Freigeben über


Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mit Active Directory-Verbunddienste (AD FS) (AD FS) als Identitätsanbieter (IdP)

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und beliebigen Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von AD FS zu Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung der Defender for Cloud Apps-Sitzungssteuerung konfiguriert wird.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Eine vorkonfigurierte AD FS-Umgebung
    • Microsoft Defender for Cloud Apps
  • Eine vorhandene AD FS-Konfiguration für Single Sign-On für die App mit dem SAML 2.0-Authentifizierungsprotokoll

Hinweis

Die hier aufgeführten Schritte gelten für alle Versionen von AD FS, die auf unterstützten Versionen von Windows Server ausgeführt werden.

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mithilfe von AD FS als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von AD FS an Defender for Cloud Apps weiterzuleiten.

Hinweis

Sie können die SAML-Single Sign-On-Informationen der App mithilfe einer der folgenden Methoden konfigurieren:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für die App

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

Schritt 5: Abschließen der Konfiguration der vertrauenden AD FS-Seite

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

  1. Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen.

  2. Klicken Sie unter Single-Sign-On-Einstellungen auf den Namen Ihrer vorhandenen AD FS-Konfiguration.

    Wählen Sie die SSO-Einstellungen von Salesforce aus.

  3. Notieren Sie sich auf der Seite SAML Single Sign-On-Einstellungen die Salesforce-Anmelde-URL. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Wählen Sie die Anmelde-URL für Salesforce SSO aus.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Wählen Sie auf der Seite APP INFORMATION die Option Daten manuell ausfüllen aus, geben Sie in der Assertionsverbraucherdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und klicken Sie dann auf Weiter.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Geben Sie die Salesforce-SAML-Informationen manuell ein.

Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für die App

Hinweis

Um die Ausfallzeiten des Endbenutzers zu begrenzen und Ihre vorhandene bekannte gute Konfiguration beizubehalten, empfehlen wir, eine neue Konfiguration für vertrauende Parteien und Single Sign-On zu erstellen. Wenn dies nicht möglich ist, überspringen Sie die relevanten Schritte. Wenn die von Ihnen konfigurierte App beispielsweise das Erstellen mehrerer Single Sign-On-Konfigurationen nicht unterstützt, überspringen Sie den Schritt zum Erstellen eines neuen Single Sign-On.

  1. Zeigen Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite die Eigenschaften Ihrer vorhandenen Vertrauensstellung der vertrauenden Seite für Ihre App an, und notieren Sie sich die Einstellungen.

  2. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen. Außer dem Bezeichnerwert, der ein eindeutiger Name sein muss, konfigurieren Sie die neue Vertrauensstellung mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen diese Vertrauensstellung später beim Konfigurieren von Defender for Cloud Apps.

  3. Öffnen Sie die Verbundmetadatendatei, und notieren Sie sich den AD FS SingleSignOnService-Speicherort. Das wird später noch benötigt.

    Hinweis

    Sie können den folgenden Endpunkt verwenden, um auf Ihre Verbundmetadatendatei zuzugreifen: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Notieren Sie sich den SSO-Dienststandort der vorhandenen Salesforce-App.

  4. Laden Sie das Signaturzertifikat des Identitätsanbieters herunter. Das wird später noch benötigt.

    1. Klicken Sie unter Dienste>Zertifikate mit der rechten Maustaste auf das AD FS-Signaturzertifikat, und wählen Sie dann Zertifikat anzeigen aus.

      Zeigen Sie die Signaturzertifikateigenschaften des IdP an.

    2. Klicken Sie auf der Registerkarte „Details“ des Zertifikats auf In Datei kopieren, und führen Sie die Schritte im Zertifikatexport-Assistenten aus, um Ihr Zertifikat alsBase-64 encoded X.509 (.CER) Datei zu exportieren.

      Speichern Sie die IdP-Signaturzertifikatdatei.

  5. Zurück in Salesforce notieren Sie sich auf der Seite mit den Einstellungen für Single Sign-On von AD FS alle Einstellungen.

