Compartir vía


Implementación del control de aplicaciones de acceso condicional para cualquier aplicación web mediante PingOne como proveedor de identidades (IdP)

Puede configurar controles de sesión en Microsoft Defender for Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP que no sea de Microsoft. En este artículo se describe cómo enrutar sesiones de aplicaciones de PingOne a Defender for Cloud Apps para controles de sesión en tiempo real.

En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se configura para usar los controles de sesión de Defender for Cloud Apps. Para configurar otras aplicaciones, realice los mismos pasos según sus requisitos.

Requisitos previos

  • La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

    • Una licencia de PingOne pertinente (necesaria para el inicio de sesión único)
    • Microsoft Defender for Cloud Apps
  • Una configuración de inicio de sesión único existente de PingOne para la aplicación mediante el protocolo de autenticación SAML 2.0

Para configurar controles de sesión para la aplicación mediante PingOne como idP

Siga estos pasos para enrutar las sesiones de la aplicación web de PingOne a Defender for Cloud Apps.

Nota:

Puede configurar la información de inicio de sesión único de SAML de la aplicación proporcionada por PingOne mediante uno de los métodos siguientes:

  • Opción 1: Cargar el archivo de metadatos SAML de la aplicación.
  • Opción 2: Proporcionar manualmente los datos SAML de la aplicación.

En los pasos siguientes, usaremos la opción 2.

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

Paso 2: Configurar Defender for Cloud Apps con la información de SAML de la aplicación

Paso 3: Crear una aplicación personalizada en PingOne

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación PingOne

Paso 5: Completar la aplicación personalizada en PingOne

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

Paso 7: Completar los cambios de la aplicación

Paso 8: Completar la configuración en Defender for Cloud Apps

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

  1. En Salesforce, vaya a Configuración> Configuración> Identidad>Configuración del inicio de sesión único.

  2. En Configuración del inicio de sesión único, seleccione el nombre de la configuración de SAML 2.0 existente.

    Seleccione Configuración de SSO de Salesforce.

  3. En la página Configuración de inicio de sesión único SAML, anote la dirección URL de inicio de sesión de Salesforce. Lo necesitará más adelante.

    Nota:

    Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.

    Seleccione Dirección URL de inicio de sesión de SSO de Salesforce.

Paso 2: configure Defender for Cloud Apps con la información SAML de la aplicación.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. Seleccione + Agregar y, en el menú emergente, seleccione la aplicación que quiere implementar y, a continuación, seleccione Iniciar el asistente.

  4. En la página INFORMACIÓN DE APLICACIÓN, seleccione Rellenar datos manualmente, en la URL del servicio de consumidor de aserciones introduzca la URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, seleccione Siguiente.

    Nota:

    Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Rellene manualmente la información de Salesforce SAML.

Paso 3: Crear una aplicación personalizada en PingOne

Antes de continuar, siga estos pasos para obtener información de la aplicación de Salesforce existente.

  1. En PingOne, edite la aplicación de Salesforce existente.

  2. En la página Asignación de atributos de SSO, anote el atributo y el valor de SAML_SUBJECT y, a continuación, descargue los archivos de certificado de firma y metadatos de SAML.

    Tenga en cuenta los atributos de la aplicación Salesforce existentes.

  3. Abra el archivo de metadatos SAML y anote la ubicación SingleSignOnService de PingOne. Lo necesitará más adelante.

    Tenga en cuenta la ubicación del servicio SSO de la aplicación Salesforce existente.

  4. En la página Acceso a grupos, anote los grupos asignados.

    Tenga en cuenta los grupos asignados de la aplicación Salesforce existentes.

A continuación, use las instrucciones de la página Agregar una aplicación SAML con el proveedor de identidades para configurar una aplicación personalizada en el portal de IdP.

Agregue la aplicación SAML con su proveedor de identidades.

Nota:

La configuración de una aplicación personalizada permite probar la aplicación existente con controles de acceso y sesión sin cambiar el comportamiento actual de la organización.

  1. Cree una nueva aplicación SAML.

    En PingOne, cree una nueva aplicación personalizada de Salesforce.

  2. En la página Detalles de la aplicación, rellene el formulario y seleccione Continuar con el paso siguiente.

    Sugerencia

    Use un nombre de aplicación que le ayudará a diferenciar entre la aplicación personalizada y la aplicación de Salesforce existente.

