Bereitstellen der App-Kontrolle für bedingten Zugriff mit AD FS als Identitätsanbieter
Zusätzlich zu PingOne können Sie Sitzungssteuerelemente in Defender für Cloud-Apps auch mit anderen Kontoanbietern konfigurieren, einschließlich AD FS.
Was ist AD FS?
Mit AD FS können Organisationen ihren Benutzern die Flexibilität bieten, sich bei Apps anmelden und authentifizieren zu können, die sich an folgenden Orten befinden:
- Einem lokalen Rechenzentrum
- Einer Partnerorganisation
- Einer Online-App
Mithilfe von AD FS kann Ihre Organisation ihre eigenen Benutzerkonten verwalten, während Benutzer das einmalige Anmelden (Single Sign-On, SSO) nutzen können und sich somit nicht mehr verschiedene Anmeldeinformationen merken müssen.
Hinweis
Weitere Informationen zu AD FS finden Sie in folgendem Dokument: Grundlegendes zu den wichtigsten AD FS-Konzepten.
Übersicht
Überprüfen Sie zunächst, ob Sie über eine vorkonfigurierte AD FS-Umgebung verfügen. Sie werden auch eine Microsoft Defender für Cloud Apps-Lizenz benötigen. Nachdem Sie sich vergewissert haben, dass Sie diese Voraussetzungen erfüllen, müssen Sie die folgenden Schritte durchführen:
- Die SSO-Einstellungen Ihrer App ermitteln
- Konfigurieren von Defender für Cloud-Apps mit den SSO-Informationen der App
- Eine neue AD FS-Konfiguration für die Vertrauensstellung einer vertrauenden Seite und für App-SSO erstellen
- Konfigurieren von Defender für Cloud-Apps mit den Informationen der AD FS-App
- Die Konfiguration der AD FS-Vertrauensstellung abschließen
- Abrufen der App-Änderungen in Defender für Cloud-Apps
- App-Änderungen abschließen
- Abschließen der Konfiguration in Defender for Cloud Apps
Schauen wir uns dieses Verfahren anhand der Beispiel-App „Salesforce“ genauer an.
Die SSO-Einstellungen der App ermitteln
Dieser Vorgang kann je nachdem, welche App konfiguriert wird, variieren. Gehen Sie für Salesforce jedoch folgendermaßen vor:
Wählen Sie Setup, dann Einstellungen und Identität, und anschließend SSO-Einstellungen.
Wählen Sie im Abschnitt SSO-Einstellungen die vorhandene AD FS-Konfiguration aus.
Notieren Sie sich auf der Seite SAM-SSO-Einstellungen die Salesforce-Login-URL. Sie benötigen diese URL später beim Konfigurieren von Defender für Cloud-Apps.
Hinweis
Falls Ihre App ein SAML-Zertifikat bereitstellt, laden Sie es herunter.
Konfigurieren von Defender für Cloud-Apps mit den SSO-Einstellungen der App
Der nächste Schritt besteht darin, die SSO-Details aus Ihrer App in Defender für Cloud-Apps einzugeben. Gehen Sie dazu wie folgt vor:
Wählen Sie in Defender für Cloud-Apps im Navigationsbereich "Untersuchen"und dann "Verbundene Apps"aus.
Wählen Sie auf der Seite Verbundene Apps die Registerkarte Apps mit App-Steuerung für bedingten Zugriff aus.
Um die Details für die neue App hinzuzufügen, klicken Sie auf das Plus-Symbol.
Geben Sie im Dialogfeld SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen den Namen der App in das Suchfeld ein, und wählen Sie dann die App aus. Geben Sie in diesem Beispiel Salesforce ein, und wählen Sie es aus.
Wählen Sie Assistent starten.
Wählen Sie auf der Seite APP-INFORMATIONEN die Option Daten manuell ausfüllen aus.
Geben Sie im Feld Assertion Consumer Service-URL die Login-URL ein, die Sie sich zuvor notiert haben, und klicken Sie dann auf Weiter. Halten Sie an diesem Punkt an.
