Menyebarkan kontrol aplikasi akses bersyarah untuk aplikasi web apa pun menggunakan Layanan Federasi Direktori Aktif (AD FS) sebagai penyedia identitas (IdP)
Anda dapat mengonfigurasi kontrol sesi di Microsoft Defender untuk Cloud Apps untuk bekerja dengan aplikasi web apa pun dan IdP non-Microsoft apa pun. Artikel ini menjelaskan cara merutekan sesi aplikasi dari Layanan Federasi Direktori Aktif ke aplikasi Defender untuk Cloud untuk kontrol sesi real time.
Untuk artikel ini, kami akan menggunakan aplikasi Salesforce sebagai contoh aplikasi web yang dikonfigurasi untuk menggunakan kontrol sesi Defender untuk Cloud Apps.
Prasyarat
Organisasi Anda harus memiliki lisensi berikut untuk menggunakan kontrol aplikasi akses bersyar:
- Lingkungan AD FS yang telah dikonfigurasi sebelumnya
- Microsoft Defender for Cloud Apps
Konfigurasi akses menyeluruh Layanan Federasi Direktori Aktif yang ada untuk aplikasi menggunakan protokol autentikasi SAML 2.0
Catatan
Langkah-langkah di sini berlaku untuk semua versi Layanan Federasi Direktori Aktif yang berjalan pada versi Windows Server yang didukung.
Untuk mengonfigurasi kontrol sesi untuk aplikasi Anda menggunakan Layanan Federasi Direktori Aktif sebagai IdP
Gunakan langkah-langkah berikut untuk merutekan sesi aplikasi web Anda dari Layanan Federasi Direktori Aktif ke aplikasi Defender untuk Cloud.
Catatan
Anda dapat mengonfigurasi informasi akses menyeluruh SAML aplikasi yang disediakan oleh Layanan Federasi Direktori Aktif menggunakan salah satu metode berikut:
- Opsi 1: Mengunggah file metadata SAML aplikasi.
- Opsi 2: Menyediakan data SAML aplikasi secara manual.
Dalam langkah-langkah berikut, kita akan menggunakan opsi 2.
Langkah 1: Dapatkan pengaturan akses menyeluruh SAML aplikasi Anda
Langkah 2: Mengonfigurasi aplikasi Defender untuk Cloud dengan informasi SAML aplikasi Anda
Langkah 3: Buat Ad FS Relying Party Trust baru dan konfigurasi akses menyeluruh aplikasi.
Langkah 5: Selesaikan konfigurasi Kepercayaan Pihak yang Mengandalkan Layanan Federasi Direktori Aktif
Langkah 6: Dapatkan perubahan aplikasi di Defender untuk Cloud Apps
Langkah 7: Menyelesaikan perubahan aplikasi
Langkah 8: Selesaikan konfigurasi di Defender untuk Cloud Apps
Langkah 1: Dapatkan pengaturan akses menyeluruh SAML aplikasi Anda
Di Salesforce, telusuri Pengaturan >Pengaturan>Pengaturan Akses Menyeluruh Identitas.>
Di bawah Pengaturan Akses Menyeluruh, klik nama konfigurasi LAYANAN Federasi Direktori Aktif Yang sudah ada.
Pada halaman Pengaturan Akses Menyeluruh SAML, catat URL Masuk Salesforce. Anda akan memerlukannya nanti saat mengonfigurasi aplikasi Defender untuk Cloud.
Catatan
Jika aplikasi Anda menyediakan sertifikat SAML, unduh file sertifikat.
Langkah 2: Mengonfigurasi aplikasi Defender untuk Cloud dengan informasi SAML aplikasi Anda
Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah Aplikasi tersambung, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
Pilih +Tambahkan, dan di pop-up, pilih aplikasi yang ingin Anda sebarkan, lalu pilih Mulai Wizard.
