Distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando Okta come provider di identità (IdP)

È possibile configurare i controlli sessione in Microsoft Defender per il cloud App per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da Okta a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di Defender per il cloud controlli sessione delle app.

Prerequisiti

• L'organizzazione deve avere le licenze seguenti per l'uso del controllo app per l'accesso condizionale:

  • Un tenant okta preconfigurato.
  • Microsoft Defender for Cloud Apps

• Configurazione esistente dell'accesso Single Sign-On di Okta per l'app tramite il protocollo di autenticazione SAML 2.0

Per configurare i controlli sessione per l'app usando Okta come IdP

Seguire questa procedura per instradare le sessioni dell'app Web da Okta alle app Defender per il cloud. Per i passaggi di configurazione di Microsoft Entra, vedere Onboard and deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Onboard and deploy Conditional Access App Control for custom apps using Microsoft Entra ID).

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da Okta usando uno dei metodi seguenti:

• Opzione 1: Caricamento del file di metadati SAML dell'app.
• Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare una nuova configurazione di applicazione personalizzata Okta e Single Sign-On dell'app

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app Okta

Passaggio 5: Completare la configurazione dell'applicazione personalizzata Okta

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

1. In Salesforce passare a Setup> Impostazioni> Identity>Single Sign-On Impostazioni.

2. In Single Sign-On Impostazioni fare clic sul nome della configurazione okta esistente.

   

3. Nella pagina SAML Single Sign-On Setting (Impostazione single sign-on SAML) prendere nota dell'URL di accesso di Salesforce. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

   Nota

   Se l'app fornisce un certificato SAML, scaricare il file del certificato.

   

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

2. In app Connessione ed selezionare App di controllo app per l'accesso condizionale.

3. Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.

4. Nella pagina INFORMAZIONI SULL'APP selezionare Compilare manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza e quindi fare clic su Avanti.

   Nota

   Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

   

Passaggio 3: Creare una nuova configurazione di applicazione personalizzata Okta e Single Sign-On dell'app

Nota

Per limitare il tempo di inattività dell'utente finale e mantenere la configurazione valida nota esistente, è consigliabile creare una nuova configurazione di applicazione personalizzata e Single Sign-On. Se non è possibile, ignorare i passaggi pertinenti. Ad esempio, se l'app che si sta configurando non supporta la creazione di più configurazioni Single Sign-On, ignorare il passaggio Crea nuovo accesso Single Sign-On.

1. Nella console di Okta Amministrazione, in Applicazioni, visualizzare le proprietà della configurazione esistente per l'app e prendere nota delle impostazioni.

2. Fare clic su Aggiungi applicazione e quindi su Crea nuova app. Oltre al valore dell'URI del gruppo di destinatari (SP Entity ID) che deve essere un nome univoco, configurare la nuova applicazione usando le impostazioni annotate in precedenza. Questa applicazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

3. Passare ad Applicazioni, visualizzare la configurazione okta esistente e nella scheda Accesso selezionare Visualizza istruzioni di installazione.

   

4. Prendere nota dell'URL single sign-on del provider di identità e scaricare il certificato di firma del provider di identità (X.509). che sarà necessario più avanti.

5. Tornare a Salesforce, nella pagina delle impostazioni di Okta Single Sign-On esistente prendere nota di tutte le impostazioni.

6. Creare una nuova configurazione dell'accesso Single Sign-On SAML. Oltre al valore entity ID che deve corrispondere all'URI audience (SP Entity ID) dell'applicazione personalizzata, configurare l'accesso Single Sign-On usando le impostazioni annotate in precedenza. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

7. Dopo aver salvato la nuova applicazione, passare alla pagina Assegnazioni e assegnare il Persone o i gruppi che richiedono l'accesso all'applicazione.

ׂ

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app Okta

1. Nella pagina Defender per il cloud Provider di identità delle app fare clic su Avanti per continuare.

2. Nella pagina successiva selezionare Compila dati manualmente, eseguire le operazioni seguenti e quindi fare clic su Avanti.

   • Per l'URL del servizio Single Sign-On immettere l'URL di accesso di Salesforce annotato in precedenza.
   • Selezionare Carica certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

   

3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie in un secondo momento.

   • URL single sign-on di Defender per il cloud Apps
   • Defender per il cloud Attributi e valori delle app

   Nota

   Se viene visualizzata un'opzione per caricare il certificato SAML delle app Defender per il cloud per il provider di identità, fare clic sul pulsante per scaricare il file del certificato. che sarà necessario più avanti.

   

Passaggio 5: Completare la configurazione dell'applicazione personalizzata Okta

1. Tornare alla console di okta Amministrazione, in Applicazioni selezionare l'applicazione personalizzata creata in precedenza e quindi in Generale>SAML Impostazioni fare clic su Modifica.

   

2. Nel campo URL single sign-on sostituire l'URL con l'URL single sign-on di Defender per il cloud app annotato in precedenza e quindi salvare le impostazioni.

3. In Directory selezionare Editor profili, selezionare l'applicazione personalizzata creata in precedenza e quindi fare clic su Profilo. Aggiungere attributi usando le informazioni seguenti.

   Nome visualizzato	Nome variabile	Tipo di dati	Tipo di attributo
   McasSigningCert	McasSigningCert	string	Personalizzata
   McasAppId	McasAppId	string	Personalizzata

   

4. Nella pagina Editor profili selezionare l'applicazione personalizzata creata in precedenza, fare clic su Mapping e quindi selezionare Okta User to {custom_app_name}. Eseguire il mapping degli attributi McasSigningCert e McasAppId ai valori degli attributi Defender per il cloud Apps annotati in precedenza.

   Nota

   • Assicurarsi di racchiudere i valori tra virgolette doppie (")
   • Okta limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, aggiungere gli attributi usando l'Editor profili come descritto.

   

5. Salva le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Nella pagina MODIFICHE APP app di Defender per il cloud eseguire le operazioni seguenti, ma non fare clic su Fine. Le informazioni saranno necessarie in un secondo momento.

• Copiare l'URL single sign-on SAML di app Defender per il cloud
• Scaricare il certificato SAML delle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Setup> Impostazioni> Identity>Single Sign-On Impostazioni e seguire questa procedura:

1. [Scelta consigliata] Creare un backup delle impostazioni correnti.

2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

3. Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.

4. Fare clic su Salva.

   Nota

   • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.
   • Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

   

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

• Nella pagina MODIFICHE APP app di Defender per il cloud fare clic su Fine. Dopo aver completato la procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.

Passaggi successivi

« PREVIOUS: Deploy Conditional Access App Control for any apps

Vedi anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi relativi ai controlli di accesso e sessione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.