Condividi tramite


Distribuire il controllo delle app per l'accesso condizionale per qualsiasi app Web usando Active Directory Federation Services (AD FS) come provider di identità (IdP)

È possibile configurare i controlli sessione in Microsoft Defender per il cloud App per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da AD FS a app di Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di Defender per il cloud controlli sessione delle app.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:

    • Un ambiente AD FS preconfigurato
    • Microsoft Defender for Cloud Apps
  • Configurazione esistente dell'accesso Single Sign-On di AD FS per l'app tramite il protocollo di autenticazione SAML 2.0

Nota

I passaggi descritti di seguito si applicano a tutte le versioni di AD FS eseguite nella versione supportata di Windows Server.

Per configurare i controlli sessione per l'app usando AD FS come IdP

Seguire questa procedura per instradare le sessioni dell'app Web da AD FS alle app Defender per il cloud.

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da AD FS usando uno dei metodi seguenti:

  • Opzione 1: Caricamento del file di metadati SAML dell'app.
  • Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare una nuova configurazione di Attendibilità componente AD FS e Single Sign-On dell'app.

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app AD FS

Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

  1. In Salesforce passare a Impostazioni>di installazione>Identità>Single Sign-On Impostazioni.

  2. In Single Sign-On Settings (Impostazioni Single Sign-On) fare clic sul nome della configurazione di AD FS esistente.

    Selezionare Salesforce SSO settings (Impostazioni SSO di Salesforce).

  3. Nella pagina SAML Single Sign-On Setting (Impostazione single sign-on SAML) prendere nota dell'URL di accesso di Salesforce. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

    Nota

    Se l'app fornisce un certificato SAML, scaricare il file del certificato.

    Selezionare Salesforce SSO login URL (URL di accesso SSO di Salesforce).

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In App connesse selezionare App di controllo app per l'accesso condizionale.

  3. Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.

  4. Nella pagina INFORMAZIONI SULL'APP selezionare Compilare manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza e quindi fare clic su Avanti.

    Nota

    Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Compilare manualmente le informazioni SAML di Salesforce.

Passaggio 3: Creare una nuova configurazione di attendibilità della relying party e dell'app Single Sign-On di AD FS

Nota

Per limitare il tempo di inattività dell'utente finale e mantenere la configurazione valida nota esistente, è consigliabile creare una nuova configurazione trust relying party e Single Sign-On. Se non è possibile, ignorare i passaggi pertinenti. Ad esempio, se l'app che si sta configurando non supporta la creazione di più configurazioni Single Sign-On, ignorare il passaggio Crea nuovo accesso Single Sign-On.

  1. Nella console di gestione di AD FS, in Attendibilità relying party, visualizzare le proprietà dell'attendibilità della relying party esistente per l'app e prendere nota delle impostazioni.

  2. In azioni, fare clic su Aggiungi attendibilità. Oltre al valore identificatore che deve essere un nome univoco , configurare il nuovo trust usando le impostazioni annotate in precedenza. Questa relazione di trust sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

  3. Aprire il file di metadati della federazione e prendere nota del percorso SingleSignOnService di AD FS. che sarà necessario più avanti.

    Nota

    È possibile usare l'endpoint seguente per accedere al file di metadati della federazione: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Prendere nota della posizione del servizio SSO dell'app Salesforce esistente.

  4. Scaricare il certificato di firma del provider di identità. che sarà necessario più avanti.

    1. In Certificati dei servizi>fare clic con il pulsante destro del mouse sul certificato di firma di AD FS e quindi scegliere Visualizza certificato.

      Visualizzare le proprietà del certificato di firma IdP.

    2. Nella scheda dei dettagli del certificato fare clic su Copia nel file e seguire la procedura descritta in Esportazione guidata certificati per esportare il certificato come X.509 con codifica Base 64 (. File CER).

      Salvare il file del certificato di firma IdP.

  5. Tornare a Salesforce, nella pagina delle impostazioni di Single Sign-On di AD FS esistente prendere nota di tutte le impostazioni.

