Megosztás a következőn keresztül:


Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely webalkalmazáshoz a PingOne identitásszolgáltatóként (IDP) való használatával

A munkamenet-vezérlőket a Microsoft Defender for Cloud Apps konfigurálhatja úgy, hogy bármely webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja az alkalmazás-munkameneteket a PingOne-ból a Defender for Cloud Apps valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást fogjuk használni példaként egy olyan webalkalmazásra, amely Defender for Cloud Apps munkamenet-vezérlők használatára van konfigurálva. Más alkalmazások konfigurálásához hajtsa végre ugyanazokat a lépéseket a követelményeknek megfelelően.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Megfelelő PingOne-licenc (az egyszeri bejelentkezéshez szükséges)
    • Microsoft Defender for Cloud Apps
  • Meglévő PingOne egyszeri bejelentkezési konfiguráció az alkalmazáshoz az SAML 2.0 hitelesítési protokoll használatával

Az alkalmazás munkamenet-vezérlőinek konfigurálása a PingOne használatával identitásszolgáltatóként

Az alábbi lépésekkel irányíthatja a webalkalmazás-munkameneteket a PingOne-ról a Defender for Cloud Apps.

Megjegyzés:

Az alkalmazás SAML-alapú egyszeri bejelentkezési adatait a PingOne az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: A Defender for Cloud Apps konfigurálása az alkalmazás SAML-adataival

3. lépés: Egyéni alkalmazás létrehozása a PingOne-ban

4. lépés: Defender for Cloud Apps konfigurálása a PingOne alkalmazás adataival

5. lépés: Az egyéni alkalmazás befejezése a PingOne-ban

6. lépés: Az alkalmazás módosításainak lekérése a Defender for Cloud Apps

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése a Defender for Cloud Apps

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítási>beállítások>Identitás>– Önálló Sign-On beállítások lehetőséget.

  2. Az Egy Sign-On beállítások területen válassza ki a meglévő SAML 2.0-konfiguráció nevét.

    Válassza a Salesforce SSO-beállítások lehetőséget.

  3. Az SAML Single Sign-On Setting (SamL single Sign-On Setting ) lapon jegyezze fel a Salesforce bejelentkezési URL-címét. Erre a későbbiekben még szüksége lesz.

    Megjegyzés:

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Válassza a Salesforce SSO bejelentkezési URL-címét.

2. lépés: A Defender for Cloud Apps konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender Portálon válassza a Beállítások lehetőséget. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférés alkalmazásvezérlő alkalmazásai lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki a telepíteni kívánt alkalmazást, majd válassza a Varázsló indítása lehetőséget.

  4. Az APP INFORMATION (ALKALMAZÁS ADATAI ) lapon válassza a Fill in data manually (Adatok manuális kitöltése) lehetőséget, az Assertion consumer service URL (Helyességi feltétel fogyasztói szolgáltatás URL-címe ) területen adja meg a Salesforce korábban feljegyzett bejelentkezési URL-címét , majd válassza a Next (Tovább) lehetőséget.

    Megjegyzés:

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza app_name> SAML-tanúsítvány használata < lehetőséget, és töltse fel a tanúsítványfájlt.

    Adja meg manuálisan a Salesforce SAML-adatait.

3. lépés: Egyéni alkalmazás létrehozása a PingOne-ban

A folytatás előtt az alábbi lépésekkel kérhet le információkat a meglévő Salesforce-alkalmazásból.

  1. A PingOne-ban szerkessze a meglévő Salesforce-alkalmazást.

  2. Az Egyszeri bejelentkezés attribútumleképezése lapon jegyezze fel a SAML_SUBJECT attribútumot és értéket, majd töltse le az aláíró tanúsítványt és az SAML-metaadatfájlokat .

    Jegyezze fel a meglévő Salesforce-alkalmazás attribútumait.

  3. Nyissa meg az SAML metaadatfájlt, és jegyezze fel a PingOne SingleSignOnService helyét. Erre a későbbiekben még szüksége lesz.

    Jegyezze fel a meglévő Salesforce-alkalmazás SSO-szolgáltatásának helyét.

  4. A Csoporthozzáférés lapon jegyezze fel a hozzárendelt csoportokat.

    Jegyezze fel a meglévő Salesforce-alkalmazás hozzárendelt csoportjait.

Ezután az SAML-alkalmazás hozzáadása az identitásszolgáltatóval lapon található utasításokat követve konfigurálhat egy egyéni alkalmazást az identitásszolgáltató portálján.

Adja hozzá az SAML-alkalmazást az identitásszolgáltatójához.

Megjegyzés:

Az egyéni alkalmazások konfigurálásával anélkül tesztelheti a meglévő alkalmazást hozzáférés- és munkamenet-vezérlőkkel, hogy módosítaná a szervezet jelenlegi viselkedését.

  1. Hozzon létre egy új SAML-alkalmazást.

    A PingOne-ban hozzon létre egy új egyéni Salesforce-alkalmazást.

  2. Az Alkalmazás részletei lapon töltse ki az űrlapot, majd válassza a Folytatás a következő lépésre lehetőséget.

    Tipp

    Olyan alkalmazásnevet használjon, amely segít megkülönböztetni az egyéni alkalmazást és a meglévő Salesforce-alkalmazást.

