Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mit PingOne als Identitätsanbieter (IdP)

  • Artikel

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und beliebigen Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von PingOne an Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung der Defender for Cloud Apps-Sitzungssteuerung konfiguriert wird. Führen Sie zum Konfigurieren anderer Apps die gleichen Schritte gemäß ihren Anforderungen aus.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Eine relevante PingOne-Lizenz (erforderlich für Single Sign-On)
    • Microsoft Defender for Cloud Apps

  • Eine vorhandene PingOne Single Sign-On-Konfiguration für die App mit dem SAML 2.0-Authentifizierungsprotokoll

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mit PingOne als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von PingOne an Defender for Cloud Apps weiterzuleiten. Die Konfigurationsschritte von Microsoft Entra finden Sie unter Onboarding und Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Microsoft Entra ID.

Hinweis

Mit einer der folgenden Methoden können Sie die SAML-Single Sign-On-Informationen der App konfigurieren, die von PingOne bereitgestellt werden:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

  1. Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen.

  2. Wählen Sie unter Single Sign-On-Einstellungen den Namen Ihrer vorhandenen SAML 2.0-Konfiguration aus.

    Select Salesforce SSO settings.

  3. Notieren Sie sich auf der Seite SAML Single Sign-On-Einstellungen die Salesforce-Anmelde-URL. Das wird später noch benötigt.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Select Salesforce SSO login URL.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Wählen Sie auf der Seite APP-INFORMATIONEN die Option Daten manuell ausfüllen aus, geben Sie in der URL des Assertionsverbraucherdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Manually fill in Salesforce SAML information.

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Bevor Sie fortfahren, führen Sie die folgenden Schritte aus, um Informationen aus Ihrer vorhandenen Salesforce-App abzurufen.

  1. Bearbeiten Sie in PingOne Ihre vorhandene Salesforce-App.

  2. Notieren Sie sich auf der SeiteSSO-Attributzuordnung das SAML_SUBJECT Attribut und den Wert, und laden Sie dann die Signaturzertifikat - und SAML-Metadatendateien herunter.

    Note existing Salesforce app's attributes.

  3. Öffnen Sie die SAML-Metadatendatei, und notieren Sie sich den Speicherort von PingOne SingleSignOnService. Das wird später noch benötigt.

    Note existing Salesforce app's SSO service location.

  4. Notieren Sie sich auf der Seite Gruppenzugriff die zugewiesenen Gruppen.

    Note existing Salesforce app's assigned groups.

Verwenden Sie dann die Anweisungen aus der Seite SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen , um eine benutzerdefinierte App im Portal Ihres IdP zu konfigurieren.

Add SAML app with your identity provider.

Hinweis

Durch das Konfigurieren einer benutzerdefinierten App können Sie die vorhandene App mit Zugriffs- und Sitzungssteuerelementen testen, ohne das aktuelle Verhalten für Ihre Organisation zu ändern.

  1. Erstellen Sie eine neue SAML-Anwendung

    In PingOne, create new custom Salesforce app.

  2. Füllen Sie auf der SeiteAnwendungsdetails das Formular aus, und wählen Sie dann Weiter zum nächsten Schritt aus.

    Tipp

    Verwenden Sie einen App-Namen, mit dem Sie zwischen der benutzerdefinierten App und der vorhandenen Salesforce-App unterscheiden können.

    Fill out the custom app details.

  3. Führen Sie auf der SeiteAnwendungskonfiguration die folgenden Schritte aus, und wählen Sie dann Weiter zum nächsten Schritt aus.

    • Geben Sie im Feld Assertion Consumer Service (ACS) die Salesforce- Anmelde-URL ein, die Sie zuvor notiert haben.
    • Geben Sie im FedEntitäts-IDeine eindeutige ID ein, beginnend mit https://. Stellen Sie sicher, dass sich dies von der Konfiguration der beendenden Salesforce PingOne-App unterscheidet.
    • Notieren Sie sich die Entitäts-ID. Das wird später noch benötigt.

    Configure custom app with Salesforce SAML details.

  4. Fügen Sie auf der Seite SSO-AttributzuordnungSAML_SUBJECT-Attribut und -Wert der vorhandenen Salesforce-App hinzu, die Sie zuvor notiert haben, und wählen Sie dann Weiter zum nächsten Schritt aus.

    Add attributes to custom Salesforce app.

  5. Fügen Sie auf der Seite Gruppenzugriff die Gruppen der vorhandenen Salesforce-App hinzu, die Sie zuvor notiert haben, und schließen Sie die Konfiguration ab.

    Assign groups to custom Salesforce app.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

  1. Zurück auf der Seite IDENTITY PROVIDER von Defender for Cloud Apps, klicken Sie auf Weiter, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite Daten manuell ausfüllen, gehen Sie wie folgt vor, und wählen Sie dann Weiter aus.

    • Geben Sie für die Assertionsverbraucherdienst-URL-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben.
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.

    Add SSO service URL and SAML certificate.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und wählen Sie dann Weiter aus. Sie benötigen diese Informationen später.

    • Defender for Cloud Apps Single Sign-On-URL
    • Defender for Cloud Apps-Attribute und -Werte

    In Defender for Cloud Apps, note SSO URL and attributes.

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

  1. Suchen und bearbeiten Sie in PingOne die benutzerdefinierte Salesforce-App.

    Locate and edit custom Salesforce app.

  2. Ersetzen Sie im FeldAssertion Consumer Service (ACS) die URL durch die Single Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Replace ACS in custom Salesforce app.

  3. Fügen Sie die Attribute und Werte, die Sie zuvor notiert haben, zu den Eigenschaften der App hinzu.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Speichern Sie die Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps gehen Sie wie folgt vor, wählen Sie jedoch nichtFertigstellen aus. Sie benötigen diese Informationen später.

  • Kopieren Sie die SAML-URL für Single Sign-On in Defender for Cloud Apps
  • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie ein Backup Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

  3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

  4. Ersetzen Sie den Entitäts-ID-Feldwert durch die benutzerdefinierte PingOne-App-Entitäts-ID, die Sie zuvor notiert haben.

  5. Klicken Sie auf Speichern.

    Hinweis

    Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps, wählen Sie auf Fertigstellen aus. Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Nächste Schritte

« ZURÜCK: Bereitstellen der App-Steuerung für bedingten Zugriff

Siehe auch

Einführung in die App-Steuerung für bedingten Zugriff

Problembehandlung für Zugriffs- und Sitzungssteuerung

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.