Hinweis
Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate (SAML-Zertifikat verwenden) aus, und laden Sie die zuvor heruntergeladene Zertifikatdatei hoch.
Eine neue AD FS-Konfiguration für die Vertrauensstellung einer vertrauenden Seite und für App-SSO erstellen
Um Ausfallzeiten für Endbenutzer zu begrenzen und Ihre vorhandene, sich als gut erwiesene Konfiguration beizubehalten, empfiehlt es sich, eine neue Konfiguration für Vertrauensstellung und SSO zu erstellen. Dies ist jedoch u. U. nicht immer möglich. Wenn die zu konfigurierende App z. B. die Einrichtung mehrerer SSO-Konfigurationen nicht unterstützt, überspringen Sie das nachfolgend beschriebene Verfahren.
Hinweis
Die vertrauende Seite ist die Partei, bei der sich die App befindet. Die vertrauende Seite fungiert als Reziproke des AD FS-Authentifizierungsprozesses.
Öffnen Sie die AD FS-Verwaltungskonsole.
Überprüfen Sie im Abschnitt Vertrauensstellungen vertrauender Seiten die Eigenschaften der vorhandenen Vertrauensstellung für Ihre App, und notieren Sie sich die Einstellungen.
Wählen unter Aktionen die Option Vertrauensstellung hinzufügen aus. Konfigurieren Sie neben dem ID-Wert (bei dem es sich um einen eindeutigen Namen handeln muss) die neue Vertrauensstellung mithilfe der soeben notierten Einstellungen. Sie benötigen diese Vertrauensstellung später beim Konfigurieren von Defender für Cloud-Apps.
Öffnen Sie die Verbundmetadatendatei, und notieren Sie sich den Wert für den AD FS-SingleSignOnService-Speicherort. Sie benötigen diesen Ort später.
Erweitern Sie in der AD FS-Konsole die Option Dienst, und wählen Sie dann Zertifikate aus. Klicken Sie mit der rechten Maustaste auf das AD FS-Signaturzertifikat, und wählen Sie Zertifikat anzeigen aus.
Wählen Sie im Dialogfeld "Zertifikat" die Registerkarte "Details" aus.
Wählen Sie In Datei kopieren aus, um das Zertifikat als Base 64-codierte X.509 (.CER)-Datei zu exportieren.
Wechseln Sie zu Salesforce, und notieren Sie sich auf der Seite AD FS-SSO-Einstellungen alle Einstellungen.
Erstellen Sie eine neue SAML-Konfiguration für einmaliges Anmelden. Konfigurieren Sie neben dem Entitäts-ID-Wert (der mit der ID der Vertrauensstellung der vertrauenden Seite übereinstimmen muss) das einmalige Anmelden mithilfe der zuvor notierten Einstellungen. Diese ID wird später benötigt, wenn Sie Defender für Cloud-Apps konfigurieren.
Konfigurieren von Defender für Cloud-Apps mit den Informationen der AD FS-App
Wechseln Sie zurück zu Defender für Cloud-Apps. Gehen Sie dann wie folgt vor:
Klicken Sie im Assistenten Salesforce mit Ihrem Identitätsanbieter hinzufügen auf der Seite IDENTITÄTSANBIETER auf Weiter.
Wählen Sie auf der nächsten Seite Daten manuell eingeben aus.
Geben Sie in das Feld SSO-Dienst-URL die Salesforce-Login-URL ein, die Sie sich zuvor notiert haben.
Wählen Sie im Abschnitt SAML-Zertifikat des Identitätsanbieters hochladen die Option Durchsuchen aus, und laden Sie die zuvor heruntergeladene Zertifikatdatei hoch.
Klicken Sie auf Weiter.
Notieren Sie sich auf der nächsten Seite die folgenden Informationen für später, und klicken Sie dann auf Weiter:
- Single Sign-On-URL für Defender für Cloud-Apps
- Attribute und Werte von Defender für Cloud Apps
Die Konfiguration der AD FS-Vertrauensstellung abschließen
Wechseln Sie zurück zur AD FS-Konsole. Gehen Sie dann wie folgt vor:
Klicken Sie mit der rechten Maustaste auf die zuvor erstellte Vertrauensstellung einer vertrauenden Seite. Wählen Sie Anspruchsausstellungsrichtlinie bearbeiten (Claim Issuance Policy) aus.