  6. Creare una nuova configurazione dell'accesso Single Sign-On SAML. Oltre al valore entity ID che deve corrispondere all'identificatore di attendibilità della relying party, configurare l'accesso Single Sign-On usando le impostazioni annotate in precedenza. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

Passaggio 4: Configurare le app di Defender per il cloud con le informazioni dell'app AD FS

  1. Nella pagina Defender per il cloud Provider di identità delle app fare clic su Avanti per continuare.

  2. Nella pagina successiva selezionare Compila dati manualmente, eseguire le operazioni seguenti e quindi fare clic su Avanti.

    • Per l'URL del servizio Single Sign-On immettere l'URL di accesso di Salesforce annotato in precedenza.
    • Selezionare Carica certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

    Aggiungere l'URL del servizio SSO e il certificato SAML.

  3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie in un secondo momento.

    • URL single sign-on di Defender per il cloud Apps
    • Defender per il cloud Attributi e valori delle app

    Nota

    Se viene visualizzata un'opzione per caricare il certificato SAML delle app Defender per il cloud per il provider di identità, fare clic sul collegamento per scaricare il file del certificato. che sarà necessario più avanti.

    In Defender per il cloud Apps prendere nota dell'URL e degli attributi SSO.

Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS

  1. Nella console di gestione di AD FS fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi scegliere Modifica criterio di rilascio attestazioni.

    Individuare e modificare il rilascio di attestazioni attendibilità.

  2. Nella finestra di dialogo Modifica criteri di rilascio attestazioni, in Regole di trasformazione rilascio, usare le informazioni fornite nella tabella seguente per completare i passaggi per creare regole personalizzate.

    Nome regola attestazione Regola personalizzata
    McasSigningCert => issue(type="McasSigningCert", value="<value>");dove <value> è il valore McasSigningCert della procedura guidata Defender per il cloud Apps annotata in precedenza
    McasAppId => issue(type="McasAppId", value="<value>");è il valore McasAppId della procedura guidata Defender per il cloud Apps annotata in precedenza
    1. Fare clic su Aggiungi regola, in Modello regola attestazione selezionare Invia attestazioni usando una regola personalizzata e quindi fare clic su Avanti.
    2. Nella pagina Configura regola immettere il nome della regola attestazione e la regola personalizzata specificati.

    Nota

    Queste regole sono oltre a qualsiasi regola attestazione o attributi richiesti dall'app che si sta configurando.

  3. Nella pagina Attendibilità relying party fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi scegliere Proprietà.

  4. Nella scheda Endpoint selezionare SAML Assertion Consumer Endpoint (Endpoint consumer di asserzione SAML), fare clic su Modifica e sostituire l'URL attendibile con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi fare clic su OK.

    Aggiornare le proprietà attendibili dell'endpoint attendibilità.

  5. Se è stato scaricato un certificato SAML delle app di Defender per il cloud per il provider di identità, nella scheda Firma fare clic su Aggiungi e caricare il file del certificato e quindi fare clic su OK.

    Aggiornare le proprietà della firma di attendibilità attendibilità certificato SAML.

  6. Salva le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Nella pagina MODIFICHE APP app di Defender per il cloud eseguire le operazioni seguenti, ma non fare clic su Fine. Le informazioni saranno necessarie in un secondo momento.

  • Copiare l'URL single sign-on SAML di app Defender per il cloud
  • Scaricare il certificato SAML delle app Defender per il cloud

Prendere nota dell'URL SAML SSO di Defender per il cloud Apps e scaricare il certificato.

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Impostazioni>>di installazione>identità Single Sign-On e seguire questa procedura:

  1. Consigliato: creare un backup delle impostazioni correnti.

  2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

  3. Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.

  4. Fare clic su Salva.

    Nota

    Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

  • Nella pagina MODIFICHE APP app di Defender per il cloud fare clic su Fine. Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo delle app per l'accesso condizionale.

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.