Megosztás a következőn keresztül:


Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely webalkalmazáshoz Active Directory összevonási szolgáltatások (AD FS) (AD FS) identitásszolgáltatóként (IdP)

A munkamenet-vezérlőket a Microsoft Defender for Cloud Apps konfigurálhatja úgy, hogy bármely webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja az alkalmazás-munkameneteket az AD FS-ből a Defender for Cloud Apps valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást fogjuk használni példaként egy olyan webalkalmazásra, amely Defender for Cloud Apps munkamenet-vezérlők használatára van konfigurálva.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Előre konfigurált AD FS-környezet
    • Microsoft Defender for Cloud Apps
  • Egy meglévő AD FS egyszeri bejelentkezési konfiguráció az alkalmazáshoz az SAML 2.0 hitelesítési protokoll használatával

Megjegyzés:

Az itt ismertetett lépések az AD FS minden olyan verziójára vonatkoznak, amely a Windows Server támogatott verzióján fut.

Az alkalmazás munkamenet-vezérlőinek konfigurálása az AD FS-sel identitásszolgáltatóként

Az alábbi lépésekkel irányíthatja a webalkalmazás-munkameneteket az AD FS-ből a Defender for Cloud Apps.

Megjegyzés:

Az alkalmazás SAML egyszeri bejelentkezési adatait az AD FS az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: A Defender for Cloud Apps konfigurálása az alkalmazás SAML-adataival

3. lépés: Hozzon létre egy új AD FS függő entitás megbízhatóságát és az alkalmazás egyszeri bejelentkezési konfigurációját.

4. lépés: A Defender for Cloud Apps konfigurálása az AD FS-alkalmazás adataival

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

6. lépés: Az alkalmazás módosításainak lekérése a Defender for Cloud Apps

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése a Defender for Cloud Apps

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítási>beállítások>Identitás>– Önálló Sign-On beállítások lehetőséget.

  2. Az Egy Sign-On beállítások területen kattintson a meglévő AD FS-konfiguráció nevére.

    Válassza a Salesforce SSO-beállítások lehetőséget.

  3. Az SAML Single Sign-On Setting (SamL single Sign-On Setting ) lapon jegyezze fel a Salesforce bejelentkezési URL-címét. Erre később szüksége lesz a Defender for Cloud Apps konfigurálásakor.

    Megjegyzés:

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Válassza a Salesforce SSO bejelentkezési URL-címét.

2. lépés: A Defender for Cloud Apps konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférés alkalmazásvezérlő alkalmazásai lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki a telepíteni kívánt alkalmazást, majd válassza a Varázsló indítása lehetőséget.

  4. Az APP INFORMATION (ALKALMAZÁS ADATAI ) lapon válassza a Fill in data manually (Adatok manuális kitöltése) lehetőséget, az Assertion consumer service URL (Helyességi feltétel fogyasztói szolgáltatás URL-címe ) mezőbe írja be a Salesforce korábban feljegyzett bejelentkezési URL-címét , majd kattintson a Next (Tovább) gombra.

    Megjegyzés:

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza app_name> SAML-tanúsítvány használata < lehetőséget, és töltse fel a tanúsítványfájlt.

    Adja meg manuálisan a Salesforce SAML-adatait.

3. lépés: Új AD FS függő entitás megbízhatósági és alkalmazás-Sign-On konfigurációjának létrehozása

Megjegyzés:

A végfelhasználói állásidő korlátozásához és a meglévő jól ismert konfiguráció megőrzéséhez javasoljuk, hogy hozzon létre egy új megbízható függő entitást és egy Sign-On konfigurációt. Ha ez nem lehetséges, hagyja ki a megfelelő lépéseket. Ha például a konfigurálni kívánt alkalmazás nem támogatja több egyszeri Sign-On-konfiguráció létrehozását, hagyja ki az új egyszeri bejelentkezés létrehozását.

  1. Az AD FS felügyeleti konzol függő entitás megbízhatóságai területén tekintse meg az alkalmazáshoz tartozó meglévő függő entitás megbízhatóságának tulajdonságait, és jegyezze fel a beállításokat.

  2. A Műveletek területen kattintson a Függő entitás megbízhatóságának hozzáadása elemre. Az egyedi névnek kötelező azonosító értéken kívül konfigurálja az új megbízhatósági kapcsolatot a korábban feljegyzett beállításokkal. Erre a megbízhatóságra később szüksége lesz a Defender for Cloud Apps konfigurálásakor.

  3. Nyissa meg az összevonási metaadatfájlt, és jegyezze fel az AD FS SingleSignOnService helyét. Erre a későbbiekben még szüksége lesz.

    Megjegyzés:

    Az összevonási metaadatok fájljához a következő végpontot használhatja: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Jegyezze fel a meglévő Salesforce-alkalmazás SSO-szolgáltatásának helyét.

  4. Töltse le az identitásszolgáltató aláíró tanúsítványát. Erre a későbbiekben még szüksége lesz.

    1. ASzolgáltatástanúsítványok> területen kattintson a jobb gombbal az AD FS aláíró tanúsítványára, majd válassza a Tanúsítvány megtekintése lehetőséget.

      Identitásszolgáltatói aláíró tanúsítvány tulajdonságainak megtekintése.

    2. A tanúsítvány részleteinek lapján kattintson a Másolás fájlba elemre, és a Tanúsítványexportáló varázsló lépéseit követve exportálja a tanúsítványt Base-64 kódolású X.509 -ként (. CER) fájlt.

      Mentse az identitásszolgáltató aláíró tanúsítványfájlját.

