Vorherige

Nächste

Bereitstellen der App-Kontrolle für bedingten Zugriff mit PingOne als Identitätsanbieter

Abgeschlossen

Sie können Sitzungssteuerelemente in Microsoft Defender for Cloud Apps so konfigurieren, dass sie mit einer beliebigen Web-App funktionieren. Sie können diese Steuerelemente auch für die Zusammenarbeit mit Identitätsanbietern von Drittanbietern konfigurieren, sofern diese SAML 2.0 oder OpenID Connect unterstützen.

Stellen Sie zunächst sicher, dass Sie über eine relevante PingOne-Lizenz und eine Microsoft Defender for Cloud Apps-Lizenz verfügen. Sie müssen auch überprüfen, ob Sie über eine bestehende PingOne SSO-Konfiguration für die App verfügen, die Sie steuern möchten.

Wichtig

Dieses SSO muss auf dem Authentifizierungsprotokoll SAML 2.0 basieren.

Übersicht

Nachdem Sie sich vergewissert haben, dass Sie diese Voraussetzungen erfüllen, müssen Sie die folgenden Schritte durchführen:

1. Die SSO-Einstellungen der App ermitteln
2. Konfigurieren von Defender for Cloud Apps mit den SSO-Einstellungen der App
3. Erstellen einer benutzerdefinierten App in PingOne
4. Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App
5. Abschließen der Konfiguration der benutzerdefinierten App in PingOne
6. Abrufen der App-Änderungen in Defender for Cloud Apps
7. App-Änderungen abschließen
8. Abschließen der Konfiguration in Defender für Cloud-Apps

Schauen wir uns dieses Verfahren anhand der Beispiel-App „Salesforce“ genauer an.

Die SSO-Einstellungen der App ermitteln

Dieser Vorgang kann je nach der spezifischen App, die konfiguriert wird, variieren. Wählen Sie für Salesforce jedoch Setup, wählen Sie Einstellungen, wählen Sie Identität und wählen Sie dann SSO-Einstellungen. Notieren Sie sich im Abschnitt SAML 2.0 die Login-URL. Wenn ein Zertifikat definiert ist, laden Sie eine Kopie des Zertifikats herunter.

Konfigurieren von Defender for Cloud Apps mit den SSO-Einstellungen der App

Der nächste Schritt besteht darin, die SSO-Details aus Ihrer App in Defender für Cloud-Apps einzugeben. Gehen Sie dazu wie folgt vor:

1. Wählen Sie in Defender für Cloud-Apps im Navigationsbereich "Untersuchen"und dann "Verbundene Apps"aus.

2. Wählen Sie auf der Seite Verbundene Apps die Registerkarte Apps mit App-Steuerung für bedingten Zugriff aus.

3. Um die Details für die neue App hinzuzufügen, klicken Sie auf das Plus-Symbol.

4. Geben Sie im Dialogfeld SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen den Namen der App in das Suchfeld ein, und wählen Sie dann die App aus. Geben Sie in diesem Beispiel Salesforce ein, und wählen Sie es aus.

5. Wählen Sie Assistent starten.

6. Wählen Sie im Abschnitt APP-INFORMATIONEN die Option Daten manuell ausfüllen.

7. Geben Sie im Feld Assertion Consumer Service-URL die Login-URL ein, die Sie sich zuvor notiert haben, und wählen Sie dann Weiter. Halten Sie an diesem Punkt an.

   Hinweis

   Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate (SAML-Zertifikat verwenden) aus, und laden Sie die zuvor heruntergeladene Zertifikatdatei hoch.

Erstellen einer benutzerdefinierten App in PingOne

Sie müssen nun eine benutzerdefinierte App in PingOne erstellen.

Wichtig

Sie erstellen eine benutzerdefinierte App, damit Sie Einstellungen mit der vorhandenen App ohne Zugriffs- oder Sitzungssteuerung testen können, ohne das Verhalten der App für Ihre Benutzer zu ändern.

Zunächst müssen Sie einige Informationen sammeln:

1. Öffnen Sie in PingOne die App, mit der Sie arbeiten möchten. Öffnen Sie in unserem Beispiel "Salesforce".
2. Notieren Sie sich auf der Seite SSO-Attribut-Zuordnung das Attribut SAML_SUBJECT und den Wert und laden Sie dann die Dateien für das Signierzertifikat und die SAML-Metadaten herunter.
3. Öffnen Sie die heruntergeladene SAML-Metadaten-Datei und suchen Sie den Wert SingleSignOnService-Speicherort. Notieren Sie sich diesen Wert.
4. Notieren Sie sich auf der Seite Gruppenzugriff die Liste der zugewiesenen Gruppen.
5. Verwenden Sie dann die Anweisungen auf der Seite SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen, um eine benutzerdefinierte App im Portal Ihres Identitätsanbieters zu konfigurieren.

So erstellen Sie die benutzerdefinierte App:

1. Erstellen Sie eine Neue SAML-Anwendung.

2. Wenn Sie dazu aufgefordert werden, geben Sie auf der Seite Anwendungsdetails die erforderlichen Informationen ein, und wählen Sie dann Weiter zum nächsten Schritt.

