Megosztás a következőn keresztül:


Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely webalkalmazáshoz az Okta identitásszolgáltatóként (IdP) való használatával

Az Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja az alkalmazás munkameneteit az Oktából Felhőhöz készült Defender Alkalmazások valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást használjuk példaként arra, hogy egy webalkalmazást konfigurálunk Felhőhöz készült Defender Alkalmazások munkamenet-vezérlőinek használatára.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Előre konfigurált Okta-bérlő.
    • Microsoft Defender for Cloud Apps
  • Az alkalmazás meglévő egyszeri bejelentkezési konfigurációja az SAML 2.0 hitelesítési protokoll használatával

Munkamenet-vezérlők konfigurálása az alkalmazáshoz az Okta használatával idP-ként

Az alábbi lépésekkel átirányíthatja a webalkalmazás-munkameneteket az Oktából az Felhőhöz készült Defender-alkalmazásokba.

Feljegyzés

Az alkalmazás SAML egyszeri bejelentkezési adatait az Okta az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

3. lépés: Új egyéni Okta-alkalmazás és alkalmazás egyszeri bejelentkezési konfigurációjának létrehozása

4. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az Okta-alkalmazás adataival

5. lépés: Az Okta egyéni alkalmazás konfigurációjának befejezése

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítási>beállítások>identitás>egyszeri bejelentkezési beállításait.

  2. Az egyszeri bejelentkezési beállítások területen kattintson a meglévő Okta-konfiguráció nevére.

    Válassza a Salesforce SSO beállításait.

  3. Az SAML egyszeri bejelentkezés beállítási lapján jegyezze fel a Salesforce bejelentkezési URL-címét. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Válassza a Salesforce SSO bejelentkezési URL-címét.

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakoztatott alkalmazások területen válassza a feltételes hozzáférésű alkalmazásvezérlő alkalmazásokat.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.

  4. Az ALKALMAZÁSINFORMÁCIÓk lapon válassza az Adatok manuális kitöltése lehetőséget, az Assertion fogyasztói szolgáltatás URL-címében adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet, majd kattintson a Tovább gombra.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Adja meg manuálisan a Salesforce SAML-adatait.

3. lépés: Új Egyéni Okta-alkalmazás és alkalmazás egyszeri bejelentkezési konfigurációjának létrehozása

Feljegyzés

A végfelhasználói állásidő korlátozása és a meglévő jól ismert konfiguráció megőrzése érdekében javasoljuk, hogy hozzon létre egy új egyéni alkalmazást és egy egyszeri bejelentkezéses konfigurációt. Ha ez nem lehetséges, hagyja ki a megfelelő lépéseket. Ha például a konfigurálni kívánt alkalmazás nem támogatja több egyszeri bejelentkezéses konfiguráció létrehozását, hagyja ki az új egyszeri bejelentkezési lépést.

  1. Az Okta felügyeleti konzol Alkalmazások területén tekintse meg az alkalmazás meglévő konfigurációjának tulajdonságait, és jegyezze fel a beállításokat.

  2. Kattintson az Alkalmazás hozzáadása, majd az Új alkalmazás létrehozása parancsra. Az egyedi névvel rendelkező Célközönség URI (SP Entity ID) értéken kívül konfigurálja az új alkalmazást a korábban megadott beállításokkal. A Felhőhöz készült Defender-alkalmazások konfigurálásakor később szüksége lesz erre az alkalmazásra.

  3. Lépjen az Alkalmazások lapra, tekintse meg a meglévő Okta-konfigurációt, majd a Bejelentkezés lapon válassza a Beállítási utasítások megtekintése lehetőséget.

    Jegyezze fel a Meglévő Salesforce-alkalmazás SSO-szolgáltatásának helyét.

  4. Jegyezze fel az identitásszolgáltató egyszeri bejelentkezési URL-címét , és töltse le az identitásszolgáltató aláíró tanúsítványát (X.509). Később szüksége lesz rá.

  5. A Salesforce-ban a meglévő Egyszeri bejelentkezés beállításai lapon jegyezze fel az összes beállítást.

  6. Hozzon létre egy új SAML egyszeri bejelentkezési konfigurációt. Az egyéni alkalmazás Célközönség URI-jának (SP Entity ID)-nak megfelelő entitásazonosítón kívül konfigurálja az egyszeri bejelentkezést a korábban megadott beállításokkal. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

  7. Az új alkalmazás mentése után lépjen a Hozzárendelések lapra, és rendelje hozzá az alkalmazáshoz hozzáférést igénylő személyeket vagy csoportokat .

