Condividi tramite


Eseguire l'onboarding di app del catalogo idP non Microsoft per il controllo delle app per l'accesso condizionale

I controlli di accesso e sessione nelle app Microsoft Defender per il cloud funzionano sia con il catalogo che con le app personalizzate. Anche se le app Microsoft Entra ID vengono caricate automaticamente per usare il controllo app per l'accesso condizionale, se si usa un IdP non Microsoft, è necessario eseguire manualmente l'onboarding dell'app.

Questo articolo descrive come configurare il provider di identità per l'uso con le app di Defender per il cloud. L'integrazione di IdP con Defender per il cloud Apps esegue automaticamente l'onboarding di tutte le app del catalogo dal provider di identità per il controllo delle app per l'accesso condizionale.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:

    • Licenza richiesta dalla soluzione provider di identità (IdP)
    • Microsoft Defender for Cloud Apps
  • Le app devono essere configurate con Single Sign-On

  • Le app devono essere configurate con il protocollo di autenticazione SAML 2.0.

Per eseguire e testare completamente le procedure descritte in questo articolo, è necessario che siano configurati criteri di sessione o di accesso. Per altre informazioni, vedi:

Configurare il provider di identità per l'uso con Defender per il cloud App

Questa procedura descrive come instradare le sessioni dell'app da altre soluzioni IdP alle app di Defender per il cloud.

Suggerimento

Gli articoli seguenti forniscono esempi dettagliati di questa procedura:

Per configurare il provider di identità per l'uso con le app Defender per il cloud:

  1. In Microsoft Defender XDR selezionare Impostazioni > App cloud App > > connesse App di controllo app per l'accesso condizionale.

  2. Nella pagina App di controllo app per l'accesso condizionale selezionare + Aggiungi.

  3. Nella finestra di dialogo Aggiungi un'applicazione SAML con il provider di identità selezionare l'elenco a discesa Cerca un'app e quindi selezionare l'app da distribuire. Con l'app selezionata, selezionare Avvia procedura guidata.

  4. Nella pagina INFORMAZIONI SULL'APP della procedura guidata caricare un file di metadati dall'app o immettere manualmente i dati dell'app.

    Assicurarsi di fornire le informazioni seguenti:

    • URL del servizio consumer di asserzione. Si tratta dell'URL usato dall'app per ricevere asserzioni SAML dal provider di identità.
    • Un certificato SAML, se l'app ne fornisce una. In questi casi, selezionare l'opzione Usa ... Opzione certificato SAML e quindi caricare il file del certificato.

    Al termine, selezionare Avanti per continuare.

  5. Nella pagina IDENTITY PROVIDER della procedura guidata seguire le istruzioni per configurare una nuova app personalizzata nel portale del provider di identità.

    Nota

    I passaggi necessari possono variare a seconda del provider di identità. È consigliabile eseguire la configurazione esterna come descritto per i motivi seguenti:

    • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app di raccolta/catalogo.
    • Quando si configura un'app personalizzata, è possibile testare l'app con Defender per il cloud controlli di accesso alle app e di sessione, senza modificare il comportamento configurato esistente dell'organizzazione.

    Copiare le informazioni di configurazione dell'accesso Single Sign-On dell'app per usarle più avanti in questa procedura. Al termine, selezionare Avanti per continuare.

  6. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, caricare un file di metadati dal provider di identità o immettere manualmente i dati dell'app.

    Assicurarsi di fornire le informazioni seguenti:

    • URL del servizio Single Sign-On. SI tratta dell'URL usato dal provider di identità per ricevere le richieste di Single Sign-On.
    • Un certificato SAML, se il provider di identità ne fornisce uno. In questi casi, selezionare l'opzione Usa certificato SAML del provider di identità e quindi caricare il file del certificato.
  7. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, copiare sia l'URL single sign-on che tutti gli attributi e i valori da usare più avanti in questa procedura.

    Al termine, selezionare Avanti per continuare.

  8. Passare al portale di IdP e immettere i valori copiati nella configurazione idp. In genere, queste impostazioni si trovano nell'area delle impostazioni dell'app personalizzata del provider di identità.

    1. Immettere l'URL dell'accesso Single Sign-On dell'app copiato dal passaggio precedente. Alcuni provider possono fare riferimento all'URL di accesso Single Sign-On come URL di risposta.

    2. Aggiungere gli attributi e i valori copiati dal passaggio precedente alle proprietà dell'app. Alcuni provider possono farvi riferimento come attributi utente o attestazioni.

      Se gli attributi sono limitati a 1024 caratteri per le nuove app, creare prima l'app senza gli attributi pertinenti e aggiungerli successivamente modificando l'app.

    3. Verificare che l'identificatore del nome sia nel formato di un indirizzo di posta elettronica.

    4. Al termine, assicurarsi di salvare le impostazioni.

  9. Tornare in app di Defender per il cloud, nella pagina MODIFICHE APP della procedura guidata copiare l'URL single sign-on SAML e scaricare il certificato SAML delle app Microsoft Defender per il cloud. L'URL single sign-on SAML è un URL personalizzato per l'app quando viene usato con Defender per il cloud controllo app per l'accesso condizionale.

  10. Passare al portale dell'app e configurare le impostazioni di Single Sign-On come indicato di seguito:

    1. (Scelta consigliata) Creare un backup delle impostazioni correnti.
    2. Sostituire il valore del campo IDENTITY provider sign-in URL (URL di accesso del provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps copiato dal passaggio precedente. Il nome specifico per questo campo può essere diverso, a seconda dell'app.
    3. Caricare il certificato SAML delle app Defender per il cloud scaricato nel passaggio precedente.
    4. Assicurarsi di salvare le modifiche.
  11. Nella procedura guidata selezionare Fine per completare la configurazione.

Dopo aver salvato le impostazioni di Single Sign-On dell'app con i valori personalizzati da Defender per il cloud Apps, tutte le richieste di accesso associate all'app vengono instradate anche se Defender per il cloud App e controllo app per l'accesso condizionale.

Nota

Il certificato SAML delle app Defender per il cloud è valido per 1 anno. Dopo la scadenza, sarà necessario generarne e caricarne uno nuovo.

Accedere all'app usando un utente con ambito per i criteri

Dopo aver creato i criteri di accesso o di sessione, accedere a ogni app configurata nei criteri. Assicurarsi di aver prima disconnesso tutte le sessioni esistenti e di aver eseguito l'accesso con un utente configurato nei criteri.

Defender per il cloud Le app sincronizzano i dettagli dei criteri con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere al massimo un minuto.

Per altre informazioni, vedi:

Verificare che le app siano configurate per l'uso dei controlli di accesso e sessione

Questa procedura descrive come verificare che le app siano configurate per l'uso dei controlli di accesso e sessione in Defender per il cloud App e configurare tali impostazioni, se necessario.

Nota

Anche se non è possibile rimuovere le impostazioni del controllo sessione per un'app, non viene modificato alcun comportamento finché non si dispone di un criterio di accesso o di sessione configurato per l'app.

  1. In Microsoft Defender XDR selezionare Impostazioni > App > cloud App > connesse App di controllo app per l'accesso condizionale.

  2. Nella tabella delle app cercare l'app e controllare il valore della colonna tipo IDP. Assicurarsi che l'app di autenticazione non MS e il controllo sessione siano visualizzati per l'app.

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.