Incorporación de aplicaciones de catálogo que no son de Microsoft IdP para el control de aplicaciones de acceso condicional

Los controles de acceso y sesión de Microsoft Defender para aplicaciones en la nube funcionan con aplicaciones personalizadas y de catálogo. Aunque Microsoft Entra ID aplicaciones se incorporan automáticamente para usar el control de aplicaciones de acceso condicional, si trabaja con un IdP que no es de Microsoft, deberá incorporar la aplicación manualmente.

En este artículo se describe cómo configurar el IdP para que funcione con Defender for Cloud Apps. La integración del IdP con Defender for Cloud Apps incorpora automáticamente todas las aplicaciones de catálogo desde el idP para el control de aplicaciones de acceso condicional.

Requisitos previos

• Su organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

  • La licencia requerida por la solución del proveedor de identidades (IdP)
  • Microsoft Defender for Cloud Apps

• Las aplicaciones deben configurarse con el inicio de sesión único

• Las aplicaciones deben configurarse con el protocolo de autenticación SAML 2.0.

Realizar y probar completamente los procedimientos de este artículo requiere que tenga configurada una sesión o una directiva de acceso. Para más información, vea:

• Creación de directivas de acceso Microsoft Defender for Cloud Apps
• Creación de directivas de sesión de Microsoft Defender for Cloud Apps

Configurar el IdP para que funcione con Defender for Cloud Apps

En este procedimiento se describe cómo enrutar las sesiones de aplicación de otras soluciones de IdP a Defender for Cloud Apps.

Sugerencia

En los artículos siguientes se proporcionan ejemplos detallados de este procedimiento:

• Configuración del IdP de PingOne
• Configuración del idP de AD FS
• Configuración del IdP de Okta

Para configurar el IdP para que funcione con Defender for Cloud Apps:

1. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Aplicaciones > conectadas Aplicaciones de acceso condicional Aplicaciones de control de aplicaciones de acceso condicional.

2. En la página Aplicaciones de control de aplicaciones de acceso condicional , seleccione + Agregar.

3. En el cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades , seleccione la lista desplegable Buscar una aplicación y, a continuación, seleccione la aplicación que desea implementar. Con la aplicación seleccionada, seleccione Asistente para inicio.

4. En la página APP INFORMATION del asistente, cargue un archivo de metadatos desde la aplicación o escriba los datos de la aplicación manualmente.

   Asegúrese de proporcionar la siguiente información:

   • Dirección URL del servicio de consumidor de aserción. Esta es la dirección URL que usa la aplicación para recibir aserciones de SAML del IdP.
   • Un certificado SAML, si la aplicación proporciona uno. En tales casos, seleccione usar ... Opción de certificado SAML y, a continuación, cargue el archivo de certificado.

   Cuando haya terminado, seleccione Siguiente para continuar.

5. En la página PROVEEDOR DE IDENTIDADes del asistente, siga las instrucciones para configurar una nueva aplicación personalizada en el portal del IdP.

   Nota:

   Los pasos necesarios pueden diferir, en función del IdP. Se recomienda realizar la configuración externa como se describe por los siguientes motivos:

   • Algunos proveedores de identidades no permiten cambiar los atributos de SAML ni las propiedades de dirección URL de una aplicación de galería o catálogo.
   • Al configurar una aplicación personalizada, puede probar la aplicación con Defender for Cloud Apps controles de acceso y sesión, sin cambiar el comportamiento configurado existente de la organización.

   Copie la información de configuración de inicio de sesión único de la aplicación para usarla más adelante en este procedimiento. Cuando haya terminado, seleccione Siguiente para continuar.

6. Continuando en la página PROVEEDOR DE IDENTIDADes del asistente, cargue un archivo de metadatos desde el IdP o escriba manualmente los datos de la aplicación.

   Asegúrese de proporcionar la siguiente información:

   • Dirección URL del servicio de inicio de sesión único. Esta es la dirección URL que usa el IdP para recibir solicitudes de inicio de sesión único.
   • Un certificado SAML, si el IdP proporciona uno. En tales casos, seleccione la opción Usar certificado SAML del proveedor de identidades y, a continuación, cargue el archivo de certificado.

