Menyebarkan kontrol aplikasi akses berskal untuk aplikasi katalog dengan IdP non-Microsoft

  • Artikel

Kontrol akses dan sesi di Microsoft Defender untuk Cloud Apps berfungsi dengan aplikasi dari katalog aplikasi Cloud dan dengan aplikasi kustom. Untuk daftar aplikasi yang telah di-onboarding oleh aplikasi Defender untuk Cloud agar berfungsi secara langsung, lihat Melindungi aplikasi dengan kontrol aplikasi akses bersyariah aplikasi Defender untuk Cloud Apps.

Prasyarat

  • Organisasi Anda harus memiliki lisensi berikut untuk menggunakan kontrol aplikasi akses bersyar:

    • Lisensi yang diperlukan oleh solusi Penyedia Identitas (IdP) Anda
    • Microsoft Defender for Cloud Apps

  • Aplikasi harus dikonfigurasi dengan akses menyeluruh

  • Aplikasi harus menggunakan salah satu protokol autentikasi berikut:

    IdP Protokol
    Microsoft Entra ID KONEKSI SAML 2.0 atau OpenID
    Lainnya SAML 2.0

Mengonfigurasi IdP Anda agar berfungsi dengan Defender untuk Cloud Apps

Gunakan langkah-langkah berikut untuk merutekan sesi aplikasi dari solusi IdP lainnya ke aplikasi Defender untuk Cloud. Untuk ID Microsoft Entra, lihat Mengonfigurasi integrasi dengan MICROSOFT Entra ID.

Catatan

Untuk contoh cara mengonfigurasi solusi IdP, lihat:

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.

  3. Pilih + Tambahkan, dan di pop-up, pilih aplikasi yang ingin Anda sebarkan, lalu pilih Mulai Wizard.

  4. Pada halaman INFORMASI APLIKASI, isi formulir menggunakan informasi dari halaman konfigurasi akses menyeluruh aplikasi Anda, lalu pilih Berikutnya.

    • Jika IdP Anda menyediakan file metadata akses menyeluruh untuk aplikasi yang dipilih, pilih Unggah file metadata dari aplikasi dan unggah file metadata.

    • Atau, pilih Isi data secara manual dan berikan informasi berikut:

      • URL layanan konsumen pernyataan
      • Jika aplikasi Anda menyediakan sertifikat SAML, pilih Gunakan <sertifikat SAML app_name> dan unggah file sertifikat.

    Contohnya:

    Cuplikan layar memperlihatkan area INFORMASI APLIKASI dari dialog Tambahkan aplikasi SAML dengan idP Anda.

  5. Pada halaman PENYEDIA IDENTITAS, gunakan langkah-langkah yang disediakan untuk menyiapkan aplikasi baru di portal IdP Anda, lalu pilih Berikutnya.

  6. Buka portal IdP Anda dan buat aplikasi SAML kustom baru.

  7. Salin konfigurasi akses menyeluruh <app_name> aplikasi yang ada ke aplikasi kustom baru.

  8. Tetapkan pengguna ke aplikasi kustom baru.

  9. Salin informasi konfigurasi akses menyeluruh aplikasi. Anda akan membutuhkannya di langkah berikutnya. Contohnya:

    Cuplikan layar memperlihatkan area Penyedia identitas/ Konfigurasi eksternal dari dialog Tambahkan aplikasi SAML dengan idP Anda.

    Catatan

    Langkah-langkah ini mungkin sedikit berbeda tergantung pada IdP Anda. Langkah ini direkomendasikan karena alasan berikut:

    • Beberapa penyedia identitas tidak mengizinkan Anda mengubah atribut SAML atau properti URL aplikasi galeri.

    • Mengonfigurasi aplikasi kustom memungkinkan Anda menguji aplikasi ini dengan kontrol akses dan sesi tanpa mengubah perilaku yang ada untuk organisasi Anda.

  10. Pada halaman berikutnya, isi formulir menggunakan informasi dari halaman konfigurasi akses menyeluruh aplikasi Anda, lalu pilih Berikutnya.

    • Jika IdP Anda menyediakan file metadata akses menyeluruh untuk aplikasi yang dipilih, pilih Unggah file metadata dari aplikasi dan unggah file metadata.

    • Atau, pilih Isi data secara manual dan berikan informasi berikut:

      • URL layanan konsumen pernyataan
      • Jika aplikasi Anda menyediakan sertifikat SAML, pilih Gunakan <sertifikat SAML app_name> dan unggah file sertifikat.

    Contohnya:

    Cuplikan layar memperlihatkan area Penyedia identitas/Isi data secara manual dari dialog Tambahkan aplikasi SAML dengan idP Anda.

  11. Pada halaman berikutnya, salin informasi berikut, lalu pilih Berikutnya. Anda akan memerlukan informasi di langkah berikutnya.

    • URL akses menyeluruh
    • Atribut dan nilai

    Contohnya:

    Cuplikan layar memperlihatkan area Penyedia identitas dari dialog Tambahkan aplikasi SAML dengan idP Anda, dengan detail sampel dimasukkan.

  12. Di portal IdP Anda, konfigurasikan pengaturan berikut, biasanya ditemukan di halaman pengaturan aplikasi kustom portal IdP.

    1. Di bidang URL akses menyeluruh, masukkan URL akses menyeluruh yang Anda catat sebelumnya.

    2. Tambahkan atribut dan nilai yang Anda catat sebelumnya ke properti aplikasi. Beberapa penyedia dapat menyebutnya sebagai Atribut pengguna atau Klaim.