3. Nehmen Sie auf der Seite Anwendungskonfiguration die folgenden Einstellungen vor:

   1. Geben Sie in das Feld SSO-Dienst-URL die Login-URL von Salesforce ein, die Sie sich zuvor notiert haben.
   2. Geben Sie im Feld Entitäts-ID eine eindeutige ID ein, die mit https:// beginnt. Diese Adresse darf nicht mit der Konfiguration der bestehenden Salesforce PingOne-App identisch sein.
   3. Notieren Sie sich die Entitäts-ID für spätere Verwendung.

4. Wählen Sie Weiter zum nächsten Schritt.

5. Geben Sie auf der Seite SSO-Attribut-Zuordnung das SAML_SUBJECT-Attribut und den Wert der bestehenden Salesforce-App ein, die Sie sich zuvor notiert haben, und wählen Sie dann Weiter zum nächsten Schritt.

6. Fügen Sie auf der Seite Gruppenzugriff die bestehenden Gruppen der Salesforce-App hinzu, die Sie sich zuvor notiert haben, und schließen Sie die Konfiguration ab.

Konfigurieren von Defender for Cloud Apps mit den Informationen der PingOne-App

Wechseln Sie zurück zum Defender for Cloud Apps-Portal.

1. Wählen Sie auf der Seite Defender for Cloud Apps IDENTITY PROVIDER die Option "Weiter"aus.

2. Wählen Sie auf der nächsten Seite die Option Daten manuell ausfüllen, und dann:

   1. Geben Sie für die Assertion Consumer Service-URL die Login-URL von Salesforce ein, die Sie sich zuvor notiert haben.
   2. Wählen Sie im Abschnitt SAML-Zertifikat des Identitätsanbieters hochladen die Option Durchsuchen und laden Sie die zuvor heruntergeladene Zertifikatsdatei hoch.

3. Wählen Sie Weiter.

4. Notieren Sie sich auf der nächsten Seite die folgenden Informationen für später, und wählen Sie dann Weiter:

   • Single Sign-On-URL für Defender for Cloud Apps
   • Attribute und Werte von Defender for Cloud Apps

Abschließen der Konfiguration der benutzerdefinierten App in PingOne

Wechseln Sie zum Portal Ihres Identitätsanbieters zurück. Wechseln Sie in diesem Fall zu PingOne. Suchen Sie die benutzerdefinierte App, die Sie zuvor erstellt haben. Wählen Sie in diesem Fall die benutzerdefinierte Salesforce-App aus, und führen Sie dann das folgende Verfahren durch:

1. Öffnen Sie die benutzerdefinierte App zur Bearbeitung.
2. Ersetzen Sie im Feld Assertion Consumer Service (ACS) die URL durch die zuvor notierte Defender for Cloud Apps-Single Sign-On-URL, und wählen Sie dann "Weiter"aus.
3. Fügen Sie die Defender for Cloud Apps Attribute und -Werte zu den Eigenschaften der App hinzu. Sie haben sich diese Details zuvor notiert.
4. Speichern Sie Ihre Einstellungen.

Abrufen der App-Änderungen in Defender for Cloud Apps

Wechseln Sie zurück zum Defender for Cloud Apps-Portal. Im Assistenten Salesforce mit Ihrem Identitätsanbieter hinzufügen, auf der Seite ÄNDERUNGEN DER APP:

1. Kopieren Sie die SAML-URLfür einmaliges Anmelden bei Defender for Cloud Apps.

2. Wählen Sie den SAML-Zertifikatlink für Defender for Cloud Apps aus, um das Zertifikat für die App herunterzuladen.

   Achtung

   Wählen Sie noch nicht Ende aus.

Abschließen der Änderungen der App

Wechseln Sie zur App. Wechseln Sie in diesem Fall zu Salesforce. Wählen Sie Setup, wählen Sie Einstellungen, wählen Sie Identität und wählen Sie dann SSO-Einstellungen. Führen Sie dann die folgenden Schritte durch:

1. Es wird empfohlen, eine Sicherung Ihrer aktuellen Einstellungen zu erstellen.

2. Ersetzen Sie dann den Feldwert für die Anmelde-URL des Identitätsanbieters durch die zuvor notierte SAML-SAML-URL für Defender für Cloud-Apps.

3. Laden Sie das zuvor heruntergeladene Defender for Cloud Apps SAML-Zertifikat hoch.

   Wichtig

   Das Defender for Cloud Apps-SAML-Zertifikat ist ein Jahr lang gültig, danach müssen Sie es erneuern.

4. Ersetzen Sie den Feldwert Entitäts-ID durch die zuvor notierte benutzerdefinierte Entitäts-ID der PingOne-App.

5. Wählen Sie Speichern.

Abschließen der Konfiguration in Defender for Cloud Apps

Wechseln Sie schließlich zum Defender for Cloud Apps-Portal. Wählen Sie im Assistenten Salesforce mit Ihrem Identitätsanbieter hinzufügen, auf der Seite ÄNDERUNGEN DER APP, Ende aus.

Hinweis

Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanfragen an die App durch die App-Steuerung für bedingten Zugriff geleitet.

Weiter