Share via

Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely webalkalmazáshoz Active Directory összevonási szolgáltatások (AD FS) (AD FS) identitásszolgáltatóként (IdP)

  • Cikk

Az Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja az alkalmazás munkameneteit az AD FS-ből Felhőhöz készült Defender Alkalmazásokba valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást használjuk példaként arra, hogy egy webalkalmazást konfigurálunk Felhőhöz készült Defender Alkalmazások munkamenet-vezérlőinek használatára.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Előre konfigurált AD FS-környezet
    • Microsoft Defender for Cloud Apps

  • Meglévő AD FS egyszeri bejelentkezési konfiguráció az alkalmazáshoz az SAML 2.0 hitelesítési protokoll használatával

Feljegyzés

Az itt ismertetett lépések az AD FS minden olyan verziójára vonatkoznak, amely a Windows Server támogatott verzióján fut.

Az alkalmazás munkamenet-vezérlőinek konfigurálása az AD FS-sel idP-ként

Az alábbi lépésekkel átirányíthatja a webalkalmazás-munkameneteket az AD FS-ből az Felhőhöz készült Defender-alkalmazásokba. A Microsoft Entra konfigurációs lépéseit a Feltételes hozzáférésű alkalmazásvezérlő előkészítése és üzembe helyezése egyéni alkalmazásokhoz a Microsoft Entra ID azonosítójával című témakörben találja.

Feljegyzés

Az alkalmazás SAML egyszeri bejelentkezési adatait az AD FS az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

3. lépés: Új AD FS-függő entitás megbízhatósági és alkalmazás egyszeri bejelentkezési konfigurációjának létrehozása

4. lépés: Az Felhőhöz készült Defender-alkalmazások konfigurálása az AD FS-alkalmazás adataival

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítás> Gépház> Adentitás>egyszeri bejelentkezés Gépház.

  2. Az egyszeri bejelentkezés Gépház területen kattintson a meglévő AD FS-konfiguráció nevére.

    Select Salesforce SSO settings.

  3. Az SAML egyszeri bejelentkezés beállítási lapján jegyezze fel a Salesforce bejelentkezési URL-címét. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Select Salesforce SSO login URL.

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.

  4. Az ALKALMAZÁSINFORMÁCIÓk lapon válassza az Adatok manuális kitöltése lehetőséget, az Assertion fogyasztói szolgáltatás URL-címében adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet, majd kattintson a Tovább gombra.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Manually fill in Salesforce SAML information.

3. lépés: Új AD FS-függő entitás megbízhatósági és alkalmazás egyszeri bejelentkezési konfigurációjának létrehozása

Feljegyzés

A végfelhasználói állásidő korlátozásához és a meglévő jól ismert konfiguráció megőrzéséhez javasoljuk, hogy hozzon létre egy új függő entitás megbízhatósági és egyszeri bejelentkezési konfigurációját. Ha ez nem lehetséges, hagyja ki a megfelelő lépéseket. Ha például a konfigurálni kívánt alkalmazás nem támogatja több egyszeri bejelentkezéses konfiguráció létrehozását, hagyja ki az új egyszeri bejelentkezési lépést.

  1. Az AD FS Felügyeleti konzol Függő entitások megbízhatósága területén tekintse meg az alkalmazás meglévő függő entitás megbízhatóságának tulajdonságait, és jegyezze fel a beállításokat.

  2. A Műveletek csoportban kattintson a Függő entitás megbízhatóságának hozzáadása elemre. Az egyedi névvel rendelkező azonosító értéken kívül konfigurálja az új megbízhatósági kapcsolatot a korábban megadott beállításokkal. A Felhőhöz készült Defender-alkalmazások konfigurálásakor később szüksége lesz erre a megbízhatóságra.

  3. Nyissa meg az összevonási metaadatfájlt, és jegyezze fel az AD FS SingleSignOnService helyét. Később szüksége lesz rá.

    Feljegyzés

    Az összevonási metaadatfájl eléréséhez az alábbi végpontot használhatja: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Note existing Salesforce app's SSO service location.

  4. Töltse le az identitásszolgáltató aláíró tanúsítványát. Később szüksége lesz rá.

    1. A Szolgáltatástanúsítványok> csoportban kattintson a jobb gombbal az AD FS aláíró tanúsítványára, majd válassza a Tanúsítvány megtekintése lehetőséget.

      View IdP signing certificate properties.

    2. A tanúsítvány részletei lapon kattintson a Másolás fájlba elemre, és a Tanúsítvány exportálása varázsló lépéseit követve exportálja a tanúsítványt Base-64 kódolású X.509 -ként (. CER) fájl.

      Save IdP signing certificate file.

