Intégrer des applications du catalogue IdP non-Microsoft pour le contrôle d’applications par accès conditionnel

Les contrôles d’accès et de session dans Microsoft Defender pour les applications cloud fonctionnent avec les applications du catalogue et personnalisées. Bien que les applications Microsoft Entra ID soient automatiquement intégrées pour utiliser le contrôle d’applications par accès conditionnel, si vous travaillez avec un IdP non-Microsoft, vous devrez intégrer votre application manuellement.

Cet article décrit comment configurer votre IdP pour qu'il fonctionne avec Defender pour le cloud. Intégrer votre IdP avec Defender pour le cloud intègre automatiquement toutes les applications du catalogue de votre IdP pour le contrôle d'applications par accès conditionnel.

Prérequis

• Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

  • Licence requise par votre solution fournisseur d’identité (IdP)
  • Microsoft Defender for Cloud Apps

• Les applis doivent être configurées avec l’authentification unique

• Les applications doivent être configurées avec le protocole d’authentification SAML 2.0.

Pour effectuer et tester pleinement les procédures de cet article, vous devez avoir une session ou une politique d'accès configurée. Pour plus d’informations, consultez l’article suivant :

• Créer des stratégies d’accès à Microsoft Defender pour Cloud Apps.
• Créer des stratégies de session Microsoft Defender pour Cloud Apps

Configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

Cette procédure décrit comment acheminer les sessions d’application d’autres solutions IdP vers Defender pour le cloud.

Conseil

Les articles suivants fournissent des exemples détaillés de cette procédure :

• Configurer votre fournisseur d’identité PingOne
• Configurer votre fournisseur d’identité AD FS
• Configurer votre fournisseur d’identité Okta

Pour configurer votre IdP pour fonctionner avec Defender pour le cloud :

1. Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’applications par accès conditionnel.

2. Sur la page Applications de contrôle d’applications par accès conditionnel, sélectionnez + Ajouter.

3. Dans la boîte de dialogue Ajouter une application SAML avec votre fournisseur d’identité, sélectionnez le menu déroulant Rechercher une application puis sélectionnez l’application que vous souhaitez déployer. Avec votre application sélectionnée, sélectionnez Démarrer l’assistant.

4. Sur la page INFORMATIONS SUR L’APPLICATION de l’assistant, téléchargez un fichier de métadonnées de votre application ou entrez manuellement les données de l’application.

   Assurez-vous de fournir les informations suivantes :

   • L’URL du service consommateur d’assertions. C’est l’URL que votre application utilise pour recevoir des assertions SAML de votre IdP.
   • Un certificat SAML, si votre application en fournit un. Dans ce cas, sélectionnez l’option Utiliser ... le certificat SAML, puis téléchargez le fichier du certificat.

   Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

5. Sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, suivez les instructions pour configurer une nouvelle application personnalisée dans le portail de votre IdP.

   Remarque

   Les étapes requises peuvent différer en fonction de votre IdP. Nous recommandons d’effectuer la configuration externe comme décrit pour les raisons suivantes :

   • Certains fournisseurs d’identité ne vous permettent pas de modifier les attributs SAML ou les propriétés URL d’une application de galerie/catalogue.
   • Lorsque vous configurez une application personnalisée, vous pouvez tester l’application avec les contrôles d’accès et de session de Defender pour le cloud, sans modifier le comportement configuré existant de votre organisation.

   Copiez les informations de configuration de la connexion unique de votre application pour une utilisation ultérieure dans cette procédure. Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

6. En continuant sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, téléchargez un fichier de métadonnées de votre IdP ou entrez manuellement les données de l’application.

   Assurez-vous de fournir les informations suivantes :

   • L’URL du service de connexion unique. C’est l’URL que votre IdP utilise pour recevoir des demandes de connexion unique.
   • Un certificat SAML, si votre IdP en fournit un. Dans ce cas, sélectionnez l’option Utiliser le certificat SAML du fournisseur d’identité, puis téléchargez le fichier du certificat.

7. En continuant sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, copiez à la fois l’URL de connexion unique et tous les attributs et valeurs pour une utilisation ultérieure dans cette procédure.

   Quand vous avez terminé, sélectionnez Suivant pour continuer.

