrajte soubor certifikátu.

    Ručně vyplňte informace SALESFORCE SAML.

Krok 3: Vytvoření nové konfigurace vztahu důvěryhodnosti předávající strany služby AD FS a jednotného přihlašování aplikace

Poznámka:

Pokud chcete omezit výpadek koncových uživatelů a zachovat stávající známou dobrou konfiguraci, doporučujeme vytvořit novou konfiguraci vztahu důvěryhodnosti předávající strany a jednotného přihlašování. Pokud to není možné, přeskočte příslušné kroky. Pokud například aplikace, kterou konfigurujete, nepodporuje vytváření více konfigurací jednotného přihlašování, přeskočte vytvoření nového kroku jednotného přihlašování.

  1. V konzole pro správu služby AD FS v části Vztahy důvěryhodnosti předávající strany zobrazte vlastnosti existujícího vztahu důvěryhodnosti předávající strany pro vaši aplikaci a poznamenejte si nastavení.

  2. V části Akce klikněte na Přidat vztah důvěryhodnosti předávající strany. Kromě hodnoty identifikátoru, která musí být jedinečným názvem, nakonfigurujte nový vztah důvěryhodnosti pomocí nastavení, která jste si poznamenali dříve. Tento vztah důvěryhodnosti budete potřebovat později při konfiguraci Defenderu pro Cloud Apps.

  3. Otevřete soubor federačních metadat a poznamenejte si umístění služby AD FS SingleSignOnService. Budete ho potřebovat později.

    Poznámka:

    K přístupu k souboru federačních metadat můžete použít následující koncový bod: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Poznamenejte si umístění služby jednotného přihlašování existující aplikace Salesforce.

  4. Stáhněte podpisový certifikát zprostředkovatele identity. Budete ho potřebovat později.

    1. V části Certifikáty služeb>klikněte pravým tlačítkem myši na podpisový certifikát služby AD FS a pak vyberte Zobrazit certifikát.

      Zobrazení vlastností podpisového certifikátu zprostředkovatele identity

    2. Na kartě podrobnosti certifikátu klikněte na Kopírovat do souboru a podle kroků v Průvodci exportem certifikátu exportujte certifikát jako X.509 s kódováním Base-64 (. CER) soubor.

      Uložte soubor podpisového certifikátu zprostředkovatele identity.

  5. Zpátky v Salesforce si na stávající stránce nastavení jednotného přihlašování služby AD FS poznamenejte všechna nastavení.

  6. Vytvořte novou konfiguraci jednotného přihlašování SAML. Kromě hodnoty ID entity, která se musí shodovat s identifikátorem důvěryhodnosti předávající strany, nakonfigurujte jednotné přihlašování pomocí nastavení, která jste si poznamenali dříve. Budete ho potřebovat později při konfiguraci Defenderu pro Cloud Apps.

Krok 4: Konfigurace Defenderu for Cloud Apps s informacemi o aplikaci AD FS

  1. Vraťte se na stránku ZPROSTŘEDKOVATELE IDENTITY Defenderu for Cloud Apps a pokračujte kliknutím na další.

  2. Na další stránce vyberte Vyplnit data ručně, proveďte následující a potom klepněte na tlačítko Další.

    • Jako adresu URL služby jednotného přihlašování zadejte přihlašovací adresu URL Salesforce, kterou jste si poznamenali dříve.
    • Vyberte Nahrát certifikát SAML zprostředkovatele identity a nahrajte soubor certifikátu, který jste si stáhli dříve.

    Přidejte adresu URL služby jednotného přihlašování a certifikát SAML.

  3. Na další stránce si poznamenejte následující informace a klepněte na tlačítko Další. Budete potřebovat informace později.

    • Adresa URL jednotného přihlašování pro Defender for Cloud Apps
    • Atributy a hodnoty Defenderu for Cloud Apps

    Poznámka:

    Pokud se zobrazí možnost nahrát certifikát SAML pro Defender for Cloud Apps pro zprostředkovatele identity, kliknutím na odkaz stáhněte soubor certifikátu. Budete ho potřebovat později.

    V Programu Defender for Cloud Apps si poznamenejte adresu URL a atributy jednotného přihlašování.

