Incorporación de aplicaciones personalizadas con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional

Los controles de acceso y sesión en Microsoft Defender for Cloud Apps funcionan con cualquier aplicación de catálogo y personalizada. Aunque las aplicaciones de Microsoft Entra ID se incorporan automáticamente para usar el control de aplicaciones de acceso condicional, si está trabajando con un IdP que no es de Microsoft, deberá incorporar la aplicación manualmente.

En este artículo se describe cómo configurar el IdP para que funcione con Defender for Cloud Apps y, a continuación, incorporar manualmente cada aplicación personalizada. En cambio, las aplicaciones de catálogo con un IdP que no es de Microsoft se incorporan automáticamente al configurar la integración entre el IdP y Defender for Cloud Apps.

Requisitos previos

• La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

  • La licencia requerida por la solución del proveedor de identidades (IdP)
  • Microsoft Defender for Cloud Apps

• Las aplicaciones deben configurarse con el inicio de sesión único

• Las aplicaciones deben configurarse con el protocolo de autenticación SAML 2.0.

Adición de administradores a la lista de incorporación y mantenimiento de aplicaciones

1. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Control de aplicaciones de acceso condicional > Incorporación y mantenimiento de aplicaciones.

2. Escriba los nombres de usuario o los correos electrónicos de los usuarios que van a incorporar la aplicación y, a continuación, seleccione Guardar.

Para obtener más información, consulte Diagnóstico y solución de problemas con la barra de herramientas Vista de administrador.

Configure el IdP para que funcione con Defender for Cloud Apps

En este procedimiento se describe cómo enrutar las sesiones de aplicaciones desde otras soluciones de IdP a Defender for Cloud Apps.

Sugerencia

En los artículos siguientes se proporcionan ejemplos detallados de este procedimiento:

• Configuración del IdP de PingOne
• Configure su IdP de AD FS
• Configuración del IdP de Okta

Para configurar el IdP para que funcione con Defender for Cloud Apps:

1. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

2. En la página Aplicaciones de control de aplicaciones de acceso condicional seleccione +Agregar.

3. En el cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades, seleccione la lista desplegable Buscar una aplicación y, a continuación, seleccione la aplicación que desea implementar. Con la aplicación seleccionada, seleccione Iniciar asistente.

4. En la página APP INFORMATION del asistente, cargue un archivo de metadatos desde la aplicación o escriba los datos de la aplicación manualmente.

   Asegúrese de incluir la siguiente información:

   • La URL del Servicio de consumidor de aserciones. Esta es la URL que usa la aplicación para recibir aserciones de SAML del IdP.
   • Un certificado SAML, si la aplicación proporciona uno. En tales casos, seleccione la opción Usar ... Certificado SAML y, a continuación, cargue el archivo de certificado.

   Cuando haya terminado, seleccione Siguiente para continuar.

5. En la página IDENTITY PROVIDER del asistente, siga las instrucciones para configurar una nueva aplicación personalizada en el portal del IdP.

   Nota:

   Los pasos necesarios pueden diferir, en función del IdP. Se recomienda realizar la configuración externa como se describe por los siguientes motivos:

   • Algunos proveedores de identidades no permiten cambiar los atributos SAML ni las propiedades de dirección URL de una aplicación de galería o catálogo.
   • Al configurar una aplicación personalizada, puede probar la aplicación con controles de acceso y sesión de Defender for Cloud Apps, sin cambiar el comportamiento configurado existente de la organización.

   Copie la información de configuración de inicio de sesión único de la aplicación para usarla más adelante en este procedimiento. Cuando haya terminado, seleccione Siguiente para continuar.

6. Continuando en la página IDENTITY PROVIDER del asistente, cargue un archivo de metadatos desde el IdP o escriba manualmente los datos de la aplicación.

   Asegúrese de incluir la siguiente información:

   • La URL de servicio de inicio de sesión único. Esta es la dirección URL que usa el IdP para recibir solicitudes de inicio de sesión único.
   • Un certificado SAML, si el IdP proporciona uno. En tales casos, seleccione la opción Usar certificado SAML del proveedor de identidades y, a continuación, cargue el archivo de certificado.

7. Continuando en la página IDENTITY PROVIDER del asistente, copie la dirección URL de inicio de sesión único y todos los atributos y valores para usarlos más adelante en este procedimiento.