Verwenden Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten im Abschnitt Transformationsregeln für die Ausstellung die Informationen aus der folgenden Tabelle, um die Schritte zum Erstellen benutzerdefinierter Regeln auszuführen.
Anspruchsregelname Benutzerdefinierte Regel McasSigningCert => issue(type="McasSigningCert", value="<value>");Dabei<value>ist der McasSigningCert-Wert aus dem Cloud App Security-Assistenten, den Sie zuvor notiert haben.McasAppId => issue(type="McasAppId", value="<value>");ist der McasAppId-Wert aus dem Defender für Cloud Apps-Assistenten, den Sie zuvor notiert haben.- Wählen Sie Regel hinzufügen und dann im Abschnitt Anspruchsregelvorlage die Option Ansprüche mithilfe benutzerdefinierter Regel senden aus, und klicken Sie dann auf Weiter.
- Geben Sie auf der Seite Regel konfigurieren außer allen Anspruchsregeln oder Attributen, die von der App, die Sie konfigurieren, benötigt werden, den/die jeweils bereitgestellten Regelnamen und Benutzerdefinierte Regel ein.
Klicken Sie auf der Seite Vertrauensstellung der vertrauenden Seite mit der rechten Maustaste auf die zuvor erstellte Vertrauensstellung, und klicken Sie dann auf Eigenschaften.
Wählen Sie die Registerkarte "Endpunkte", wählen Sie SAML Assertion Consumer-Endpunktaus, wählen Sie "Bearbeiten"aus, und ersetzen Sie die vertrauenswürdige URL durch die zuvor notierte Defender für Cloud Apps-Single Sign-On-URL, und wählen Sie dann OKaus.
Wenn Sie ein Defender für Cloud Apps-SAML-Zertifikat für den Identitätsanbieter heruntergeladen haben, wählen Sie auf der Registerkarte Signatur die Option "Zertifikatdatei hinzufügen und hochladen" und dann "OK"aus.
Speichern Sie Ihre Einstellungen.
Abrufen der App-Änderungen in Defender für Cloud-Apps
Wechseln Sie zurück zu Defender für Cloud-Apps, und führen Sie im Assistenten zum Hinzufügen von Salesforce mit Ihrem Identitätsanbieter auf der Seite APP Veränderungen das folgende Verfahren aus:
- Kopieren Sie die SAML-URLfür einmaliges Anmelden von Defender für Cloud-Apps.
- Wählen Sie den SAML-Zertifikatslink für Defender für Cloud-Apps aus, um das Zertifikat herunterzuladen.
- Wählen Sie noch NICHT Fertig stellen aus.
App-Änderungen abschließen
Kehren Sie zu Salesforce zurück. Führen Sie die folgenden Schritte aus:
- Wählen Sie Setup, dann Einstellungen und Identität, und anschließend SSO-Einstellungen.
- Es wird empfohlen, eine Sicherung Ihrer aktuellen Einstellungen zu erstellen.
- Ersetzen Sie dann den Feldwert für die Anmelde-URL des Identitätsanbieters durch die zuvor notierte SAML-SAML-URL für Defender für Cloud-Apps.
- Hochladen das Defender für Cloud Apps SAML-Zertifikat, das Sie zuvor heruntergeladen haben.
- Klicken Sie auf Speichern.
Abschließen der Konfiguration in Defender für Cloud-Apps
Wechseln Sie zu Defender für Cloud-Apps. Klicken Sie im Assistenten Salesforce mit Ihrem Identitätsanbieter hinzufügen auf der Seite APP-ÄNDERUNGEN auf Fertig stellen.
Hinweis
Nach Abschluss des Assistenten werden alle zugehörigen Anmeldeanfragen an die App durch die App-Steuerung für bedingten Zugriff geleitet.