ׂ

4. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az Okta-alkalmazás adataival

  1. A folytatáshoz kattintson a Tovább gombra az Felhőhöz készült Defender Alkalmazások identitásszolgáltatója lapon.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, tegye a következőket, majd kattintson a Tovább gombra.

    • Az egyszeri bejelentkezési szolgáltatás URL-címeként adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet.
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    SSO-szolgáltatás URL-címének és SAML-tanúsítványának hozzáadása.

  3. A következő lapon jegyezze fel a következő információkat, majd kattintson a Tovább gombra. Később szüksége lesz az információkra.

    • Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címe
    • Felhőhöz készült Defender Alkalmazások attribútumai és értékei

    Feljegyzés

    Ha megjelenik egy lehetőség az identitásszolgáltató Felhőhöz készült Defender Apps SAML-tanúsítványának feltöltésére, kattintson a gombra a tanúsítványfájl letöltéséhez. Később szüksége lesz rá.

    Az Felhőhöz készült Defender-alkalmazásokban jegyezze fel az egyszeri bejelentkezés URL-címét és attribútumait.

5. lépés: Az Okta egyéni alkalmazás konfigurációjának befejezése

  1. Az Okta felügyeleti konzol Alkalmazások területén válassza ki a korábban létrehozott egyéni alkalmazást, majd az Általános>SAML-beállítások területen kattintson a Szerkesztés gombra.

    Keresse meg és szerkessze az SAML-beállításokat.

  2. Az Egyszeri bejelentkezés URL-mezőben cserélje le az URL-címet a korábban feljegyzett Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címére, majd mentse a beállításokat.

  3. A Címtár területen válassza a Profilszerkesztő lehetőséget, válassza ki a korábban létrehozott egyéni alkalmazást, majd kattintson a Profil elemre. Adjon hozzá attribútumokat az alábbi információk használatával.

    Megjelenített név Változó neve Adattípus Attribútumtípus
    McasSigningCert McasSigningCert húr Egyéni
    McasAppId McasAppId húr Egyéni

    Profilattribútumok hozzáadása.

  4. A Profilszerkesztő lapon válassza ki a korábban létrehozott egyéni alkalmazást, kattintson a Leképezések elemre, majd válassza az Okta-felhasználó lehetőséget a(z) {custom_app_name} lapra. A McasSigningCert és a McasAppId attribútum megfeleltetése a korábban feljegyzett Felhőhöz készült Defender Apps attribútumértékekhez.

    Feljegyzés

    • Győződjön meg arról, hogy az értékeket dupla idézőjelekbe (") foglalja.
    • Az Okta 1024 karakterre korlátozza az attribútumokat. A korlátozás mérsékléséhez adja hozzá az attribútumokat a Profilszerkesztővel a leírtak szerint.

    Térképprofil-attribútumok.

  5. Mentse el a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

Az Felhőhöz készült Defender Apps APP CHANGES lapján tegye a következőket, de ne kattintson a Befejezés gombra. Később szüksége lesz az információkra.

  • A Felhőhöz készült Defender Apps SAML egyszeri bejelentkezési URL-címének másolása
  • Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

Figyelje meg az Felhőhöz készült Defender Apps SAML SSO URL-címét, és töltse le a tanúsítványt.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Beállítási>beállítások>identitás>egyszeri bejelentkezési beállításait, és tegye a következőket:

  1. [Ajánlott] Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az identitásszolgáltató bejelentkezési URL-címének értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.

  3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.

  4. Kattintson a Mentés gombra.

    Feljegyzés

    • A beállítások mentése után az alkalmazáshoz tartozó összes kapcsolódó bejelentkezési kérést a rendszer feltételes hozzáférésű alkalmazásvezérlőn keresztül irányítja át.
    • A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

    SSO-beállítások frissítése.

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

  • Az Felhőhöz készült Defender Alkalmazások ALKALMAZÁS MÓDOSÍTÁSAI lapon kattintson a Befejezés gombra. A varázsló befejezése után az alkalmazáshoz társított bejelentkezési kérelmeket a rendszer feltételes hozzáférésű alkalmazásvezérlőn keresztül irányítja át.

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.