Id プロバイダー (IdP) として Okta を使用して、任意の Web アプリに対してアプリの条件付きアクセス制御をデプロイする

  • [アーティクル]

Microsoft Defender for Cloud Apps のセッション制御は、任意の Web アプリおよび Microsoft 以外の IdP と連動するように構成できます。 この記事では、アプリのセッションを Okta から Defender for Cloud Apps にルーティングして、セッションをリアルタイムで制御する方法について説明します。

この記事では、Defender for Cloud Apps セッション制御を使用するように構成されている Web アプリの例として、Salesforce アプリを使用します。

前提条件

  • アプリの条件付きアクセス制御を使用するには、組織が次のライセンスを持っている必要があります。

    • 構成済みの Okta テナント。
    • Microsoft Defender for Cloud Apps

  • SAML 2.0 認証プロトコルを使用したアプリの既存の Okta シングル サインオン構成

IdP として Okta を 使用してアプリのセッション制御を構成する方法

Okta から Defender for Cloud Apps にお使いの Web アプリのセッションをルーティングするには、次の手順を使用します。 Azure AD の構成手順については、「Azure Active Directory を使用するカスタム アプリに対してアプリの条件付きアクセス制御を展開する」を参照してください。

Note

Okta で提供されるアプリの SAML シングル サインオン情報を構成するには、次のいずれかの方法を使用します。

  • オプション 1: アプリの SAML メタデータ ファイルをアップロードする。
  • オプション 2: アプリの SAML データを手動で指定する。

次の手順では、オプション 2 を使用します。

手順 1: アプリの SAML シングル サインオン設定を取得する

手順 2: アプリの SAML 情報を使用して Defender for Cloud Apps を構成する

手順 3: 新しい Okta カスタム アプリケーションとアプリのシングル サインオン構成を作成する

手順 4: Okta アプリの情報を使用して Defender for Cloud Apps を構成する

手順 5: Okta カスタム アプリケーションの構成を完了する

手順 6: Defender for Cloud Apps でアプリの変更を取得する

手順 7: アプリの変更を完了する

手順 8: Defender for Cloud Apps で構成を完了する

手順 1: アプリの SAML シングル サインオン設定を取得する

  1. Salesforce で、[セットアップ] > [設定]> [ID] > [シングル サインオン設定] に移動します。

  2. [シングル サインオン 設定] で、お使いの既存の Okta 構成の名前をクリックします。

    Select Salesforce SSO settings.

  3. [SAML シングル サインオン設定] ページで、Salesforce ログイン URL をメモしておきます。 これは、後で Defender for Cloud Apps を構成するときに必要になります。

    Note

    アプリで SAML 証明書が提供されている場合は、証明書ファイルをダウンロードします。

    Select Salesforce SSO login URL.

手順 2: アプリの SAML 情報を使用して Defender for Cloud Apps を構成する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。

  2. [接続アプリ] で、[アプリの条件付きアクセス制御アプリ] を選択します。

  3. [+ 追加] を選択し、ポップアップでデプロイするアプリを選択してから、[ウィザード起動] を選択します。

  4. [アプリ情報] ページで、[データを手動で入力する] を選択し、[Assertion consumer service URL] に前にメモした Salesforce のログイン URL を入力して、[次へ] をクリックします。

    Note

    アプリで SAML 証明書が提供されている場合は、[<アプリ名> の SAML 証明書を使用する] を選択して、証明書ファイルをアップロードします。

    Manually fill in Salesforce SAML information.

手順 3: 新しい Okta カスタム アプリケーションとアプリのシングル サインオン構成を作成する

Note

エンドユーザーのダウンタイムを制限し、既存の既知の適切な構成を保持するには、新しいカスタム アプリケーションシングル サインオン構成を作成することをお勧めします。 これを実行することができない場合は、関連する手順をスキップしてください。 たとえば、構成しているアプリで複数のシングル サインオン構成の作成がサポートされていない場合は、新しいシングル サインオンの作成手順をスキップします。

  1. Okta 管理者コンソールの [アプリケーション] で、アプリの既存の構成のプロパティを表示し、その設定をメモしておきます。

  2. [アプリケーションの追加] をクリックし、[新しいアプリの作成] をクリックします。 一意の名前である必要がある対象ユーザー URI (SP エンティティ ID) の値とは別に、前にメモした設定を使用して新しいアプリケーションを構成します。 このアプリケーションは、後で Defender for Cloud Apps を構成するときに必要になります。

  3. [アプリケーション] に移動し、既存の Okta 構成を表示して、[サインオン] タブで [セットアップ手順の表示] を選択します。

    Note existing Salesforce app's SSO service location.