  5. A Salesforce-ban a meglévő AD FS egyszeri bejelentkezési beállítások lapján jegyezze fel az összes beállítást.

  6. Hozzon létre egy új SAML egyszeri bejelentkezési konfigurációt. A függő entitás megbízhatósági azonosítójának megfelelő entitásazonosítón kívül konfigurálja az egyszeri bejelentkezést a korábban megadott beállításokkal. Erre később szüksége lesz a Felhőhöz készült Defender-alkalmazások konfigurálásakor.

4. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az AD FS-alkalmazás adataival

  1. A folytatáshoz kattintson a Tovább gombra az Felhőhöz készült Defender Alkalmazások identitásszolgáltatója lapon.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, tegye a következőket, majd kattintson a Tovább gombra.

    • Az egyszeri bejelentkezési szolgáltatás URL-címeként adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet.
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    Add SSO service URL and SAML certificate.

  3. A következő lapon jegyezze fel a következő információkat, majd kattintson a Tovább gombra. Később szüksége lesz az információkra.

    • Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címe
    • Felhőhöz készült Defender Alkalmazások attribútumai és értékei

    Feljegyzés

    Ha megjelenik egy lehetőség az identitásszolgáltató Felhőhöz készült Defender Apps SAML-tanúsítványának feltöltésére, kattintson a hivatkozásra a tanúsítványfájl letöltéséhez. Később szüksége lesz rá.

    In Defender for Cloud Apps, note SSO URL and attributes.

5. lépés: Az AD FS függő entitás megbízhatóságának konfigurálása

  1. Az AD FS Felügyeleti konzolon kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Jogcímkiállítási szabályzat szerkesztése lehetőséget.

    Locate and edit relying trust claim issuance.

  2. A Jogcímkiállítási szabályzat szerkesztése párbeszédpanel Kiállítási átalakítási szabályok csoportjában az alábbi táblázatban megadott információk segítségével hajtsa végre az egyéni szabályok létrehozásának lépéseit.

    Jogcímszabály neve Egyéni szabály
    McasSigningCert => issue(type="McasSigningCert", value="<value>");hol <value> található a McasSigningCert értéke a korábban feljegyzett Felhőhöz készült Defender Alkalmazások varázslóból
    McasAppId => issue(type="McasAppId", value="<value>");a korábban feljegyzett Felhőhöz készült Defender Alkalmazások varázsló McasAppId értéke
    1. Kattintson a Szabály hozzáadása elemre, majd a Jogcímszabály sablon alatt válassza a Jogcímek küldése egyéni szabály használatával lehetőséget, majd kattintson a Tovább gombra.
    2. A Szabály konfigurálása lapon adja meg a megfelelő jogcímszabály nevét és az egyéni szabályt.

    Feljegyzés

    Ezek a szabályok a konfigurálni kívánt alkalmazás által megkövetelt jogcímszabályokon vagy attribútumokon kívül vannak.

  3. A Függő entitás megbízhatósága lapon kattintson a jobb gombbal a korábban létrehozott függő entitás megbízhatóságára, majd válassza a Tulajdonságok lehetőséget.

  4. A Végpontok lapon válassza az SAML Assertion Consumer Endpoint lehetőséget, kattintson a Szerkesztés gombra, és cserélje le a megbízható URL-címet a korábban feljegyzett Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címére, majd kattintson az OK gombra.

    Update relying trust endpoint properties Trusted URL.

  5. Ha letöltött egy Felhőhöz készült Defender Apps SAML-tanúsítványt az identitásszolgáltatóhoz, az Aláírás lapon kattintson a Tanúsítványfájl hozzáadása és feltöltése elemre, majd kattintson az OK gombra.

    Update relying trust signature properties SAML certificate.

  6. Mentse el a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

Az Felhőhöz készült Defender Apps APP CHANGES lapján tegye a következőket, de ne kattintson a Befejezés gombra. Később szüksége lesz az információkra.

  • A Felhőhöz készült Defender Apps SAML egyszeri bejelentkezési URL-címének másolása
  • Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Telepítő> Gépház> Adentitás>egyszeri bejelentkezés Gépház, és tegye a következőket:

  1. Ajánlott: Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az identitásszolgáltató bejelentkezési URL-címének értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.

  3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.

  4. Kattintson a Mentés gombra.

    Feljegyzés

    A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

  • Az Felhőhöz készült Defender Alkalmazások ALKALMAZÁS MÓDOSÍTÁSAI lapon kattintson a Befejezés gombra. A varázsló befejezése után az alkalmazáshoz társított összes bejelentkezési kérés a feltételes hozzáférésű alkalmazásvezérlőn keresztül lesz átirányítva.

Következő lépések

« ELŐZŐ: Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely alkalmazáshoz

Lásd még

Bevezetés a feltételes hozzáférésű alkalmazásvezérlésbe

Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.