8. Accédez au portail de votre IdP et entrez les valeurs que vous avez copiées dans la configuration de votre IdP. En général, ces paramètres se trouvent dans la zone des paramètres d’application personnalisée de votre IdP.

   1. Entrez l’URL de connexion unique de votre application que vous avez copiée à l’étape précédente. Certains fournisseurs peuvent faire référence à l’URL d’authentification unique comme URL de réponse.

   2. Ajoutez les attributs et valeurs que vous avez copiés de l’étape précédente aux propriétés de l’application. Certains fournisseurs peuvent y faire référence en tant qu’attributs utilisateur ou en tant que revendications.

      Si vos attributs sont limités à 1024 caractères pour les nouvelles applications, créez d’abord l’application sans les attributs pertinents, puis ajoutez-les ensuite en modifiant l’application.

   3. Vérifiez que votre identifiant de nom est au format d’une adresse e-mail.

   4. Assurez-vous d’enregistrer vos paramètres lorsque vous avez terminé.

9. De retour dans Defender pour le cloud, sur la page CHANGEMENTS D’APPLICATION de l’assistant, copiez l’URL de connexion unique SAML et téléchargez le certificat SAML de Microsoft Defender pour le cloud. L’URL de connexion unique SAML est une URL personnalisée pour votre application lorsqu’elle est utilisée avec le contrôle d’applications par accès conditionnel de Defender pour le cloud.

10. Accédez au portail de votre application et configurez vos paramètres de connexion unique comme suit :

    1. (Recommandé) créez une sauvegarde de vos paramètres actuels.
    2. Remplacez la valeur du champ de l’URL de connexion du fournisseur d’identité par l’URL de connexion unique SAML de Defender pour le cloud que vous avez copiée à l’étape précédente. Le nom spécifique de ce champ peut différer selon votre application.
    3. Téléchargez le certificat SAML de Defender pour le cloud que vous avez téléchargé à l’étape précédente.
    4. N’oubliez pas d’enregistrer vos modifications.

11. Dans l’assistant, sélectionnez Terminer pour compléter la configuration.

Après avoir enregistré les paramètres de connexion unique de votre application avec les valeurs personnalisées par Defender pour le cloud, toutes les demandes de connexion associées à l’application sont acheminées via Defender pour le cloud et le contrôle d’applications par accès conditionnel.

Remarque

Le certificat SAML de Defender pour le cloud est valable pendant 1 an. Après son expiration, vous devrez en générer un nouveau et le télécharger.

Connectez-vous à votre application en utilisant un utilisateur ciblé par la politique.

Après avoir créé votre politique d'accès ou de session, connectez-vous à chaque application configurée dans la politique. Assurez-vous d'abord de vous être déconnecté de toutes les sessions existantes, et de vous connecter avec un utilisateur configuré dans la politique.

Defender for Cloud Apps synchronise vos détails de stratégie avec ses serveurs pour chaque nouvelle application à laquelle vous vous connectez. Cette opération peut prendre jusqu’à une minute.

Pour plus d’informations, consultez l’article suivant :

• Créer des stratégies d’accès à Microsoft Defender pour Cloud Apps.
• Créer des stratégies de session Microsoft Defender pour Cloud Apps

Vérifiez que les applications sont configurées pour utiliser les contrôles d'accès et de session.

Cette procédure décrit comment vérifier que vos applications sont configurées pour utiliser les contrôles d'accès et de session dans Defender pour le cloud et configurer ces paramètres si nécessaire.

Remarque

Bien que vous ne puissiez pas supprimer les paramètres de contrôle de session pour une application, aucun comportement n'est modifié tant que vous n'avez pas configuré une politique de session ou d'accès pour l'application.

1. Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’applications par accès conditionnel.

2. Dans le tableau des applications, recherchez votre application et vérifiez la valeur de la colonne Type d'IdP. Assurez-vous que Application d'authentification non-MS et Contrôle de session apparaissent pour votre application.

Contenu connexe

• Protection des applications avec le contrôle d’application par accès conditionnel de Microsoft Defender for Cloud Apps
• Déployez le contrôle d'applications par accès conditionnel pour des applications personnalisées avec des fournisseurs d'identité non-Microsoft.
• Dépannage des contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.