      Saat membuat aplikasi SAML baru, Penyedia Identitas Okta membatasi atribut hingga 1024 karakter. Untuk mengurangi batasan ini, pertama-tama buat aplikasi tanpa atribut yang relevan. Setelah membuat aplikasi, edit, lalu tambahkan atribut yang relevan.

    3. Verifikasi bahwa pengidentifikasi nama berada dalam format alamat email.

    4. Simpan pengaturan Anda.

  13. Pada halaman PERUBAHAN APLIKASI, lakukan hal berikut, lalu pilih Berikutnya. Anda akan memerlukan informasi di langkah berikutnya.

    • Salin URL Akses menyeluruh
    • Mengunduh sertifikat SAML Defender untuk Cloud Apps

    Contohnya:

    Cuplikan layar memperlihatkan area Perubahan aplikasi dari dialog Tambahkan aplikasi SAML dengan idP Anda.

  14. Di portal aplikasi Anda, pada pengaturan akses menyeluruh, lakukan hal berikut:

    1. (Disarankan) Buat cadangan pengaturan Anda saat ini.

    2. Ganti nilai bidang URL Masuk Penyedia Identitas dengan URL akses menyeluruh SAML Defender untuk Cloud Apps yang Anda catat sebelumnya.

    3. Unggah sertifikat SAML Defender untuk Cloud Apps yang Anda unduh sebelumnya.

    4. Pilih Simpan.

Setelah menyimpan pengaturan Anda, semua permintaan masuk terkait ke aplikasi ini akan dirutekan melalui kontrol aplikasi akses bersyarat.

Sertifikat SAML Defender untuk Cloud Apps berlaku selama satu tahun. Setelah kedaluwarsa, sertifikat baru perlu dibuat.

Masuk ke setiap aplikasi menggunakan pengguna yang terlingkup dalam kebijakan

Catatan

Sebelum melanjutkan, pastikan untuk terlebih dahulu keluar dari sesi yang ada.

Setelah Anda membuat kebijakan, masuk ke setiap aplikasi yang dikonfigurasi dalam kebijakan tersebut. Pastikan Anda masuk menggunakan pengguna yang dikonfigurasi dalam kebijakan.

Defender untuk Cloud Apps akan menyinkronkan detail kebijakan Anda ke servernya untuk setiap aplikasi baru yang Anda masuki. Ini mungkin memakan waktu hingga satu menit.

Verifikasi bahwa aplikasi dikonfigurasi untuk menggunakan kontrol akses dan sesi

Instruksi sebelumnya membantu Anda membuat kebijakan aplikasi Defender untuk Cloud bawaan untuk aplikasi katalog langsung di ID Microsoft Entra. Dalam langkah ini, verifikasi bahwa kontrol akses dan sesi dikonfigurasi untuk aplikasi ini.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.

  3. Di tabel aplikasi, lihat kolom Kontrol yang tersedia dan verifikasi bahwa kontrol Akses atau Akses Bersyar Azure AD, dan Kontrol sesi muncul untuk aplikasi Anda.

    Jika aplikasi tidak diaktifkan untuk kontrol sesi, tambahkan dengan memilih Onboard dengan kontrol sesi dan periksa Gunakan aplikasi ini dengan kontrol sesi. Contohnya:

    Cuplikan layar Onboard dengan tautan kontrol sesi.

Mengaktifkan aplikasi untuk digunakan di organisasi Anda

Setelah Anda siap mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda, lakukan langkah-langkah berikut.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.

  3. Pilih Aktifkan aplikasi untuk bekerja pada kontrol sesi lalu pilih Simpan. Contohnya:

    Cuplikan layar Edit aplikasi ini? Dialog.

Menguji penyebaran

  1. Pertama keluar dari sesi yang ada. Kemudian, coba masuk ke setiap aplikasi yang berhasil disebarkan. Masuk menggunakan pengguna yang cocok dengan kebijakan yang dikonfigurasi di ID Microsoft Entra, atau untuk aplikasi SAML yang dikonfigurasi dengan idP Anda.

  2. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, pilih Log aktivitas, dan pastikan aktivitas login diambil untuk setiap aplikasi.

  3. Anda dapat memfilter dengan memilih Tingkat Lanjut, lalu memfilter menggunakan Sumber sama dengan kontrol Akses. Contohnya:

    Cuplikan layar pemfilteran dengan Microsoft Entra Conditional Access.

  4. Sebaiknya Anda masuk ke aplikasi seluler dan desktop dari perangkat terkelola dan tidak terkelola. Ini untuk memastikan bahwa aktivitas diambil dengan benar dalam log aktivitas.

Untuk memverifikasi bahwa aktivitas diambil dengan benar, pilih aktivitas masuk tunggal sehingga membuka laci aktivitas. Pastikan tag Agen pengguna mencerminkan dengan benar apakah perangkat adalah klien asli (artinya aplikasi seluler atau desktop) atau perangkat adalah perangkat terkelola (sesuai, bergabung dengan domain, atau sertifikat klien yang valid).

Catatan

Setelah disebarkan, Anda tidak dapat menghapus aplikasi dari halaman Kontrol Aplikasi Akses Bersyar. Selama Anda tidak mengatur sesi atau kebijakan akses pada aplikasi, kontrol aplikasi akses bersyarkat tidak akan mengubah perilaku apa pun untuk aplikasi.

Langkah berikutnya

« SEBELUMNYA: Pengantar kontrol aplikasi akses bersyar

BERIKUTNYA: Menyebarkan kontrol aplikasi akses bersyarah untuk aplikasi apa pun »

Pemecahan masalah akses dan kontrol sesi

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.