7. Continuando en la página PROVEEDOR DE IDENTIDADes del asistente, copie la dirección URL de inicio de sesión único y todos los atributos y valores para usarlos más adelante en este procedimiento.

   Cuando haya terminado, seleccione Siguiente para continuar.

8. Vaya al portal del IdP y escriba los valores que copió en la configuración de IdP. Normalmente, esta configuración se encuentra en el área de configuración de la aplicación personalizada del IdP.

   1. Escriba la dirección URL de inicio de sesión único de la aplicación que copió del paso anterior. Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como dirección URL de respuesta.

   2. Agregue los atributos y valores que copió del paso anterior a las propiedades de la aplicación. Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.

      Si los atributos están limitados a 1024 caracteres para las nuevas aplicaciones, primero cree la aplicación sin los atributos pertinentes y agréguelos después editando la aplicación.

   3. Compruebe que el identificador de nombre tiene el formato de una dirección de correo electrónico.

   4. Asegúrese de guardar la configuración cuando haya terminado.

9. De nuevo en Defender for Cloud Apps, en la página APP CHANGES del asistente, copie la dirección URL de inicio de sesión único de SAML y descargue el certificado MICROSOFT DEFENDER FOR CLOUD APPS SAML. La dirección URL de inicio de sesión único de SAML es una dirección URL personalizada para la aplicación cuando se usa con Defender for Cloud Apps control de aplicación de acceso condicional.

10. Vaya al portal de la aplicación y configure los valores de inicio de sesión único de la siguiente manera:

    1. (Recomendado) Cree una copia de seguridad de la configuración actual.
    2. Reemplace el valor del campo url de inicio de sesión del proveedor de identidades por la dirección URL de inicio de sesión único de SAML Defender for Cloud Apps que copió del paso anterior. El nombre específico de este campo puede diferir, dependiendo de la aplicación.
    3. Cargue el Defender for Cloud Apps certificado SAML que descargó en el paso anterior.
    4. Asegúrese de guardar los cambios.

11. En el asistente, seleccione Finalizar para completar la configuración.

Después de guardar la configuración de inicio de sesión único de la aplicación con los valores personalizados por Defender for Cloud Apps, todas las solicitudes de inicio de sesión asociadas a la aplicación se enrutan a través de Defender for Cloud Apps y control de aplicación de acceso condicional.

Nota:

El certificado Defender for Cloud Apps SAML es válido durante 1 año. Una vez que expire, tendrá que generar y cargar uno nuevo.

Inicie sesión en la aplicación con un usuario con el ámbito de la directiva

Después de crear la directiva de acceso o sesión, inicie sesión en cada aplicación configurada en la directiva. Asegúrese de que ha iniciado sesión por primera vez en todas las sesiones existentes y de que ha iniciado sesión con un usuario configurado en la directiva.

Defender for Cloud Apps sincronizará los detalles de la directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Esto puede tardar hasta un minuto.

Para más información, vea:

• Creación de directivas de acceso Microsoft Defender for Cloud Apps
• Creación de directivas de sesión de Microsoft Defender for Cloud Apps

Comprobación de que las aplicaciones están configuradas para usar controles de acceso y sesión

En este procedimiento se describe cómo comprobar que las aplicaciones están configuradas para usar controles de acceso y sesión en Defender for Cloud Apps y cómo configurar esas opciones si es necesario.

Nota:

Aunque no puede quitar la configuración de control de sesión de una aplicación, no se cambia ningún comportamiento hasta que tenga configurada una sesión o una directiva de acceso para la aplicación.

1. En Microsoft Defender XDR, seleccione Configuración Aplicaciones > en la nube > Aplicaciones conectadas Aplicaciones > de acceso condicional Aplicaciones de control de aplicaciones de acceso condicional.

2. En la tabla de aplicaciones, busque la aplicación y compruebe el valor de columna de tipo IDP . Asegúrese de que la aplicación de autenticación no MS y el control de sesión aparecen para la aplicación.

Contenido relacionado

• Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional
• Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con proveedores de identidades que no son de Microsoft
• Solución de problemas de acceso y controles de sesión

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.