   Cuando finalice, seleccione Next (Siguiente) para continuar.

8. Vaya al portal del IdP y escriba los valores que copió en la configuración del IdP. Normalmente, esta configuración se encuentra en el área de configuración de la aplicación personalizada del IdP.

   1. Escriba la dirección URL de inicio de sesión único de la aplicación que ha copiado del paso anterior. Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como Dirección URL de respuesta.

   2. Agregue los atributos y valores que ha copiado del paso anterior a las propiedades de la aplicación. Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.

      Si los atributos están limitados a 1024 caracteres para las nuevas aplicaciones, cree primero la aplicación sin los atributos pertinentes y agréguelos después editando la aplicación.

   3. Asegúrese de que el identificador de nombre tenga un formato de dirección de correo electrónico.

   4. Cuando haya terminado, asegúrese de guardar la configuración.

9. De nuevo en Defender for Cloud Apps, en la página APP CHANGES del asistente, copie la dirección URL de inicio de sesión único de SAML y descargue el certificado SAML de Microsoft Defender for Cloud Apps. La dirección URL de inicio de sesión único de SAML es una dirección URL personalizada para la aplicación cuando se usa con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

10. Vaya al portal de la aplicación y configure los valores de inicio de sesión único como se indica a continuación:

    1. (Recomendado) Cree una copia de seguridad de su configuración actual.
    2. Reemplace el valor del campo URL de inicio de sesión del proveedor de identidades por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que copió del paso anterior. El nombre específico de este campo puede diferir, en función de la aplicación.
    3. Cargue el certificado SAML de Defender for Cloud Apps que descargó en el paso anterior.
    4. Asegúrese de guardar los cambios.

11. En el asistente, seleccione Finalizar para completar la configuración.

Después de guardar la configuración de inicio de sesión único de la aplicación con los valores personalizados por Defender for Cloud Apps, todas las solicitudes de inicio de sesión asociadas a la aplicación se enrutan a través de Defender for Cloud Apps y el control de aplicaciones de acceso condicional.

Nota:

El certificado SAML de Defender for Cloud Apps es válido durante 1 año. Una vez que caduque, deberá generar uno nuevo.

Incorpore la aplicación para el control de aplicaciones de acceso condicional

Si está trabajando con una aplicación personalizada que no se rellena automáticamente en el catálogo de aplicaciones, deberá agregarla manualmente.

Para comprobar si la aplicación ya se ha agregado:

1. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

2. Seleccione el menú desplegable Aplicación: Seleccionar aplicaciones... para buscar su aplicación.

Si la aplicación ya aparece, continúe con el procedimiento para aplicaciones de catálogo en su lugar.

Para agregar la aplicación manualmente:

1. Si tiene nuevas aplicaciones, verá un banner en la parte superior de la página que le notifica que tiene nuevas aplicaciones para incorporar. Seleccione el vínculo Ver nuevas aplicaciones para verlas.

2. En el cuadro de diálogo Aplicaciones de Azure AD detectadas, busque la aplicación, por ejemplo, mediante el valor de URL de inicio de sesión. Seleccione el botón + y, a continuación, Agregar para incorporarla como una aplicación personalizada.

Instalación de certificados raíz

Asegúrese de que usa los certificados de CA actual o CA siguiente correctos para cada una de las aplicaciones.

Para instalar los certificados, repita el paso siguiente para cada certificado:

1. Abra e instale el certificado, seleccionando Usuario actual o Máquina local.

2. Cuando se le pregunte dónde desea colocar los certificados, vaya a Entidades de certificación raíz de confianza.

3. Seleccione Aceptar y Finalizar según sea necesario para completar el procedimiento.

4. Reinicie el explorador, vuelva a abrir la aplicación y seleccione Continuar cuando se le solicite.

5. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Control de aplicaciones de acceso condicional y asegúrese de que la aplicación sigue apareciendo en la tabla.

Para obtener más información, consulte La aplicación no aparece en la página Aplicaciones de control de aplicaciones de acceso condicional.

Contenido relacionado

• Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps
• Implementación del control de aplicaciones de acceso condicional para aplicaciones de catálogo con IdP no de Microsoft
• Solución de problemas de controles de acceso y de sesión

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.