    Rellene los detalles de la aplicación personalizada.

  3. En la página Configuración de la aplicación, haga lo siguiente y, a continuación, seleccione Continuar con el paso siguiente.

    • En el campo Servicio de consumidor de aserciones (ACS), escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • En el campo Id. de entidad, escriba un identificador único a partir de https://. Asegúrese de que esto es diferente de la configuración de la aplicación Salesforce PingOne de salida.
    • Anote el id. de la entidad. Lo necesitará más adelante.

    Configure la aplicación personalizada con los detalles de Salesforce SAML.

  4. En la página Asignación de atributos de SSO, agregue el atributo y el valor de SAML_SUBJECT de la aplicación Salesforce existente que anotó anteriormente y, a continuación, seleccione Continuar con el paso siguiente.

    Agregue atributos a la aplicación personalizada de Salesforce.

  5. En la página Acceso a grupos, agregue los grupos de la aplicación Salesforce existentes que anotó anteriormente y complete la configuración.

    Asigne grupos a la aplicación personalizada de Salesforce.

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación PingOne

  1. De nuevo en la página PROVEEDOR DE IDENTIDADES de Defender for Cloud Apps, seleccione Siguiente para continuar.

  2. En la página siguiente, seleccione Rellenar datos manualmente, haga lo siguiente y, a continuación, seleccione Siguiente.

    • En la Dirección URL del servicio de consumidor de aserciones, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • Seleccione Cargar certificado SAML del proveedor de identidad y cargue el archivo del certificado que descargó anteriormente.

    Agregue la dirección URL del servicio SSO y el certificado SAML.

  3. En la página siguiente, anote la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información más adelante.

    • Dirección URL de inicio de sesión único de Defender for Cloud Apps
    • Atributos y valores de Defender for Cloud Apps

    En Defender for Cloud Apps, tenga en cuenta los atributos y la dirección URL de SSO.

Paso 5: Completar la aplicación personalizada en PingOne

  1. En PingOne, busque y edite la aplicación de Salesforce personalizada.

    Localice y edite la aplicación personalizada de Salesforce.

  2. En el campo Servicio de consumidor de aserciones (ACS), reemplace la dirección URL por la dirección URL de inicio de sesión único de Defender for Cloud Apps que anotó anteriormente y, a continuación, seleccione Siguiente.

    Reemplace ACS en la aplicación personalizada de Salesforce.

  3. Agregue los atributos y valores de Defender for Cloud Apps que anotó anteriormente a las propiedades de la aplicación.

    Agregue atributos de Defender for Cloud Apps a la aplicación personalizada de Salesforce.

  4. Guarde la configuración.

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

De nuevo en la página CAMBIOS DE APLICACIÓN de Defender for Cloud Apps, haga lo siguiente, pero no seleccione Finalizar. Necesitará la información más adelante.

  • Copia de la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps
  • Descarga del certificado SAML de Defender for Cloud Apps

Tenga en cuenta la dirección URL de SSO de SAML de Defender for Cloud Apps y descargue el certificado.

Paso 7: Completar los cambios de la aplicación

En Salesforce, vaya a Configuración>Configuración>Identidad>Configuración de inicio de sesión único y haga lo siguiente:

  1. Se recomienda crear una copia de seguridad de la configuración actual.

  2. Sustituya el valor del campo Dirección URL de inicio de sesión del proveedor de identidad por la dirección URL de inicio de sesión único SAML de Defender for Cloud Apps que anotó anteriormente.

  3. Cargue el certificado SAML de Defender for Cloud Apps que descargó anteriormente.

  4. Reemplace el valor del campo Id. de entidad por el identificador de entidad de la aplicación personalizada PingOne que anotó anteriormente.

  5. Seleccione Guardar.

    Nota:

    El certificado SAML de Defender for Cloud Apps es válido durante un año. Una vez expirado, deberá generarse un nuevo certificado.

    Actualice la aplicación personalizada de Salesforce con los detalles de SAML de Defender for Cloud Apps.

Paso 8: Completar la configuración en Defender for Cloud Apps

  • De nuevo en la página CAMBIOS DE APLICACIÓN de Defender for Cloud Apps, seleccione Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicaciones de acceso condicional.

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.