Pada halaman INFORMASI APLIKASI, pilih Isi data secara manual, di URL layanan konsumen Pernyataan masukkan URL Masuk Salesforce yang Anda catat sebelumnya, lalu klik Berikutnya.
Catatan
Jika aplikasi Anda menyediakan sertifikat SAML, pilih Gunakan <sertifikat SAML app_name> dan unggah file sertifikat.
Langkah 3: Buat konfigurasi Ad FS Relying Party Trust dan App Single Sign-On baru
Catatan
Untuk membatasi waktu henti pengguna akhir dan mempertahankan konfigurasi baik yang diketahui yang ada, sebaiknya buat konfigurasi Kepercayaan Pihak Yang Mengandalkan dan Akses Menyeluruh baru. Jika ini tidak memungkinkan, lewati langkah-langkah yang relevan. Misalnya, jika aplikasi yang Anda konfigurasi tidak mendukung pembuatan beberapa konfigurasi Akses Menyeluruh, maka lewati langkah buat akses menyeluruh baru.
Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Kepercayaan Pihak Yang Mengandalkan, lihat properti kepercayaan pihak yang mengandalkan yang ada untuk aplikasi Anda, dan catat pengaturannya.
Di bawah Tindakan, klik Tambahkan Kepercayaan Pihak yang Mengandalkan. Selain dari nilai Pengidentifikasi yang harus berupa nama unik, konfigurasikan kepercayaan baru menggunakan pengaturan yang Anda catat sebelumnya. Anda akan memerlukan kepercayaan ini nanti saat mengonfigurasi aplikasi Defender untuk Cloud.
Buka file metadata federasi dan catat Lokasi Layanan Tunggal Layanan Federasi Direktori Aktif. Anda akan membutuhkan ini nanti.
Catatan
Anda dapat menggunakan titik akhir berikut untuk mengakses file metadata federasi Anda:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Unduh Sertifikat Penandatanganan idP. Anda akan membutuhkan ini nanti.
Di bawah Sertifikat Layanan>, klik kanan pada sertifikat penandatanganan Layanan Federasi Direktori Aktif, lalu pilih Tampilkan Sertifikat.
Pada tab detail sertifikat, klik Salin ke File dan ikuti langkah-langkah dalam Wizard Ekspor Sertifikat untuk mengekspor sertifikat Anda sebagai X.509 yang dikodekan Base-64 (. CER) file.
Kembali ke Salesforce, pada halaman pengaturan akses menyeluruh Layanan Federasi Direktori Aktif yang ada, catat semua pengaturan.
Buat konfigurasi akses menyeluruh SAML baru. Selain nilai ID Entitas yang harus cocok dengan Pengidentifikasi kepercayaan pihak yang mengandalkan, konfigurasikan akses menyeluruh menggunakan pengaturan yang Anda catat sebelumnya. Anda akan memerlukannya nanti saat mengonfigurasi aplikasi Defender untuk Cloud.
Langkah 4: Mengonfigurasi aplikasi Defender untuk Cloud dengan informasi aplikasi Layanan Federasi Direktori Aktif
Kembali ke halaman penyedia identitas aplikasi Defender untuk Cloud, klik Berikutnya untuk melanjutkan.
Pada halaman berikutnya, pilih Isi data secara manual, lakukan hal berikut, lalu klik Berikutnya.
- Untuk URL layanan Akses menyeluruh, masukkan URL Masuk Salesforce yang Anda catat sebelumnya.
- Pilih Unggah sertifikat SAML penyedia identitas dan unggah file sertifikat yang Anda unduh sebelumnya.
Pada halaman berikutnya, catat informasi berikut, lalu klik Berikutnya. Anda akan memerlukan informasinya nanti.
- URL akses menyeluruh Defender untuk Cloud Apps
- atribut dan nilai Defender untuk Cloud Apps
Catatan
Jika Anda melihat opsi untuk mengunggah sertifikat SAML Defender untuk Cloud Apps untuk idP, klik tautan untuk mengunduh file sertifikat. Anda akan membutuhkan ini nanti.