  5. A Salesforce-ban a meglévő AD FS egyszeri bejelentkezési beállítások lapján jegyezze fel az összes beállítást.

  6. Hozzon létre egy új SAML egyszeri bejelentkezési konfigurációt. A függő entitás megbízhatósági azonosítójának megfelelő entitásazonosítón kívül konfigurálja az egyszeri bejelentkezést a korábban feljegyzett beállításokkal. Erre később szüksége lesz a Defender for Cloud Apps konfigurálásakor.

4. lépés: A Defender for Cloud Apps konfigurálása az AD FS-alkalmazás adataival

  1. A folytatáshoz kattintson az Defender for Cloud Apps IDENTITY PROVIDER (IDENTITÁSSZOLGÁLTATÓ) lap Tovább gombjára.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, tegye a következőket, majd kattintson a Tovább gombra.

    • Az Egyszeri bejelentkezési szolgáltatás URL-címe mezőben adja meg a Salesforce korábban feljegyzett bejelentkezési URL-címét .
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    SSO-szolgáltatás URL-címének és SAML-tanúsítványának hozzáadása.

  3. A következő lapon jegyezze fel az alábbi információkat, majd kattintson a Tovább gombra. Később szüksége lesz az adatokra.

    • Defender for Cloud Apps egyszeri bejelentkezési URL-cím
    • attribútumok és értékek Defender for Cloud Apps

    Megjegyzés:

    Ha megjelenik egy lehetőség az identitásszolgáltató Defender for Cloud Apps SAML-tanúsítványának feltöltésére, kattintson a hivatkozásra a tanúsítványfájl letöltéséhez. Erre a későbbiekben még szüksége lesz.

    A Defender for Cloud Apps jegyezze fel az SSO URL-címét és attribútumait.

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

  1. Az AD FS felügyeleti konzolján kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Jogcímkiadási házirend szerkesztése lehetőséget.

    Keresse meg és szerkessze a függőben lévő megbízhatósági jogcímek kiállítását.

  2. A Jogcím-kiállítási házirend szerkesztése párbeszédpanel Kiállítási átalakítási szabályok csoportjában az alábbi táblázatban szereplő információk segítségével végezze el az egyéni szabályok létrehozásának lépéseit.

    Jogcímszabály neve Egyéni szabály
    McasSigningCert => issue(type="McasSigningCert", value="<value>");where <value> is the McasSigningCert value from the Defender for Cloud Apps wizard you noted earlier
    McasAppId => issue(type="McasAppId", value="<value>");A a korábban feljegyzett Defender for Cloud Apps varázsló McasAppId értéke
    1. Kattintson a Szabály hozzáadása elemre, a Jogcímszabály sablonja területen válassza a Jogcímek küldése egyéni szabály használatával lehetőséget, majd kattintson a Tovább gombra.
    2. A Szabály konfigurálása lapon adja meg a megfelelő jogcímszabály nevét és az egyéni szabályt .

    Megjegyzés:

    Ezek a szabályok a konfigurálni kívánt alkalmazás által megkövetelt jogcímszabályokon vagy attribútumokon kívül találhatók.

  3. A Függő entitás megbízhatósága lapra visszatérve kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Tulajdonságok lehetőséget.

  4. A Végpontok lapon válassza az SAML Assertion Consumer Endpoint (SAML helyességi feltétel fogyasztói végpontja) lehetőséget, kattintson a Szerkesztés elemre, és cserélje le a Megbízható URL-címet a korábban feljegyzett Defender for Cloud Apps egyszeri bejelentkezési URL-címre, majd kattintson az OK gombra.

    Frissítse a megbízható megbízhatósági végpont tulajdonságainak megbízható URL-címét.

  5. Ha letöltött egy Defender for Cloud Apps SAML-tanúsítványt az identitásszolgáltatóhoz, az Aláírás lapon kattintson a Tanúsítványfájl hozzáadása és feltöltése elemre, majd kattintson az OK gombra.

    Frissítse a megbízható megbízhatósági aláírás tulajdonságainak SAML-tanúsítványát.

  6. Mentse a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése Defender for Cloud Apps

Térjen vissza a Defender for Cloud Apps APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapra, tegye a következőket, de ne kattintson a Finish (Befejezés) gombra. Később szüksége lesz az adatokra.

  • A Defender for Cloud Apps SAML egyszeri bejelentkezési URL-címének másolása
  • A Defender for Cloud Apps SAML-tanúsítvány letöltése

Jegyezze fel a Defender for Cloud Apps SAML SSO URL-címét, és töltse le a tanúsítványt.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Beállítási>beállítások>Identitás>önálló Sign-On beállítások lehetőséget, és tegye a következőket:

  1. Ajánlott: Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az Identitásszolgáltató bejelentkezési URL-címe mező értékét a korábban feljegyzett Defender for Cloud Apps SAML egyszeri bejelentkezési URL-címre.

  3. Töltse fel a korábban letöltött DEFENDER FOR CLOUD APPS SAML-tanúsítványt.

  4. Kattintson a Mentés gombra.

    Megjegyzés:

    A Defender for Cloud Apps SAML-tanúsítvány egy évig érvényes. A lejárata után létre kell hozni egy új tanúsítványt.

8. lépés: A konfiguráció befejezése a Defender for Cloud Apps

  • Az Defender for Cloud Apps APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapra visszatérve kattintson a Finish (Befejezés) gombra. A varázsló befejezése után az alkalmazáshoz társított összes bejelentkezési kérést a rendszer a feltételes hozzáférésű alkalmazásvezérlőn keresztül irányítja át.

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.