Megosztás a következőn keresztül:


Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely webalkalmazáshoz Active Directory összevonási szolgáltatások (AD FS) (AD FS) identitásszolgáltatóként (IdP)

Az Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja az alkalmazás munkameneteit az AD FS-ből Felhőhöz készült Defender Alkalmazásokba valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást használjuk példaként arra, hogy egy webalkalmazást konfigurálunk Felhőhöz készült Defender Alkalmazások munkamenet-vezérlőinek használatára.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Előre konfigurált AD FS-környezet
    • Microsoft Defender for Cloud Apps
  • Meglévő AD FS egyszeri bejelentkezési konfiguráció az alkalmazáshoz az SAML 2.0 hitelesítési protokoll használatával

Feljegyzés

Az itt ismertetett lépések az AD FS minden olyan verziójára vonatkoznak, amely a Windows Server támogatott verzióján fut.

Az alkalmazás munkamenet-vezérlőinek konfigurálása az AD FS-sel idP-ként

Az alábbi lépésekkel átirányíthatja a webalkalmazás-munkameneteket az AD FS-ből az Felhőhöz készült Defender-alkalmazásokba.

Feljegyzés

Az alkalmazás SAML egyszeri bejelentkezési adatait az AD FS az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

3. lépés: Hozzon létre egy új AD FS függő entitás megbízhatóságát és az alkalmazás egyszeri bejelentkezési konfigurációját.

4. lépés: Az Felhőhöz készült Defender-alkalmazások konfigurálása az AD FS-alkalmazás adataival

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítási>beállítások>identitás>egyszeri bejelentkezési beállításait.

  2. Az egyszeri bejelentkezés beállításai területen kattintson a meglévő AD FS-konfiguráció nevére.

    Válassza a Salesforce SSO beállításait.

  3. Az SAML egyszeri bejelentkezés beállítási lapján jegyezze fel a Salesforce bejelentkezési URL-címét. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Válassza a Salesforce SSO bejelentkezési URL-címét.

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.

  4. Az ALKALMAZÁSINFORMÁCIÓk lapon válassza az Adatok manuális kitöltése lehetőséget, az Assertion fogyasztói szolgáltatás URL-címében adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet, majd kattintson a Tovább gombra.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Adja meg manuálisan a Salesforce SAML-adatait.

3. lépés: Új AD FS-függő entitás megbízhatósági és alkalmazás egyszeri bejelentkezési konfigurációjának létrehozása

Feljegyzés

A végfelhasználói állásidő korlátozásához és a meglévő jól ismert konfiguráció megőrzéséhez javasoljuk, hogy hozzon létre egy új függő entitás megbízhatósági és egyszeri bejelentkezési konfigurációját. Ha ez nem lehetséges, hagyja ki a megfelelő lépéseket. Ha például a konfigurálni kívánt alkalmazás nem támogatja több egyszeri bejelentkezéses konfiguráció létrehozását, hagyja ki az új egyszeri bejelentkezési lépést.

  1. Az AD FS Felügyeleti konzol Függő entitások megbízhatósága területén tekintse meg az alkalmazás meglévő függő entitás megbízhatóságának tulajdonságait, és jegyezze fel a beállításokat.

  2. A Műveletek csoportban kattintson a Függő entitás megbízhatóságának hozzáadása elemre. Az egyedi névvel rendelkező azonosító értéken kívül konfigurálja az új megbízhatósági kapcsolatot a korábban megadott beállításokkal. A Felhőhöz készült Defender-alkalmazások konfigurálásakor később szüksége lesz erre a megbízhatóságra.

  3. Nyissa meg az összevonási metaadatfájlt, és jegyezze fel az AD FS SingleSignOnService helyét. Később szüksége lesz rá.

    Feljegyzés

    Az összevonási metaadatfájl eléréséhez az alábbi végpontot használhatja: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Jegyezze fel a Meglévő Salesforce-alkalmazás SSO-szolgáltatásának helyét.

  4. Töltse le az identitásszolgáltató aláíró tanúsítványát. Később szüksége lesz rá.

    1. A Szolgáltatástanúsítványok> csoportban kattintson a jobb gombbal az AD FS aláíró tanúsítványára, majd válassza a Tanúsítvány megtekintése lehetőséget.

      IdP aláíró tanúsítvány tulajdonságainak megtekintése.

    2. A tanúsítvány részletei lapon kattintson a Másolás fájlba elemre, és a Tanúsítvány exportálása varázsló lépéseit követve exportálja a tanúsítványt Base-64 kódolású X.509 -ként (. CER) fájl.

      IdP aláíró tanúsítványfájl mentése.