    Adja meg az egyéni alkalmazás adatait.

  3. Az Alkalmazáskonfiguráció lapon tegye a következőket, majd válassza a Folytatás a következő lépéshez lehetőséget.

    • Az Assertion Consumer Service (ACS) mezőbe írja be a Salesforce korábban feljegyzett bejelentkezési URL-címét .
    • Az Entitásazonosító mezőben adjon meg egy egyedi azonosítót a következővel https://kezdve: . Győződjön meg arról, hogy ez nem egyezik meg a Salesforce PingOne alkalmazás konfigurációjából való kilépéssel.
    • Jegyezze fel az entitásazonosítót. Erre a későbbiekben még szüksége lesz.

    Egyéni alkalmazás konfigurálása a Salesforce SAML-részleteivel.

  4. Az Egyszeri bejelentkezés attribútumleképezése lapon adja hozzá a meglévő Salesforce-alkalmazás SAML_SUBJECT attribútumát és értékét, amit korábban feljegyzett, majd válassza a Folytatás a következő lépésig lehetőséget.

    Attribútumok hozzáadása az egyéni Salesforce-alkalmazáshoz.

  5. A Csoporthozzáférés lapon adja hozzá a meglévő Salesforce-alkalmazás korábban feljegyzett csoportjait, és fejezze be a konfigurációt.

    Csoportok hozzárendelése egyéni Salesforce-alkalmazáshoz.

4. lépés: Defender for Cloud Apps konfigurálása a PingOne alkalmazás adataival

  1. A folytatáshoz az Defender for Cloud Apps IDENTITY PROVIDER (IDENTITÁSSZOLGÁLTATÓ) lapra visszatérve válassza a Tovább gombot.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, tegye a következőket, majd válassza a Tovább gombot.

    • Az Assertion fogyasztói szolgáltatás URL-címeként adja meg a Salesforce korábban feljegyzett bejelentkezési URL-címét .
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    SSO-szolgáltatás URL-címének és SAML-tanúsítványának hozzáadása.

  3. A következő lapon jegyezze fel az alábbi információkat, majd válassza a Tovább gombot. Később szüksége lesz az adatokra.

    • Defender for Cloud Apps egyszeri bejelentkezési URL-cím
    • attribútumok és értékek Defender for Cloud Apps

    A Defender for Cloud Apps jegyezze fel az SSO URL-címét és attribútumait.

5. lépés: Az egyéni alkalmazás befejezése a PingOne-ban

  1. A PingOne-ban keresse meg és szerkessze az egyéni Salesforce alkalmazást.

    Keresse meg és szerkessze az egyéni Salesforce-alkalmazást.

  2. Az Assertion Consumer Service (ACS) mezőben cserélje le az URL-címet a korábban feljegyzett Defender for Cloud Apps egyszeri bejelentkezési URL-címre, majd válassza a Tovább gombot.

    Cserélje le az ACS-t az egyéni Salesforce-alkalmazásban.

  3. Adja hozzá a korábban feljegyzett Defender for Cloud Apps attribútumokat és értékeket az alkalmazás tulajdonságaihoz.

    Adjon hozzá Defender for Cloud Apps attribútumokat az egyéni Salesforce-alkalmazáshoz.

  4. Mentse a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése Defender for Cloud Apps

Az Defender for Cloud Apps APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapra visszatérve tegye a következőket, de ne válassza a Finish (Befejezés) lehetőséget. Később szüksége lesz az adatokra.

  • A Defender for Cloud Apps SAML egyszeri bejelentkezési URL-címének másolása
  • A Defender for Cloud Apps SAML-tanúsítvány letöltése

Jegyezze fel a Defender for Cloud Apps SAML SSO URL-címét, és töltse le a tanúsítványt.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Beállítási>beállítások>Identitás>önálló Sign-On beállítások lehetőséget, és tegye a következőket:

  1. Ajánlott: Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az Identitásszolgáltató bejelentkezési URL-címe mező értékét a korábban feljegyzett Defender for Cloud Apps SAML egyszeri bejelentkezési URL-címre.

  3. Töltse fel a korábban letöltött DEFENDER FOR CLOUD APPS SAML-tanúsítványt.

  4. Cserélje le az Entity ID mező értékét a korábban feljegyzett PingOne egyéni alkalmazás entitásazonosítójára.

  5. Válassza a Mentés elemet.

    Megjegyzés:

    A Defender for Cloud Apps SAML-tanúsítvány egy évig érvényes. A lejárata után létre kell hozni egy új tanúsítványt.

    Frissítse az egyéni Salesforce alkalmazást Defender for Cloud Apps SAML-adatokkal.

8. lépés: A konfiguráció befejezése a Defender for Cloud Apps

  • Az Defender for Cloud Apps APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapra visszatérve válassza a Finish (Befejezés) lehetőséget. A varázsló befejezése után az alkalmazáshoz társított összes bejelentkezési kérést a rendszer a feltételes hozzáférésű alkalmazásvezérlőn keresztül irányítja át.

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.