Krok 5: Dokončení konfigurace vztahu důvěryhodnosti předávající strany služby AD FS

  1. Zpátky v konzole pro správu služby AD FS klikněte pravým tlačítkem na vztah důvěryhodnosti předávající strany, kterou jste vytvořili dříve, a pak vyberte Upravit zásady vystavování deklarací identity.

    Vyhledejte a upravte vystavování deklarací důvěryhodnosti předávající důvěryhodnosti.

  2. V dialogovém okně Upravit zásady vystavování deklarací identity v části Pravidla transformace vystavení použijte poskytnuté informace v následující tabulce k dokončení kroků pro vytvoření vlastních pravidel.

    Název pravidla deklarace identity Vlastní pravidlo
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); where <value> is the McasSigningCert value from the Defender for Cloud Apps wizard you noted earlier
    McasAppId => issue(type="McasAppId", value="<value>");je hodnota McasAppId z průvodce Defenderem pro Cloud Apps, který jste si poznamenali dříve.
    1. Klepněte na tlačítko Přidat pravidlo, v části Šablona pravidla deklarace identity vyberte Odeslat deklarace pomocí vlastního pravidla a potom klepněte na tlačítko Další.
    2. Na stránce Konfigurovat pravidlo zadejte odpovídající název pravidla deklarace identity a zadané vlastní pravidlo.

    Poznámka:

    Tato pravidla doplňují všechna pravidla deklarací identity nebo atributy vyžadované aplikací, kterou konfigurujete.

  3. Zpět na stránce Vztah důvěryhodnosti předávající strany klikněte pravým tlačítkem myši na vztah důvěryhodnosti předávající strany, kterou jste vytvořili dříve, a pak vyberte Vlastnosti.

  4. Na kartě Koncové body vyberte koncový bod kontrolního výrazu SAML, klikněte na Upravit a nahraďte důvěryhodnou adresu URL adresou URL jednotného přihlašování Defenderu for Cloud Apps, kterou jste si poznamenali dříve, a potom klikněte na TLAČÍTKO OK.

    Aktualizujte vlastnosti koncového bodu vztahu důvěryhodnosti předávajícího vztahu důvěryhodnosti důvěryhodné adresy URL.

  5. Pokud jste stáhli certifikát SAML pro Defender for Cloud Apps pro zprostředkovatele identity, klikněte na kartě Podpis na Přidat a nahrajte soubor certifikátu a potom klikněte na OK.

    Aktualizujte vlastnosti podpisu důvěryhodnosti předávajícího vztahu důvěryhodnosti certifikát SAML.

  6. Uložte svá nastavení.

Krok 6: Získání změn aplikace v Defenderu pro Cloud Apps

Zpátky na stránce Změny aplikace Defender for Cloud Apps udělejte toto, ale neklikejte na Dokončit. Budete potřebovat informace později.

  • Zkopírování adresy URL jednotného přihlašování PRO Defender for Cloud Apps SAML
  • Stažení certifikátu SAML pro Defender for Cloud Apps

Poznamenejte si adresu URL jednotného přihlašování PRO Cloud Apps Defender for Cloud Apps a stáhněte si certifikát.

Krok 7: Dokončení změn aplikace

V Salesforce přejděte do >>nastavení nastavení identity>jednotného přihlašování a postupujte takto:

  1. Doporučeno: Vytvořte zálohu aktuálního nastavení.

  2. Hodnotu pole Přihlašovací adresa URL zprostředkovatele identity nahraďte adresou URL jednotného přihlašování SAML pro Defender for Cloud Apps, kterou jste si poznamenali dříve.

  3. Nahrajte certifikát SAML pro Defender for Cloud Apps, který jste si stáhli dříve.

  4. Klikněte na možnost Uložit.

    Poznámka:

    Certifikát SAML pro Defender for Cloud Apps je platný po dobu jednoho roku. Po vypršení platnosti bude potřeba vygenerovat nový certifikát.

Krok 8: Dokončení konfigurace v Defenderu for Cloud Apps

  • Zpět na stránce Změny aplikace Defender for Cloud Apps klikněte na Dokončit. Po dokončení průvodce budou všechny přidružené žádosti o přihlášení k této aplikaci směrovány prostřednictvím řízení podmíněného přístupu k aplikacím.

Související obsah

« PŘEDCHOZÍ: Nasazení řízení podmíněného přístupu aplikací pro všechny aplikace

Úvod do řízení podmíněného přístupu k aplikacím

Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.