Incorporación de aplicaciones de catálogo con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional

Los controles de acceso y sesión en Microsoft Defender for Cloud Apps funcionan con cualquier aplicación de catálogo y personalizada. Aunque las aplicaciones de Microsoft Entra ID se incorporan automáticamente para usar el control de aplicaciones de acceso condicional, si está trabajando con un IdP que no es de Microsoft, deberá incorporar la aplicación manualmente.

En este artículo se describe cómo configurar el IdP para que funcione con Defender for Cloud Apps. La integración del IdP con Defender for Cloud Apps incorpora automáticamente todas las aplicaciones del catálogo desde el IdP para el control de aplicaciones de acceso condicional.

Requisitos previos

• La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

  • La licencia requerida por la solución del proveedor de identidades (IdP)
  • Microsoft Defender for Cloud Apps

• Las aplicaciones deben configurarse con el inicio de sesión único

• Las aplicaciones deben configurarse con el protocolo de autenticación SAML 2.0.

Para realizar y probar completamente los procedimientos de este artículo es necesario que tenga configurada una directiva de sesión o acceso. Para más información, vea:

• Crear directivas de acceso de Microsoft Defender for Cloud Apps
• Crear directivas de sesión de Microsoft Defender for Cloud Apps

Configure el IdP para que funcione con Defender for Cloud Apps

En este procedimiento se describe cómo enrutar las sesiones de aplicaciones desde otras soluciones de IdP a Defender for Cloud Apps.

Sugerencia

En los artículos siguientes se proporcionan ejemplos detallados de este procedimiento:

• Configuración del IdP de PingOne
• Configure su IdP de AD FS
• Configuración del IdP de Okta

Para configurar el IdP para que funcione con Defender for Cloud Apps:

1. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

2. En la página Aplicaciones de control de aplicaciones de acceso condicional seleccione +Agregar.

3. En el cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades, seleccione la lista desplegable Buscar una aplicación y, a continuación, seleccione la aplicación que desea implementar. Con la aplicación seleccionada, seleccione Iniciar asistente.

4. En la página APP INFORMATION del asistente, cargue un archivo de metadatos desde la aplicación o escriba los datos de la aplicación manualmente.

   Asegúrese de incluir la siguiente información:

   • La URL del Servicio de consumidor de aserciones. Esta es la URL que usa la aplicación para recibir aserciones de SAML del IdP.
   • Un certificado SAML, si la aplicación proporciona uno. En tales casos, seleccione la opción Usar ... Certificado SAML y, a continuación, cargue el archivo de certificado.

   Cuando haya terminado, seleccione Siguiente para continuar.

5. En la página IDENTITY PROVIDER del asistente, siga las instrucciones para configurar una nueva aplicación personalizada en el portal del IdP.

   Nota:

   Los pasos necesarios pueden diferir, en función del IdP. Se recomienda realizar la configuración externa como se describe por los siguientes motivos:

   • Algunos proveedores de identidades no permiten cambiar los atributos SAML ni las propiedades de dirección URL de una aplicación de galería o catálogo.
   • Al configurar una aplicación personalizada, puede probar la aplicación con controles de acceso y sesión de Defender for Cloud Apps, sin cambiar el comportamiento configurado existente de la organización.

   Copie la información de configuración de inicio de sesión único de la aplicación para usarla más adelante en este procedimiento. Cuando haya terminado, seleccione Siguiente para continuar.

6. Continuando en la página IDENTITY PROVIDER del asistente, cargue un archivo de metadatos desde el IdP o escriba manualmente los datos de la aplicación.

   Asegúrese de incluir la siguiente información:

   • La URL de servicio de inicio de sesión único. Esta es la dirección URL que usa el IdP para recibir solicitudes de inicio de sesión único.
   • Un certificado SAML, si el IdP proporciona uno. En tales casos, seleccione la opción Usar certificado SAML del proveedor de identidades y, a continuación, cargue el archivo de certificado.

7. Continuando en la página IDENTITY PROVIDER del asistente, copie la dirección URL de inicio de sesión único y todos los atributos y valores para usarlos más adelante en este procedimiento.

   Cuando finalice, seleccione Next (Siguiente) para continuar.

8. Vaya al portal del IdP y escriba los valores que copió en la configuración del IdP. Normalmente, esta configuración se encuentra en el área de configuración de la aplicación personalizada del IdP.

   1. Escriba la dirección URL de inicio de sesión único de la aplicación que ha copiado del paso anterior. Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como Dirección URL de respuesta.

   2. Agregue los atributos y valores que ha copiado del paso anterior a las propiedades de la aplicación. Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.

      Si los atributos están limitados a 1024 caracteres para las nuevas aplicaciones, cree primero la aplicación sin los atributos pertinentes y agréguelos después editando la aplicación.

   3. Asegúrese de que el identificador de nombre tenga un formato de dirección de correo electrónico.

   4. Cuando haya terminado, asegúrese de guardar la configuración.

9. De nuevo en Defender for Cloud Apps, en la página APP CHANGES del asistente, copie la dirección URL de inicio de sesión único de SAML y descargue el certificado SAML de Microsoft Defender for Cloud Apps. La dirección URL de inicio de sesión único de SAML es una dirección URL personalizada para la aplicación cuando se usa con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

10. Vaya al portal de la aplicación y configure los valores de inicio de sesión único como se indica a continuación:

    1. (Recomendado) Cree una copia de seguridad de su configuración actual.
    2. Reemplace el valor del campo URL de inicio de sesión del proveedor de identidades por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que copió del paso anterior. El nombre específico de este campo puede diferir, en función de la aplicación.
    3. Cargue el certificado SAML de Defender for Cloud Apps que descargó en el paso anterior.
    4. Asegúrese de guardar los cambios.

11. En el asistente, seleccione Finalizar para completar la configuración.

Después de guardar la configuración de inicio de sesión único de la aplicación con los valores personalizados por Defender for Cloud Apps, todas las solicitudes de inicio de sesión asociadas a la aplicación se enrutan a través de Defender for Cloud Apps y el control de aplicaciones de acceso condicional.

Nota:

El certificado SAML de Defender for Cloud Apps es válido durante 1 año. Una vez que caduque, deberá generar y cargar uno nuevo.

Inicie sesión en la aplicación con un usuario cubierto por la directiva

Después de crear la directiva de acceso o sesión, inicie sesión en cada aplicación configurada en la directiva. Asegúrese de haber cerrado primero todas las sesiones existentes y de haber iniciado sesión con un usuario configurado en la directiva.

Defender for Cloud Apps sincronizará los detalles de su directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Este proceso puede tardar hasta un minuto.

Para más información, vea:

• Crear directivas de acceso de Microsoft Defender for Cloud Apps
• Crear directivas de sesión de Microsoft Defender for Cloud Apps

Compruebe que las aplicaciones estén configuradas para usar controles de acceso y de sesión

En este procedimiento se describe cómo comprobar que las aplicaciones están configuradas para usar controles de acceso y sesión en Defender for Cloud Apps y configurar esas opciones si es necesario.

Nota:

Aunque no se puede quitar la configuración del control de sesión de una aplicación, no se cambia ningún comportamiento hasta que tenga configurada una sesión o una directiva de acceso para la aplicación.

1. En Microsoft Defender XDR, seleccione Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

2. En la tabla de aplicaciones, busque la aplicación y compruebe el valor de la columna Tipo de IDP. Asegúrese de que aparecen los valores de Aplicación con autenticación no de MS y Control de sesión para la aplicación.

Contenido relacionado

• Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps
• Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con proveedores de identidad no de Microsoft
• Solución de problemas de controles de acceso y de sesión

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.