Langkah 5: Selesaikan konfigurasi Kepercayaan Pihak yang Mengandalkan Layanan Federasi Direktori Aktif
Kembali ke konsol Manajemen Layanan Federasi Direktori Aktif, klik kanan pada kepercayaan pihak yang mengandalkan yang Anda buat sebelumnya, lalu pilih Edit Kebijakan Penerbitan Klaim.
Dalam kotak dialog Edit Kebijakan Penerbitan Klaim, di bawah Aturan Transformasi Penerbitan, gunakan informasi yang disediakan dalam tabel berikut untuk menyelesaikan langkah-langkah untuk membuat aturan kustom.
Nama aturan klaim Aturan kustom McasSigningCert => issue(type="McasSigningCert", value="<value>");di mana<value>adalah nilai McasSigningCert dari wizard aplikasi Defender untuk Cloud yang Anda catat sebelumnyaMcasAppId => issue(type="McasAppId", value="<value>");adalah nilai McasAppId dari wizard Defender untuk Cloud Apps yang Anda catat sebelumnya- Klik Tambahkan Aturan, di bawah Templat aturan klaim pilih Kirim Klaim Menggunakan Aturan Kustom, lalu klik Berikutnya.
- Pada halaman Konfigurasikan Aturan, masukkan nama aturan Klaim masing-masing dan Aturan kustom yang disediakan.
Catatan
Aturan ini selain aturan atau atribut klaim apa pun yang diperlukan oleh aplikasi yang Anda konfigurasi.
Kembali ke halaman Kepercayaan Pihak yang Mengandalkan, klik kanan pada kepercayaan pihak yang mengandalkan yang Anda buat sebelumnya, lalu pilih Properti.
Pada tab Titik Akhir, pilih Titik Akhir Konsumen Pernyataan SAML, klik Edit dan ganti URL Tepercaya dengan URL akses menyeluruh aplikasi Defender untuk Cloud yang Anda catat sebelumnya, lalu klik OK.
Jika Anda mengunduh sertifikat SAML Defender untuk Cloud Apps untuk idP, Pada tab Tanda Tangan, klik Tambahkan dan unggah file sertifikat, lalu klik OK.
Simpan pengaturan Anda.
Langkah 6: Dapatkan perubahan aplikasi di aplikasi Defender untuk Cloud
Kembali ke halaman PERUBAHAN APLIKASI aplikasi Defender untuk Cloud, lakukan hal berikut, tetapi jangan klik Selesai. Anda akan memerlukan informasinya nanti.
- Salin URL akses menyeluruh SAML Aplikasi Defender untuk Cloud
- Mengunduh sertifikat SAML Defender untuk Cloud Apps
Langkah 7: Menyelesaikan perubahan aplikasi
Di Salesforce, telusuri Pengaturan >Pengaturan>Pengaturan Akses Menyeluruh Identitas>, dan lakukan hal berikut:
Disarankan: Buat cadangan pengaturan Anda saat ini.
Ganti nilai bidang URL Masuk Penyedia Identitas dengan URL akses menyeluruh SAML Defender untuk Cloud Apps yang Anda catat sebelumnya.
Unggah sertifikat SAML Defender untuk Cloud Apps yang Anda unduh sebelumnya.
Klik Simpan.
Catatan
Sertifikat SAML Defender untuk Cloud Apps berlaku selama satu tahun. Setelah kedaluwarsa, sertifikat baru perlu dibuat.
Langkah 8: Selesaikan konfigurasi di Defender untuk Cloud Apps
- Kembali ke halaman perubahan aplikasi aplikasi Defender untuk Cloud, klik Selesai. Setelah menyelesaikan wizard, semua permintaan masuk terkait ke aplikasi ini akan dirutekan melalui kontrol aplikasi akses bersyarat.
Konten terkait
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.