Intégrer des applications de catalogue de fournisseur d’identité non-Microsoft pour le contrôle d’application d’accès conditionnel

Les contrôles d’accès et de session dans Microsoft Defender pour les applications cloud fonctionnent avec des applications de catalogue et personnalisées. Bien que Microsoft Entra ID applications soient automatiquement intégrées pour utiliser le contrôle d’application par accès conditionnel, si vous travaillez avec un fournisseur d’identité non-Microsoft, vous devez intégrer votre application manuellement.

Cet article explique comment configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps. L’intégration de votre fournisseur d’identité à Defender for Cloud Apps intègre automatiquement toutes les applications de catalogue à partir de votre fournisseur d’identité pour le contrôle d’application d’accès conditionnel.

Configuration requise

• Votre organization doit disposer des licences suivantes pour utiliser le contrôle d’application à accès conditionnel :

  • La licence requise par votre solution de fournisseur d’identité (IdP)
  • Microsoft Defender for Cloud Apps

• Les applications doivent être configurées avec l’authentification unique

• Les applications doivent être configurées avec le protocole d’authentification SAML 2.0.

L’exécution et le test complets des procédures décrites dans cet article nécessitent la configuration d’une stratégie de session ou d’accès. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Créer des stratégies d’accès Microsoft Defender for Cloud Apps
• Créer des stratégies de session Microsoft Defender for Cloud Apps

Configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

Cette procédure décrit comment router des sessions d’application d’autres solutions De fournisseur d’identité vers Defender for Cloud Apps.

Conseil

Les articles suivants fournissent des exemples détaillés de cette procédure :

• Configurer votre fournisseur d’identité PingOne
• Configurer votre fournisseur d’identité AD FS
• Configurer votre fournisseur d’identité Okta

Pour configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps :

1. Dans Microsoft Defender XDR, sélectionnez Paramètres Applications > cloud Applications > connectées Applications > d’accès conditionnel Applications de contrôle d’application.

2. Dans la page Applications de contrôle d’application par accès conditionnel , sélectionnez + Ajouter.

3. Dans la boîte de dialogue Ajouter une application SAML avec votre fournisseur d’identité , sélectionnez la liste déroulante Rechercher une application , puis sélectionnez l’application que vous souhaitez déployer. Une fois votre application sélectionnée, sélectionnez Démarrer l’Assistant.

4. Dans la page INFORMATIONS SUR L’APPLICATION de l’Assistant, chargez un fichier de métadonnées à partir de votre application ou entrez manuellement les données de l’application.

   Veillez à fournir les informations suivantes :

   • URL du service consommateur Assertion. Il s’agit de l’URL que votre application utilise pour recevoir les assertions SAML de votre fournisseur d’identité.
   • Un certificat SAML, si votre application en fournit un. Dans ce cas, sélectionnez l’option Utiliser ... Option de certificat SAML , puis chargez le fichier de certificat.

   Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

5. Dans la page IDENTITY PROVIDER de l’Assistant, suivez les instructions pour configurer une nouvelle application personnalisée dans le portail de votre fournisseur d’identité.

   Remarque

   Les étapes requises peuvent varier en fonction de votre fournisseur d’identité. Nous vous recommandons d’effectuer la configuration externe comme décrit pour les raisons suivantes :

   • Certains fournisseurs d’identité ne vous permettent pas de modifier les attributs SAML ou les propriétés d’URL d’une application de galerie/catalogue.
   • Lorsque vous configurez une application personnalisée, vous pouvez tester l’application avec Defender for Cloud Apps contrôles d’accès et de session, sans modifier le comportement configuré existant de votre organization.

   Copiez les informations de configuration de l’authentification unique de votre application pour une utilisation ultérieure dans cette procédure. Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

6. En continuant sur la page IDENTITY PROVIDER de l’Assistant, chargez un fichier de métadonnées à partir de votre fournisseur d’identité ou entrez les données d’application manuellement.

   Veillez à fournir les informations suivantes :

   • URL du service d’authentification unique. Il s’agit de l’URL que votre fournisseur d’identité utilise pour recevoir des demandes d’authentification unique.
   • Un certificat SAML, si votre fournisseur d’identité en fournit un. Dans ce cas, sélectionnez l’option Utiliser le certificat SAML du fournisseur d’identité , puis chargez le fichier de certificat.

