App-beheer voor voorwaardelijke toegang implementeren voor elke web-app met Active Directory Federation Services (AD FS) als id-provider (IdP)
U kunt sessiebesturingselementen in Microsoft Defender voor Cloud Apps configureren voor gebruik met elke web-app en een andere niet-Microsoft IdP. In dit artikel wordt beschreven hoe u app-sessies van AD FS omleiden naar Defender voor Cloud Apps voor realtime sessiebesturingselementen.
Voor dit artikel gebruiken we de Salesforce-app als voorbeeld van een web-app die wordt geconfigureerd voor het gebruik van sessiebesturingselementen voor Defender voor Cloud Apps.
Vereisten
Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:
- Een vooraf geconfigureerde AD FS-omgeving
- Microsoft Defender for Cloud Apps
Een bestaande ad FS-configuratie voor eenmalige aanmelding voor de app met behulp van het SAML 2.0-verificatieprotocol
Notitie
De stappen hier zijn van toepassing op alle versies van AD FS die worden uitgevoerd op ondersteunde versie van Windows Server.
Sessiebesturingselementen voor uw app configureren met AD FS als idP
Gebruik de volgende stappen om uw web-app-sessies van AD FS te routeren naar Defender voor Cloud Apps. Zie App-beheer voor voorwaardelijke toegang onboarden en implementeren voor aangepaste apps met behulp van Microsoft Entra-id voor configuratiestappen van Microsoft Entra.
Notitie
U kunt de SAML-gegevens voor eenmalige aanmelding van de app configureren die door AD FS worden verstrekt met behulp van een van de volgende methoden:
- Optie 1: Upload het SAML-metagegevensbestand van de app.
- Optie 2: Handmatig de SAML-gegevens van de app opgegeven.
In de volgende stappen gebruiken we optie 2.
Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen
Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app
Stap 3: Een nieuwe ad FS Relying Party Trust en app-configuratie voor eenmalige aanmelding maken
Stap 4: Defender voor Cloud-apps configureren met de informatie van de AD FS-app
Stap 5: de configuratie van de RELYING Party-vertrouwensrelatie van AD FS voltooien
Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps
Stap 7: de app-wijzigingen voltooien
Stap 8: de configuratie voltooien in Defender voor Cloud Apps
Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen
Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen.
Klik onder Eenmalige aanmelding Instellingen op de naam van uw bestaande AD FS-configuratie.
Noteer de aanmeldings-URL van Salesforce op de pagina saml-instelling voor eenmalige aanmelding. U hebt dit later nodig bij het configureren van Defender voor Cloud Apps.
Notitie
Als uw app een SAML-certificaat biedt, downloadt u het certificaatbestand.
Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
Selecteer +Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.
Selecteer op de pagina APP-INFORMATIE handmatig invullen van gegevens, voer in de URL van de Assertion Consumer Service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd en klik vervolgens op Volgende.
Notitie
Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.
Stap 3: Een nieuwe ad FS Relying Party Trust en app-configuratie voor eenmalige aanmelding maken
Notitie
Als u de downtime van eindgebruikers wilt beperken en uw bestaande bekende goede configuratie wilt behouden, raden we u aan een nieuwe Relying Party-vertrouwensrelatie en eenmalige aanmeldingsconfiguratie te maken. Als dit niet mogelijk is, slaat u de relevante stappen over. Als de app die u configureert bijvoorbeeld geen ondersteuning biedt voor het maken van meerdere configuraties voor eenmalige aanmelding, slaat u de nieuwe stap voor eenmalige aanmelding over.
Bekijk in de AD FS-beheerconsole onder Relying Party Trusts de eigenschappen van uw bestaande relying party-vertrouwensrelatie voor uw app en noteer de instellingen.
Onder acties, klikt u op toevoegen Relying Party Trust. Naast de id-waarde die een unieke naam moet zijn, configureert u de nieuwe vertrouwensrelatie met behulp van de instellingen die u eerder hebt genoteerd. U hebt deze vertrouwensrelatie later nodig bij het configureren van Defender voor Cloud Apps.
Open het bestand met federatiemetagegevens en noteer de AD FS SingleSignOnService-locatie. Deze hebt u later nodig.
Notitie
U kunt het volgende eindpunt gebruiken voor toegang tot uw federatiemetagegevensbestand:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Download het handtekeningcertificaat van de id-provider. Deze hebt u later nodig.
Klik onder Services-certificaten> met de rechtermuisknop op het AD FS-handtekeningcertificaat en selecteer Certificaat weergeven.