  6. Erstellen Sie eine neue SAML-Single Sign-On-Konfiguration. Konfigurieren Sie neben dem Entitäts-ID-Wert, der mit demVertrauensbezeichnerder vertrauenden Seite übereinstimmen muss, Single Sign-On mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App

  1. Zurück auf der Seite IDENTITY PROVIDER von Defender for Cloud Apps, klicken Sie auf Weiter, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite die Option Daten manuell eingeben aus, führen Sie die folgenden Schritte aus und klicken Sie dann auf Weiter.

    • Geben Sie für die Single Sign-On-Service-URL die zuvor notierte Salesforce-Anmelde-URL ein
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.

    Fügen Sie die SSO-Dienst-URL und das SAML-Zertifikat hinzu.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und klicken Sie dann auf Weiter. Sie benötigen diese Informationen später.

    • Defender for Cloud Apps Single Sign-On-URL
    • Defender for Cloud Apps-Attribute und -Werte

    Hinweis

    Wenn eine Option zum Hochladen des Defender for Cloud Apps SAML-Zertifikats für den Identitätsanbieter angezeigt wird, klicken Sie auf den Link, um die Zertifikatdatei herunterzuladen. Das wird später noch benötigt.

    Notieren Sie sich in Defender for Cloud Apps die SSO-URL und die Attribute.

Schritt 5: Abschließen der Konfiguration der VERTRAUENSSTELLUNG der vertrauenden AD FS-Seite

  1. Kehren Sie zurück zur AD FS Managementkonsole, klicken Sie mit der rechten Maustaste auf die zuverlässige Vertrauensstelle, die Sie erstellt haben, und wählen Sie dann Anspruchsausstellungsrichtlinie bearbeiten aus.

    Suchen Sie die Anspruchsausstellung der zuverlässigen Vertrauensstelle und bearbeiten Sie sie.

  2. Verwenden Sie im DialogfeldAnspruchsausstellungsrichtlinie bearbeiten unter Regeln zur Ausstellungstransformation die in der folgenden Tabelle bereitgestellten Informationen, um die Schritte zum Erstellen benutzerdefinierter Regeln auszuführen.

    Name der Anspruchsregel Benutzerdefinierte Regel
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); dabei ist <value> der McasSigningCert-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben.
    McasAppId => issue(type="McasAppId", value="<value>"); ist der McasAppId-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben
    1. Klicken Sie Regel hinzufügen unter Anspruchsregelvorlage die Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus, und klicken Sie dann auf Weiter.
    2. Geben Sie auf der Regel konfigurieren den entsprechenden Anspruchsregelnamen und die angegebenebenutzerdefinierte Regel ein.

    Hinweis

    Diese Regeln sind zusätzlich zu allen Anspruchsregeln oder Attributen aufgeführt, die von der app benötigt werden, die Sie konfigurieren.

  3. Klicken Sie zurück auf der Vertrauensstellungsseite mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben, und wählen Sie dannEigenschaften.

  4. Wählen Sie auf der Registerkarte Endpunktedie Option SAML Assertion Consumer Endpoint aus, klicken Sie auf Bearbeiten, ersetzen Sie die vertrauenswürdige URL durch die Single Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben, und klicken Sie dann auf OK.

    Aktualisieren Sie die Eigenschaften des vertrauenden Endpunkts der vertrauenswürdigen URL.

  5. Wenn Sie ein Defender for Cloud Apps SAML-Zertifikat für den Identitätsanbieter heruntergeladen haben, klicken Sie auf der Registerkarte Signatur auf Hinzufügen, und laden Sie die Zertifikatdatei hoch, und klicken Sie dann auf OK.

    Aktualisieren Sie die Eigenschaften der vertrauenden Signatur des SAML-Zertifikats.

  6. Speichern Sie die Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps gehen Sie wie folgt vor, wählen Sie jedoch nichtFertigstellen aus. Sie benötigen diese Informationen später.

  • Kopieren Sie die SAML-URL für Single Sign-On in Defender for Cloud Apps
  • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

Notieren Sie sich die SAML-URL für Single Sign-On in Defender for Cloud Apps und laden Sie das Zertifikat herunter.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie ein Backup Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

  3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

  4. Klicken Sie auf Speichern.

    Hinweis

    Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps, klicken Sie auf Fertigstellen. Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.