Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mit Active Directory-Verbunddienste (AD FS) (AD FS) als Identitätsanbieter (IdP)

  • Artikel

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und beliebigen Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von AD FS zu Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung der Defender for Cloud Apps-Sitzungssteuerung konfiguriert wird.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Eine vorkonfigurierte AD FS-Umgebung
    • Microsoft Defender for Cloud Apps

  • Eine vorhandene AD FS-Konfiguration für Single Sign-On für die App mit dem SAML 2.0-Authentifizierungsprotokoll

Hinweis

Die hier aufgeführten Schritte gelten für alle Versionen von AD FS, die auf unterstützten Versionen von Windows Server ausgeführt werden.

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mithilfe von AD FS als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von AD FS an Defender for Cloud Apps weiterzuleiten. Die Konfigurationsschritte von Microsoft Entra finden Sie unter Onboarding und Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Microsoft Entra ID.

Hinweis

Sie können die SAML-Single Sign-On-Informationen der App mithilfe einer der folgenden Methoden konfigurieren:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für Die App

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

Schritt 5: Abschließen der Konfiguration der vertrauenden AD FS-Seite

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

  1. Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen.

  2. Klicken Sie unter Single-Sign-On-Einstellungen auf den Namen Ihrer vorhandenen AD FS-Konfiguration.

    Select Salesforce SSO settings.

  3. Notieren Sie sich auf der Seite SAML Single Sign-On-Einstellungen die Salesforce-Anmelde-URL. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Select Salesforce SSO login URL.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Wählen Sie auf der Seite APP INFORMATION die Option Daten manuell ausfüllen aus, geben Sie in der Assertionsverbraucherdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und klicken Sie dann auf Weiter.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Manually fill in Salesforce SAML information.

Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für die App

Hinweis

Um die Ausfallzeiten des Endbenutzers zu begrenzen und Ihre vorhandene bekannte gute Konfiguration beizubehalten, empfehlen wir, eine neue Konfiguration für vertrauende Parteien und Single Sign-On zu erstellen. Wenn dies nicht möglich ist, überspringen Sie die relevanten Schritte. Wenn die von Ihnen konfigurierte App beispielsweise das Erstellen mehrerer Single Sign-On-Konfigurationen nicht unterstützt, überspringen Sie den Schritt zum Erstellen eines neuen Single Sign-On.

  1. Zeigen Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite die Eigenschaften Ihrer vorhandenen Vertrauensstellung der vertrauenden Seite für Ihre App an, und notieren Sie sich die Einstellungen.

  2. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen. Außer dem Bezeichnerwert, der ein eindeutiger Name sein muss, konfigurieren Sie die neue Vertrauensstellung mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen diese Vertrauensstellung später beim Konfigurieren von Defender for Cloud Apps.

  3. Öffnen Sie die Verbundmetadatendatei, und notieren Sie sich den AD FS SingleSignOnService-Speicherort. Das wird später noch benötigt.

    Hinweis

    Sie können den folgenden Endpunkt verwenden, um auf Ihre Verbundmetadatendatei zuzugreifen: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Note existing Salesforce app's SSO service location.

  4. Laden Sie das Signaturzertifikat des Identitätsanbieters herunter. Das wird später noch benötigt.

    1. Klicken Sie unter Dienste>Zertifikate mit der rechten Maustaste auf das AD FS-Signaturzertifikat, und wählen Sie dann Zertifikat anzeigen aus.

      View IdP signing certificate properties.

    2. Klicken Sie auf der Registerkarte „Details“ des Zertifikats auf In Datei kopieren, und führen Sie die Schritte im Zertifikatexport-Assistenten aus, um Ihr Zertifikat alsBase-64 encoded X.509 (.CER) Datei zu exportieren.

      Save IdP signing certificate file.

  5. Zurück in Salesforce notieren Sie sich auf der Seite mit den Einstellungen für Single Sign-On von AD FS alle Einstellungen.