Klik op het tabblad Details van het certificaat op Kopiëren naar bestand en volg de stappen in de wizard Certificaat exporteren om uw certificaat te exporteren als een met Base 64 gecodeerde X.509 (. CER) -bestand.
Noteer alle instellingen op de bestaande pagina met instellingen voor eenmalige aanmelding van AD FS in Salesforce.
Maak een nieuwe configuratie voor eenmalige aanmelding met SAML. Naast de waarde van de entiteits-id die moet overeenkomen met de vertrouwens-id van de relying party, configureert u de eenmalige aanmelding met behulp van de instellingen die u eerder hebt genoteerd. U hebt dit later nodig bij het configureren van Defender voor Cloud Apps.
Stap 4: Defender voor Cloud-apps configureren met de informatie van de AD FS-app
Klik op de pagina Defender voor Cloud Apps IDENTITY PROVIDER op Volgende om door te gaan.
Selecteer op de volgende pagina handmatig gegevens invullen, ga als volgt te werk en klik vervolgens op Volgende.
- Voer voor de SERVICE-URL voor eenmalige aanmelding de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
- Selecteer het SAML-certificaat van de id-provider uploaden en upload het certificaatbestand dat u eerder hebt gedownload.
Noteer de volgende informatie op de volgende pagina en klik op Volgende. U hebt de informatie later nodig.
- URL voor eenmalige aanmelding bij Defender voor Cloud Apps
- Defender voor Cloud Apps-kenmerken en -waarden
Notitie
Als u een optie ziet voor het uploaden van het DEFENDER VOOR CLOUD Apps SAML-certificaat voor de id-provider, klikt u op de koppeling om het certificaatbestand te downloaden. Deze hebt u later nodig.
Stap 5: de configuratie van de RELYING Party-vertrouwensrelatie van AD FS voltooien
Klik in de AD FS-beheerconsole met de rechtermuisknop op de relying party vertrouwensrelatie die u eerder hebt gemaakt en selecteer vervolgens Claimuitgiftebeleid bewerken.
Gebruik in het dialoogvenster Claimuitgiftebeleid bewerken onder Uitgiftetransformatieregels de opgegeven informatie in de volgende tabel om de stappen voor het maken van aangepaste regels te voltooien.
Naam claimregel Aangepaste regel McasSigningCert => issue(type="McasSigningCert", value="<value>");waar<value>is de McasSigningCert-waarde uit de wizard Defender voor Cloud Apps die u eerder hebt genoteerdMcasAppId => issue(type="McasAppId", value="<value>");is de McasAppId-waarde uit de wizard Defender voor Cloud Apps die u eerder hebt genoteerd- Klik op Regel toevoegen, selecteer onder Claimregelsjabloon Claims verzenden met behulp van een aangepaste regel en klik vervolgens op Volgende.
- Voer op de pagina Regel configureren de naam van de betreffende claimregel en de opgegeven aangepaste regel in.
Notitie
Deze regels zijn naast claimregels of kenmerken die vereist zijn voor de app die u configureert.
Klik op de pagina Relying Party Trust met de rechtermuisknop op de relying party-vertrouwensrelatie die u eerder hebt gemaakt en selecteer vervolgens Eigenschappen.
Op het tabblad Eindpunten selecteert u SAML Assertion Consumer Endpoint, klikt u op Bewerken en vervangt u de vertrouwde URL door de url voor eenmalige aanmelding van Defender voor Cloud Apps die u eerder hebt genoteerd en klikt u op OK.
Als u een Defender voor Cloud Apps SAML-certificaat voor de id-provider hebt gedownload, klikt u op het tabblad Handtekening op Toevoegen en uploadt u het certificaatbestand en klikt u vervolgens op OK.
Sla uw instellingen op.
Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps
Ga als volgt te werk op de pagina Defender voor Cloud App-WIJZIGINGEN, maar klik niet op Voltooien. U hebt de informatie later nodig.
- De URL voor eenmalige aanmelding bij Defender voor Cloud Apps SAML kopiëren
- Het SAML-certificaat voor Defender voor Cloud-apps downloaden
Stap 7: de app-wijzigingen voltooien
Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen en ga als volgt te werk:
Aanbevolen: maak een back-up van uw huidige instellingen.
Vervang de veldwaarde voor aanmeldings-URL van id-provider door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.
Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.
Klik op Opslaan.
Notitie
Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.
Stap 8: de configuratie voltooien in Defender voor Cloud-apps
- Klik op Voltooien op de pagina Defender voor Cloud Apps-APPWIJZIGINGEN. Nadat de wizard is voltooid, worden alle gekoppelde aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
Volgende stappen
Zie ook
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.