  4. ID プロバイダーのシングル サインオン URL をメモして、ID プロバイダーの署名証明書 (X.509) をダウンロードします。 これは後で必要になります。

  5. Salesforce に戻り、既存の Okta のシングル サインオン設定ページで、すべての設定をメモします。

  6. 新しい SAML シングル サインオン構成を作成します。 カスタム アプリケーションの対象ユーザー URI (SP エンティティ ID) と一致する必要があるエンティティ ID 値とは別に、前にメモした設定を使用してシングル サインオンを構成します。 これは、後で Defender for Cloud Apps を構成するときに必要になります。

  7. 新しいアプリケーションを保存したら、[割り当て] ページに移動し、アプリケーションへのアクセスを必要とする [ユーザー] または [グループ] を割り当てます。

ׂ

手順 4: Okta アプリの情報を使用して Defender for Cloud Apps を構成する

  1. Defender for Cloud Apps の [ID プロバイダー] ページに戻り、[次へ] をクリックして続行します。

  2. 次のページで、[データを手動で入力] を選択し、次の手順を実行して、[次へ] をクリックします。

    • [シングル サインオン サービス URL] に、前にメモした Salesforce のログイン URL を入力します。
    • [Upload identity provider's SAML certificate] (ID プロバイダーの SAML 証明書をアップロードする) を選択し、前にダウンロードした証明書ファイルをアップロードします。

    Add SSO service URL and SAML certificate.

  3. 次のページで、以下の情報をメモしてから、 [次へ] をクリックします。 この情報は後で必要になります。

    • Defender for Cloud Apps のシングル サインオン URL
    • Defender for Cloud Apps の属性と値

    Note

    ID プロバイダー用の Defender for Cloud Apps SAML 証明書をアップロードするオプションが表示された場合は、それをクリックして証明書ファイルをダウンロードします。 これは後で必要になります。

    In Defender for Cloud Apps, note SSO URL and attributes.

手順 5: Okta カスタム アプリケーションの構成を完了する

  1. Okta 管理者コンソールに戻り、[アプリケーション] で、前に作成したカスタム アプリケーションを選択した後、 [全般] > [SAML 設定] で [編集] をクリックします。

    Locate and edit SAML settings.

  2. [シングル サインオンの URL] フィールドで、URL を先ほどメモした Defender for Cloud Apps シングル サインオン URL に置き換えてから、設定を保存します。

  3. [ディレクトリ] で [プロファイル エディター] を選択し、前に作成したカスタム アプリケーションを選択して、[プロファイル] をクリックします。 次の情報を使用して属性を追加します。

    [表示名] 変数名 データの種類 属性の型
    McasSigningCert McasSigningCert string Custom
    McasAppId McasAppId string Custom

    Add profile attributes.

  4. [プロファイル エディター] ページに戻り、前に作成したカスタム アプリケーションを選択し、[マッピング] をクリックして、[Okta ユーザーから {カスタムアプリ名} へ] を選択します。 McasSigningCert および McasAppId 属性を、先ほどメモした Defender for Cloud Apps 属性値にマップします。

    Note

    • 値は必ず二重引用符 (") で囲んでください。
    • Okta では属性が 1024 文字に制限されます。 この制限を緩和するには、説明に従ってプロファイル エディターを使用して属性を追加します。

    Map profile attributes.

  5. 設定を保存します。

手順 6: Defender for Cloud Apps でアプリの変更を取得する

Defender for Cloud Apps の [アプリの変更] ページに戻り、次のようにしますが、[完了] はクリックしないでください。 この情報は後で必要になります。

  • Defender for Cloud Apps の SAML シングル サインオン URL をコピーする
  • Defender for Cloud Apps の SAML 証明書をダウンロードする

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

手順 7: アプリの変更を完了する

Salesforce で、[セットアップ] > [設定] > [ID] > [シングル サインオン設定] を参照し、次を行います。

  1. [推奨] 現在の設定のバックアップを作成します。

  2. [ID プロバイダーのログイン URL] フィールドの値を、先ほどメモした Defender for Cloud Apps SAML シングル サインオンの URL に置き換えます。

  3. 先ほどダウンロードした Defender for Cloud Apps の SAML 証明書をアップロードします。

  4. [保存] をクリックします。

    Note

    • 設定を保存すると、このアプリに関連付けられているすべてのログイン要求が、アプリの条件付きアクセス制御を介してルーティングされます。
    • Defender for Cloud Apps の SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しい証明書を生成する必要があります。

    Update SSO settings.

手順 8: Defender for Cloud Apps で構成を完了する

  • Defender for Cloud Apps の [アプリの変更] ページに戻り、[完了] をクリックします。 ウィザードを完了すると、このアプリに関連付けられているすべてのログイン要求が、アプリの条件付きアクセス制御を介してルーティングされます。

次のステップ

« 前へ: すてのアプリを対象としたアプリの条件付きアクセス制御のデプロイ

関連項目

アプリの条件付きのアクセス制御の概要

アクセス制御とセッション制御に関するトラブルシューティング

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。