  5. A Salesforce-ban a meglévő AD FS egyszeri bejelentkezési beállítások lapján jegyezze fel az összes beállítást.

  6. Hozzon létre egy új SAML egyszeri bejelentkezési konfigurációt. A függő entitás megbízhatósági azonosítójának megfelelő entitásazonosítón kívül konfigurálja az egyszeri bejelentkezést a korábban megadott beállításokkal. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

4. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az AD FS-alkalmazás adataival

  1. A folytatáshoz kattintson a Tovább gombra az Felhőhöz készült Defender Alkalmazások identitásszolgáltatója lapon.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, tegye a következőket, majd kattintson a Tovább gombra.

    • Az egyszeri bejelentkezési szolgáltatás URL-címeként adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet.
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    SSO-szolgáltatás URL-címének és SAML-tanúsítványának hozzáadása.

  3. A következő lapon jegyezze fel a következő információkat, majd kattintson a Tovább gombra. Később szüksége lesz az információkra.

    • Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címe
    • Felhőhöz készült Defender Alkalmazások attribútumai és értékei

    Feljegyzés

    Ha megjelenik egy lehetőség az identitásszolgáltató Felhőhöz készült Defender Apps SAML-tanúsítványának feltöltésére, kattintson a hivatkozásra a tanúsítványfájl letöltéséhez. Később szüksége lesz rá.

    Az Felhőhöz készült Defender-alkalmazásokban jegyezze fel az egyszeri bejelentkezés URL-címét és attribútumait.

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

  1. Az AD FS Felügyeleti konzolon kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Jogcímkiállítási szabályzat szerkesztése lehetőséget.

    Megbízható megbízhatósági jogcím kiállításának megkeresése és szerkesztése.

  2. A Jogcímkiállítási szabályzat szerkesztése párbeszédpanel Kiállítási átalakítási szabályok csoportjában az alábbi táblázatban megadott információk segítségével hajtsa végre az egyéni szabályok létrehozásának lépéseit.

    Jogcímszabály neve Egyéni szabály
    McasSigningCert => issue(type="McasSigningCert", value="<value>");hol <value> található a McasSigningCert értéke a korábban feljegyzett Felhőhöz készült Defender Alkalmazások varázslóból
    McasAppId => issue(type="McasAppId", value="<value>");a korábban feljegyzett Felhőhöz készült Defender Alkalmazások varázsló McasAppId értéke
    1. Kattintson a Szabály hozzáadása elemre, majd a Jogcímszabály sablon alatt válassza a Jogcímek küldése egyéni szabály használatával lehetőséget, majd kattintson a Tovább gombra.
    2. A Szabály konfigurálása lapon adja meg a megfelelő jogcímszabály nevét és az egyéni szabályt.

    Feljegyzés

    Ezek a szabályok a konfigurálni kívánt alkalmazás által megkövetelt jogcímszabályokon vagy attribútumokon kívül vannak.

  3. A Függő entitás megbízhatósága lapon kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Tulajdonságok lehetőséget.

  4. A Végpontok lapon válassza az SAML Assertion Consumer Endpoint lehetőséget, kattintson a Szerkesztés gombra, és cserélje le a megbízható URL-címet a korábban feljegyzett Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címére, majd kattintson az OK gombra.

    Frissítse a megbízható végpont tulajdonságainak megbízható URL-címét.

  5. Ha letöltött egy Felhőhöz készült Defender Apps SAML-tanúsítványt az identitásszolgáltatóhoz, az Aláírás lapon kattintson a Tanúsítványfájl hozzáadása és feltöltése elemre, majd kattintson az OK gombra.

    Frissítse a megbízhatósági aláírás tulajdonságainak SAML-tanúsítványát.

  6. Mentse el a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

Az Felhőhöz készült Defender Apps APP CHANGES lapján tegye a következőket, de ne kattintson a Befejezés gombra. Később szüksége lesz az információkra.

  • A Felhőhöz készült Defender Apps SAML egyszeri bejelentkezési URL-címének másolása
  • Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

Figyelje meg az Felhőhöz készült Defender Apps SAML SSO URL-címét, és töltse le a tanúsítványt.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Beállítási>beállítások>identitás>egyszeri bejelentkezési beállításait, és tegye a következőket:

  1. Ajánlott: Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az identitásszolgáltató bejelentkezési URL-címének értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.

  3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.

  4. Kattintson a Mentés gombra.

    Feljegyzés

    A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

  • Az Felhőhöz készült Defender Alkalmazások ALKALMAZÁS MÓDOSÍTÁSAI lapon kattintson a Befejezés gombra. A varázsló befejezése után az alkalmazáshoz társított bejelentkezési kérelmeket a rendszer feltételes hozzáférésű alkalmazásvezérlőn keresztül irányítja át.

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.