  6. Erstellen Sie eine neue SAML-Single Sign-On-Konfiguration. Konfigurieren Sie neben dem Entitäts-ID-Wert, der mit demVertrauensbezeichnerder vertrauenden Seite übereinstimmen muss, Single Sign-On mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

  1. Zurück auf der Seite IDENTITY PROVIDER von Defender for Cloud Apps, klicken Sie auf Weiter, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite die Option Daten manuell eingeben aus, führen Sie die folgenden Schritte aus und klicken Sie dann auf Weiter.

    • Geben Sie für die Single Sign-On-Service-URL die zuvor notierte Salesforce-Anmelde-URL ein
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.

    Add SSO service URL and SAML certificate.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und klicken Sie dann auf Weiter. Sie benötigen diese Informationen später.

    • Defender for Cloud Apps Single Sign-On-URL
    • Defender for Cloud Apps-Attribute und -Werte

    Hinweis

    Wenn eine Option zum Hochladen des Defender for Cloud Apps SAML-Zertifikats für den Identitätsanbieter angezeigt wird, klicken Sie auf den Link, um die Zertifikatdatei herunterzuladen. Das wird später noch benötigt.

    In Defender for Cloud Apps, note SSO URL and attributes.

Schritt 5: Abschließen der Konfiguration der VERTRAUENSSTELLUNG der vertrauenden AD FS-Seite

  1. Kehren Sie zurück zur AD FS Managementkonsole, klicken Sie mit der rechten Maustaste auf die zuverlässige Vertrauensstelle, die Sie erstellt haben, und wählen Sie dann Anspruchsausstellungsrichtlinie bearbeiten aus.

    Locate and edit relying trust claim issuance.

  2. Verwenden Sie im DialogfeldAnspruchsausstellungsrichtlinie bearbeiten unter Regeln zur Ausstellungstransformation die in der folgenden Tabelle bereitgestellten Informationen, um die Schritte zum Erstellen benutzerdefinierter Regeln auszuführen.

    Name der Anspruchsregel Benutzerdefinierte Regel
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); dabei ist <value> der McasSigningCert-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben.
    McasAppId => issue(type="McasAppId", value="<value>"); ist der McasAppId-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben
    1. Klicken Sie Regel hinzufügen unter Anspruchsregelvorlage die Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus, und klicken Sie dann auf Weiter.
    2. Geben Sie auf der Regel konfigurieren den entsprechenden Anspruchsregelnamen und die angegebenebenutzerdefinierte Regel ein.

    Hinweis

    Diese Regeln sind zusätzlich zu allen Anspruchsregeln oder Attributen aufgeführt, die von der app benötigt werden, die Sie konfigurieren.

  3. Klicken Sie zurück auf der Vertrauensstellungsseite mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben, und wählen Sie dannEigenschaften.

  4. Wählen Sie auf der Registerkarte Endpunktedie Option SAML Assertion Consumer Endpoint aus, klicken Sie auf Bearbeiten, ersetzen Sie die vertrauenswürdige URL durch die Single Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben, und klicken Sie dann auf OK.

    Update relying trust endpoint properties Trusted URL.

  5. Wenn Sie ein Defender for Cloud Apps SAML-Zertifikat für den Identitätsanbieter heruntergeladen haben, klicken Sie auf der Registerkarte Signatur auf Hinzufügen, und laden Sie die Zertifikatdatei hoch, und klicken Sie dann auf OK.

    Update relying trust signature properties SAML certificate.

  6. Speichern Sie die Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps gehen Sie wie folgt vor, wählen Sie jedoch nichtFertigstellen aus. Sie benötigen diese Informationen später.

  • Kopieren Sie die SAML-URL für Single Sign-On in Defender for Cloud Apps
  • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie ein Backup Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

  3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

  4. Klicken Sie auf Speichern.

    Hinweis

    Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps, klicken Sie auf Fertigstellen. Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Nächste Schritte

« ZURÜCK: Bereitstellen der App-Steuerung für bedingten Zugriff

Siehe auch

Einführung in die App-Steuerung für bedingten Zugriff

Problembehandlung für Zugriffs- und Sitzungssteuerung

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.