7. En continuant sur la page IDENTITY PROVIDER de l’Assistant, copiez l’URL d’authentification unique et tous les attributs et valeurs à utiliser plus loin dans cette procédure.

   Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

8. Accédez au portail de votre fournisseur d’identité et entrez les valeurs que vous avez copiées dans la configuration de votre fournisseur d’identité. En règle générale, ces paramètres se trouvent dans la zone paramètres d’application personnalisée de votre fournisseur d’identité.

   1. Entrez l’URL d’authentification unique de votre application que vous avez copiée à l’étape précédente. Certains fournisseurs peuvent faire référence à l’URL d’authentification unique en tant qu’URL de réponse.

   2. Ajoutez les attributs et les valeurs que vous avez copiés à l’étape précédente aux propriétés de l’application. Certains fournisseurs peuvent les désigner sous le nom d’attributs utilisateur ou de revendications.

      Si vos attributs sont limités à 1 024 caractères pour les nouvelles applications, commencez par créer l’application sans les attributs appropriés, puis ajoutez-les par la suite en modifiant l’application.

   3. Vérifiez que votre identificateur de nom est au format d’une adresse e-mail.

   4. Veillez à enregistrer vos paramètres lorsque vous avez terminé.

9. De retour Defender for Cloud Apps, dans la page MODIFICATIONS DE L’APPLICATION de l’Assistant, copiez l’URL d’authentification unique SAML et téléchargez le certificat SAML Microsoft Defender for Cloud Apps. L’URL d’authentification unique SAML est une URL personnalisée pour votre application lorsqu’elle est utilisée avec Defender for Cloud Apps contrôle d’application d’accès conditionnel.

10. Accédez au portail de votre application et configurez vos paramètres d’authentification unique comme suit :

    1. (Recommandé) Créez une sauvegarde de vos paramètres actuels.
    2. Remplacez la valeur du champ URL de connexion du fournisseur d’identité par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez copiée à l’étape précédente. Le nom spécifique de ce champ peut varier en fonction de votre application.
    3. Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé à l’étape précédente.
    4. Veillez à enregistrer vos modifications.

11. Dans l’Assistant, sélectionnez Terminer pour terminer la configuration.

Après avoir enregistré les paramètres d’authentification unique de votre application avec les valeurs personnalisées par Defender for Cloud Apps, toutes les demandes de connexion associées à l’application sont routées via Defender for Cloud Apps et le contrôle d’application d’accès conditionnel.

Remarque

Le certificat SAML Defender for Cloud Apps est valide pendant 1 an. Une fois qu’il a expiré, vous devez en générer et en charger un nouveau.

Connectez-vous à votre application à l’aide d’un utilisateur limité à la stratégie

Une fois que vous avez créé votre stratégie d’accès ou de session, connectez-vous à chaque application configurée dans la stratégie. Vérifiez que vous êtes d’abord déconnecté de toutes les sessions existantes et que vous vous connectez avec un utilisateur configuré dans la stratégie.

Defender for Cloud Apps synchroniserez les détails de votre stratégie avec ses serveurs pour chaque nouvelle application à laquelle vous vous connectez. Cela peut prendre jusqu’à une minute.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Créer des stratégies d’accès Microsoft Defender for Cloud Apps
• Créer des stratégies de session Microsoft Defender for Cloud Apps

Vérifier que les applications sont configurées pour utiliser les contrôles d’accès et de session

Cette procédure explique comment vérifier que vos applications sont configurées pour utiliser des contrôles d’accès et de session dans Defender for Cloud Apps et configurer ces paramètres si nécessaire.

Remarque

Bien que vous ne puissiez pas supprimer les paramètres de contrôle de session pour une application, aucun comportement n’est modifié tant qu’une session ou une stratégie d’accès n’est pas configurée pour l’application.

1. Dans Microsoft Defender XDR, sélectionnez Paramètres Applications > cloud Applications > connectées Accès > conditionnel Applications contrôle d’application.

2. Dans le tableau des applications, recherchez votre application et case activée la valeur de la colonne Type de fournisseur d’identité. Assurez-vous que l’application d’authentification non-MS et le contrôle de session s’affichent pour votre application.

Contenu connexe

• Protéger les applications avec Microsoft Defender for Cloud Apps contrôle d’application d’accès conditionnel
• Déployer le contrôle d’application d’accès conditionnel pour les applications personnalisées avec des fournisseurs d’identité non-Microsoft
• Résolution des problèmes liés aux contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.