Distribuire il controllo delle app per l'accesso condizionale per qualsiasi app Web usando PingOne come provider di identità (IdP)
È possibile configurare i controlli sessione in Microsoft Defender per il cloud App per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da PingOne a app Defender per il cloud per i controlli sessione in tempo reale.
Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di Defender per il cloud controlli sessione delle app. Per configurare altre app, eseguire gli stessi passaggi in base ai requisiti.
Prerequisiti
L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:
- Una licenza PingOne pertinente (necessaria per l'accesso Single Sign-On)
- Microsoft Defender for Cloud Apps
Configurazione dell'accesso Single Sign-On di PingOne esistente per l'app tramite il protocollo di autenticazione SAML 2.0
Per configurare i controlli sessione per l'app usando PingOne come IdP
Seguire questa procedura per instradare le sessioni dell'app Web da PingOne alle app Defender per il cloud.
Nota
È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da PingOne usando uno dei metodi seguenti:
- Opzione 1: Caricamento del file di metadati SAML dell'app.
- Opzione 2: specificare manualmente i dati SAML dell'app.
Nei passaggi seguenti si userà l'opzione 2.
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app
Passaggio 3: Creare un'app personalizzata in PingOne
Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne
Passaggio 5: Completare l'app personalizzata in PingOne
Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud
Passaggio 7: Completare le modifiche dell'app
Passaggio 8: Completare la configurazione nelle app di Defender per il cloud
Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app
In Salesforce passare a Impostazioni>di installazione>Identità>Single Sign-On Impostazioni.
In Impostazioni single sign-on selezionare il nome della configurazione SAML 2.0 esistente.
Nella pagina SAML Single Sign-On Setting (Impostazione single sign-on SAML) prendere nota dell'URL di accesso di Salesforce. che sarà necessario più avanti.
Nota
Se l'app fornisce un certificato SAML, scaricare il file del certificato.
Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In App connesse selezionare App di controllo app per l'accesso condizionale.
Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.
Nella pagina INFORMAZIONI SULL'APP selezionare Compilare manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza e quindi selezionare Avanti.
Nota
Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.
Passaggio 3: Creare un'app personalizzata in PingOne
Prima di procedere, seguire questa procedura per ottenere informazioni dall'app Salesforce esistente.
In PingOne modificare l'app Salesforce esistente.
Nella pagina Mapping attributi SSO prendere nota dell'attributo e del valore SAML_SUBJECT e quindi scaricare i file certificato di firma e metadati SAML.
Aprire il file di metadati SAML e prendere nota del percorso PingOne SingleSignOnService. che sarà necessario più avanti.
Nella pagina Accesso al gruppo prendere nota dei gruppi assegnati.
Usare quindi le istruzioni della pagina Aggiungi un'applicazione SAML con il provider di identità per configurare un'app personalizzata nel portale di IdP.
Nota
La configurazione di un'app personalizzata consente di testare l'app esistente con controlli di accesso e sessione senza modificare il comportamento corrente per l'organizzazione.
Creare una nuova applicazione SAML.
Nella pagina Dettagli applicazione compilare il modulo e quindi selezionare Continua al passaggio successivo.
Suggerimento
Usare un nome dell'app che consente di distinguere tra l'app personalizzata e l'app Salesforce esistente.
Nella pagina Configurazione applicazione eseguire le operazioni seguenti e quindi selezionare Continua al passaggio successivo.
- Nel campo Asserzione Consumer Service (ACS) immettere l'URL di accesso di Salesforce annotato in precedenza.
- Nel campo Entity ID (ID entità) immettere un ID univoco a partire da
https://. Assicurarsi che sia diverso dalla configurazione dell'app Salesforce PingOne in uscita. - Prendere nota dell'ID entità. che sarà necessario più avanti.
Nella pagina Mapping attributi SSO aggiungere l'attributo e il valore dell'app Salesforce SAML_SUBJECT esistenti annotati in precedenza e quindi selezionare Continua al passaggio successivo.
Nella pagina Accesso al gruppo aggiungere i gruppi dell'app Salesforce esistenti annotati in precedenza e completare la configurazione.
Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne
Nella pagina Defender per il cloud Provider di identità delle app selezionare Avanti per continuare.
Nella pagina successiva selezionare Compilare manualmente i dati, eseguire le operazioni seguenti e quindi selezionare Avanti.
- Per URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza.
- Selezionare Carica certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.
Nella pagina successiva prendere nota delle informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie in un secondo momento.
- URL single sign-on di Defender per il cloud Apps
- Defender per il cloud Attributi e valori delle app
Passaggio 5: Completare l'app personalizzata in PingOne
In PingOne individuare e modificare l'app Salesforce personalizzata.
Nel campo Assertion Consumer Service (ACS) sostituire l'URL con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi selezionare Avanti.
Aggiungere gli attributi e i valori delle app Defender per il cloud annotati in precedenza alle proprietà dell'app.
Salva le impostazioni.
Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud
Tornare alla pagina modifiche app Defender per il cloud app, eseguire le operazioni seguenti, ma non selezionare Fine. Le informazioni saranno necessarie in un secondo momento.
- Copiare l'URL single sign-on SAML di app Defender per il cloud
- Scaricare il certificato SAML delle app Defender per il cloud
Passaggio 7: Completare le modifiche dell'app
In Salesforce passare a Impostazioni>>di installazione>identità Single Sign-On e seguire questa procedura:
Consigliato: creare un backup delle impostazioni correnti.
Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.
Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.
Sostituire il valore del campo Id entità con l'ID entità dell'app personalizzata PingOne annotato in precedenza.
Seleziona Salva.
Nota
Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.
Passaggio 8: Completare la configurazione nelle app di Defender per il cloud
- Nella pagina MODIFICHE APP Defender per il cloud app selezionare Fine. Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo delle app per l'accesso condizionale.
Contenuto correlato
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.