Freigeben über


Bereitstellen der App-Steuerung für bedingten Zugriff für jede Web-App mit PingOne als Identitätsanbieter (IdP)

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit jeder Web-App und beliebigen Nicht-Microsoft-IdP arbeiten. In diesem Artikel wird beschrieben, wie Sie App-Sitzungen von PingOne an Defender for Cloud Apps für Echtzeitsitzungssteuerelemente weiterleiten.

In diesem Artikel verwenden wir die Salesforce-App als Beispiel für eine Web-App, die für die Verwendung der Defender for Cloud Apps-Sitzungssteuerung konfiguriert wird. Führen Sie zum Konfigurieren anderer Apps die gleichen Schritte gemäß ihren Anforderungen aus.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Eine relevante PingOne-Lizenz (erforderlich für Single Sign-On)
    • Microsoft Defender for Cloud Apps
  • Eine vorhandene PingOne Single Sign-On-Konfiguration für die App mit dem SAML 2.0-Authentifizierungsprotokoll

So konfigurieren Sie Sitzungssteuerelemente für Ihre App mit PingOne als IdP

Führen Sie die folgenden Schritte aus, um Ihre Web-App-Sitzungen von PingOne an Defender for Cloud Apps weiterzuleiten.

Hinweis

Mit einer der folgenden Methoden können Sie die SAML-Single Sign-On-Informationen der App konfigurieren, die von PingOne bereitgestellt werden:

  • Option 1: Hochladen der SAML-Metadatendatei der App.
  • Option 2: Manuelles Bereitstellen der SAML-Daten der App.

In den folgenden Schritten verwenden wir Option 2.

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Schritt 7: Abschließen der App-Änderungen

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

Schritt 1: Abrufen der SAML-Einstellungen für Single Sign-On Ihrer App

  1. Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen.

  2. Wählen Sie unter Single Sign-On-Einstellungen den Namen Ihrer vorhandenen SAML 2.0-Konfiguration aus.

    Wählen Sie die SSO-Einstellungen von Salesforce aus.

  3. Notieren Sie sich auf der Seite SAML Single Sign-On-Einstellungen die Salesforce-Anmelde-URL. Das wird später noch benötigt.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, laden Sie die Zertifikatdatei herunter.

    Wählen Sie die Anmelde-URL für Salesforce SSO aus.

Schritt 2: Konfigurieren von Defender for Cloud Apps mit den SAML-Informationen Ihrer App

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Wählen Sie auf der Seite APP-INFORMATIONEN die Option Daten manuell ausfüllen aus, geben Sie in der URL des Assertionsverbraucherdienst-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Hinweis

    Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Geben Sie die Salesforce-SAML-Informationen manuell ein.

Schritt 3: Erstellen einer benutzerdefinierten App in PingOne

Bevor Sie fortfahren, führen Sie die folgenden Schritte aus, um Informationen aus Ihrer vorhandenen Salesforce-App abzurufen.

  1. Bearbeiten Sie in PingOne Ihre vorhandene Salesforce-App.

  2. Notieren Sie sich auf der SeiteSSO-Attributzuordnung das SAML_SUBJECT Attribut und den Wert, und laden Sie dann die Signaturzertifikat - und SAML-Metadatendateien herunter.

    Notieren Sie sich die vorhandenen Attribute der Salesforce-App.

  3. Öffnen Sie die SAML-Metadatendatei, und notieren Sie sich den Speicherort von PingOne SingleSignOnService. Das wird später noch benötigt.

    Notieren Sie sich den SSO-Dienststandort der vorhandenen Salesforce-App.

  4. Notieren Sie sich auf der Seite Gruppenzugriff die zugewiesenen Gruppen.

    Notieren Sie sich die Gruppen, die der vorhandenen Salesforce-App zugewiesen wurden.

Verwenden Sie dann die Anweisungen aus der Seite SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen , um eine benutzerdefinierte App im Portal Ihres IdP zu konfigurieren.

Fügen Sie Ihrem Identitätsanbieter die SAML-App hinzu.

Hinweis

Durch das Konfigurieren einer benutzerdefinierten App können Sie die vorhandene App mit Zugriffs- und Sitzungssteuerelementen testen, ohne das aktuelle Verhalten für Ihre Organisation zu ändern.

  1. Erstellen Sie eine neue SAML-Anwendung

    Erstellen Sie in PingOne eine neue benutzerdefinierte Salesforce-App.

  2. Füllen Sie auf der SeiteAnwendungsdetails das Formular aus, und wählen Sie dann Weiter zum nächsten Schritt aus.

    Tipp

    Verwenden Sie einen App-Namen, mit dem Sie zwischen der benutzerdefinierten App und der vorhandenen Salesforce-App unterscheiden können.

