Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mit Active Directory-Verbunddienste (AD FS) (AD FS) als Identitätsanbieter (IdP)
Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und beliebigen Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von AD FS zu Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.
In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung der Defender for Cloud Apps-Sitzungssteuerung konfiguriert wird.
Voraussetzungen
Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:
- Eine vorkonfigurierte AD FS-Umgebung
- Microsoft Defender for Cloud Apps
Eine vorhandene AD FS-Konfiguration für Single Sign-On für die App mit dem SAML 2.0-Authentifizierungsprotokoll
Hinweis
Die hier aufgeführten Schritte gelten für alle Versionen von AD FS, die auf unterstützten Versionen von Windows Server ausgeführt werden.
So konfigurieren Sie Sitzungssteuerelemente für Ihre App mithilfe von AD FS als IdP
Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von AD FS an Defender for Cloud Apps weiterzuleiten.
Hinweis
Sie können die SAML-Single Sign-On-Informationen der App mithilfe einer der folgenden Methoden konfigurieren:
- Option 1: Hochladen der SAML-Metadatendatei der App.
- Option 2: Manuelles Bereitstellen der SAML-Daten der App.
In den folgenden Schritten verwenden wir Option 2.
Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App
Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App
Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für die App
Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App
Schritt 5: Abschließen der Konfiguration der vertrauenden AD FS-Seite
Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps
Schritt 7: Abschließen der App-Änderungen
Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps
Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App
Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen.
Klicken Sie unter Single-Sign-On-Einstellungen auf den Namen Ihrer vorhandenen AD FS-Konfiguration.
Notieren Sie sich auf der Seite SAML Single Sign-On-Einstellungen die Salesforce-Anmelde-URL. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.
Hinweis
Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.
Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App
Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.
Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.
Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.
Wählen Sie auf der Seite APP INFORMATION die Option Daten manuell ausfüllen aus, geben Sie in der Assertionsverbraucherdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und klicken Sie dann auf Weiter.
Hinweis
Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.
Schritt 3: Erstellen einer neuen Konfiguration der vertrauenden AD FS-Seite und Single Sign-On für die App
Hinweis
Um die Ausfallzeiten des Endbenutzers zu begrenzen und Ihre vorhandene bekannte gute Konfiguration beizubehalten, empfehlen wir, eine neue Konfiguration für vertrauende Parteien und Single Sign-On zu erstellen. Wenn dies nicht möglich ist, überspringen Sie die relevanten Schritte. Wenn die von Ihnen konfigurierte App beispielsweise das Erstellen mehrerer Single Sign-On-Konfigurationen nicht unterstützt, überspringen Sie den Schritt zum Erstellen eines neuen Single Sign-On.
Zeigen Sie in der AD FS-Verwaltungskonsole unter Vertrauensstellungen der vertrauenden Seite die Eigenschaften Ihrer vorhandenen Vertrauensstellung der vertrauenden Seite für Ihre App an, und notieren Sie sich die Einstellungen.
Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen. Außer dem Bezeichnerwert, der ein eindeutiger Name sein muss, konfigurieren Sie die neue Vertrauensstellung mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen diese Vertrauensstellung später beim Konfigurieren von Defender for Cloud Apps.
Öffnen Sie die Verbundmetadatendatei, und notieren Sie sich den AD FS SingleSignOnService-Speicherort. Das wird später noch benötigt.
Hinweis
Sie können den folgenden Endpunkt verwenden, um auf Ihre Verbundmetadatendatei zuzugreifen:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Laden Sie das Signaturzertifikat des Identitätsanbieters herunter. Das wird später noch benötigt.
Klicken Sie unter Dienste>Zertifikate mit der rechten Maustaste auf das AD FS-Signaturzertifikat, und wählen Sie dann Zertifikat anzeigen aus.
Klicken Sie auf der Registerkarte „Details“ des Zertifikats auf In Datei kopieren, und führen Sie die Schritte im Zertifikatexport-Assistenten aus, um Ihr Zertifikat alsBase-64 encoded X.509 (.CER) Datei zu exportieren.
Zurück in Salesforce notieren Sie sich auf der Seite mit den Einstellungen für Single Sign-On von AD FS alle Einstellungen.