    Geben Sie die Details der benutzerdefinierten App ein.

  3. Führen Sie auf der SeiteAnwendungskonfiguration die folgenden Schritte aus, und wählen Sie dann Weiter zum nächsten Schritt aus.

    • Geben Sie im Feld Assertion Consumer Service (ACS) die Salesforce- Anmelde-URL ein, die Sie zuvor notiert haben.
    • Geben Sie im FedEntitäts-IDeine eindeutige ID ein, beginnend mit https://. Stellen Sie sicher, dass sich dies von der Konfiguration der beendenden Salesforce PingOne-App unterscheidet.
    • Notieren Sie sich die Entitäts-ID. Das wird später noch benötigt.

    Konfigurieren Sie die benutzerdefinierte App unter Verwendung der Salesforce SAML-Details.

  4. Fügen Sie auf der Seite SSO-Attributzuordnung SAML_SUBJECT-Attribut und -Wert der vorhandenen Salesforce-App hinzu, die Sie zuvor notiert haben, und wählen Sie dann Weiter zum nächsten Schritt aus.

    Fügen Sie der benutzerdefinierten Salesforce-App Attribute hinzu.

  5. Fügen Sie auf der Seite Gruppenzugriff die Gruppen der vorhandenen Salesforce-App hinzu, die Sie zuvor notiert haben, und schließen Sie die Konfiguration ab.

    Weisen Sie der benutzerdefinierten Salesforce-App Gruppen zu.

Schritt 4: Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

  1. Zurück auf der Seite IDENTITY PROVIDER von Defender for Cloud Apps, klicken Sie auf Weiter, um fortzufahren.

  2. Wählen Sie auf der nächsten Seite Daten manuell ausfüllen, gehen Sie wie folgt vor, und wählen Sie dann Weiter aus.

    • Geben Sie für die Assertionsverbraucherdienst-URL-URL die Salesforce-Anmelde-URL ein, die Sie zuvor notiert haben.
    • Wählen Sie SAML-Zertifikat des Identitätsanbieters hochladen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.

    Fügen Sie die SSO-Dienst-URL und das SAML-Zertifikat hinzu.

  3. Notieren Sie sich auf der nächsten Seite die folgenden Informationen, und wählen Sie dann Weiter aus. Sie benötigen diese Informationen später.

    • Defender for Cloud Apps Single Sign-On-URL
    • Defender for Cloud Apps-Attribute und -Werte

    Notieren Sie sich in Defender for Cloud Apps die SSO-URL und die Attribute.

Schritt 5: Abschließen der benutzerdefinierten App in PingOne

  1. Suchen und bearbeiten Sie in PingOne die benutzerdefinierte Salesforce-App.

    Suchen Sie die benutzerdefinierte Salesforce-App und bearbeiten Sie sie.

  2. Ersetzen Sie im FeldAssertion Consumer Service (ACS) die URL durch die Single Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben, und wählen Sie dann Weiter aus.

    Ersetzen Sie ACS in der benutzerdefinierten Salesforce-App.

  3. Fügen Sie die Attribute und Werte, die Sie zuvor notiert haben, zu den Eigenschaften der App hinzu.

    Fügen Sie der benutzerdefinierten Salesforce-App Defender for Cloud Apps-Attribute hinzu.

  4. Speichern Sie die Einstellungen.

Schritt 6: Abrufen der App-Änderungen in Defender for Cloud Apps

Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps gehen Sie wie folgt vor, wählen Sie jedoch nichtFertigstellen aus. Sie benötigen diese Informationen später.

  • Kopieren Sie die SAML-URL für Single Sign-On in Defender for Cloud Apps
  • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

Notieren Sie sich die SAML-URL für Single Sign-On in Defender for Cloud Apps und laden Sie das Zertifikat herunter.

Schritt 7: Abschließen der App-Änderungen

Navigieren Sie in Salesforce zu Setup> Einstellungen> Identity>Single Sign-On Einstellungen, und gehen Sie wie folgt vor:

  1. Empfohlen: Erstellen Sie ein Backup Ihrer aktuellen Einstellungen.

  2. Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

  3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

  4. Ersetzen Sie den Entitäts-ID-Feldwert durch die benutzerdefinierte PingOne-App-Entitäts-ID, die Sie zuvor notiert haben.

  5. Klicken Sie auf Speichern.

    Hinweis

    Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

    Aktualisieren Sie die benutzerdefinierte Salesforce-App mit den SAML-Details von Defender for Cloud Apps.

Schritt 8: Abschließen der Konfiguration in Defender for Cloud Apps

  • Zurück auf der Seite APP-ÄNDERUNGEN von Defender for Cloud Apps, wählen Sie auf Fertigstellen aus. Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.