Erstellen Sie eine neue SAML-Single Sign-On-Konfiguration. Konfigurieren Sie neben dem Entitäts-ID-Wert, der mit demVertrauensbezeichnerder vertrauenden Seite übereinstimmen muss, Single Sign-On mithilfe der Einstellungen, die Sie zuvor notiert haben. Sie benötigen dies später beim Konfigurieren von Defender for Cloud Apps.
Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der AD FS-App
Zurück auf der Seite IDENTITY PROVIDER von Defender for Cloud Apps, klicken Sie auf Weiter, um fortzufahren.
Wählen Sie auf der nächsten Seite die Option Daten manuell eingeben aus, führen Sie die folgenden Schritte aus und klicken Sie dann auf Weiter.
- Geben Sie für die Single Sign-On-Service-URL die zuvor notierte Salesforce-Anmelde-URL ein
- Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.
Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und klicken Sie dann auf Weiter. Sie benötigen diese Informationen später.
- Defender for Cloud Apps Single Sign-On-URL
- Defender for Cloud Apps-Attribute und -Werte
Hinweis
Wenn eine Option zum Hochladen des Defender for Cloud Apps SAML-Zertifikats für den Identitätsanbieter angezeigt wird, klicken Sie auf den Link, um die Zertifikatdatei herunterzuladen. Das wird später noch benötigt.
Schritt 5: Abschließen der Konfiguration der VERTRAUENSSTELLUNG der vertrauenden AD FS-Seite
Kehren Sie zurück zur AD FS Managementkonsole, klicken Sie mit der rechten Maustaste auf die zuverlässige Vertrauensstelle, die Sie erstellt haben, und wählen Sie dann Anspruchsausstellungsrichtlinie bearbeiten aus.
Verwenden Sie im DialogfeldAnspruchsausstellungsrichtlinie bearbeiten unter Regeln zur Ausstellungstransformation die in der folgenden Tabelle bereitgestellten Informationen, um die Schritte zum Erstellen benutzerdefinierter Regeln auszuführen.
Name der Anspruchsregel Benutzerdefinierte Regel McasSigningCert => issue(type="McasSigningCert", value="<value>");
dabei ist<value>
der McasSigningCert-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben.McasAppId => issue(type="McasAppId", value="<value>");
ist der McasAppId-Wert aus dem Defender for Cloud Apps-Assistenten, den Sie zuvor notiert haben- Klicken Sie Regel hinzufügen unter Anspruchsregelvorlage die Option Ansprüche mithilfe einer benutzerdefinierten Regel senden aus, und klicken Sie dann auf Weiter.
- Geben Sie auf der Regel konfigurieren den entsprechenden Anspruchsregelnamen und die angegebenebenutzerdefinierte Regel ein.
Hinweis
Diese Regeln sind zusätzlich zu allen Anspruchsregeln oder Attributen aufgeführt, die von der app benötigt werden, die Sie konfigurieren.
Klicken Sie zurück auf der Vertrauensstellungsseite mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben, und wählen Sie dannEigenschaften.
Wählen Sie auf der Registerkarte Endpunktedie Option SAML Assertion Consumer Endpoint aus, klicken Sie auf Bearbeiten, ersetzen Sie die vertrauenswürdige URL durch die Single Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben, und klicken Sie dann auf OK.
Wenn Sie ein Defender for Cloud Apps SAML-Zertifikat für den Identitätsanbieter heruntergeladen haben, klicken Sie auf der Registerkarte Signatur auf Hinzufügen, und laden Sie die Zertifikatdatei hoch, und klicken Sie dann auf OK.
Speichern Sie die Einstellungen.
Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps
Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps gehen Sie wie folgt vor, wählen Sie jedoch nichtFertigstellen aus. Sie benötigen diese Informationen später.
- Kopieren Sie die SAML-URL für Single Sign-On in Defender for Cloud Apps
- Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter
Schritt 7: Abschließen der App-Änderungen
Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen, und gehen Sie wie folgt vor:
Empfohlen: Erstellen Sie ein Backup Ihrer aktuellen Einstellungen.
Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.
Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.
Klicken Sie auf Speichern.
Hinweis
Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.
Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps
- Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps, klicken Sie auf Fertigstellen. Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.
Zugehöriger Inhalt
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.