App-beheer voor voorwaardelijke toegang implementeren voor elke web-app met okta als id-provider (IdP)

  • Artikel

U kunt sessiebesturingselementen in Microsoft Defender voor Cloud Apps configureren voor gebruik met elke web-app en een andere niet-Microsoft IdP. In dit artikel wordt beschreven hoe u app-sessies kunt routeren van Okta naar Defender voor Cloud Apps voor realtime sessiebesturingselementen.

Voor dit artikel gebruiken we de Salesforce-app als voorbeeld van een web-app die wordt geconfigureerd voor het gebruik van sessiebesturingselementen voor Defender voor Cloud Apps.

Vereisten

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

    • Een vooraf geconfigureerde Okta-tenant.
    • Microsoft Defender for Cloud Apps

  • Een bestaande okta-configuratie voor eenmalige aanmelding voor de app met behulp van het SAML 2.0-verificatieprotocol

Sessiebesturingselementen voor uw app configureren met Okta als idP

Gebruik de volgende stappen om uw web-app-sessies van Okta te routeren naar Defender voor Cloud Apps. Zie App-beheer voor voorwaardelijke toegang onboarden en implementeren voor aangepaste apps met behulp van Microsoft Entra-id voor configuratiestappen van Microsoft Entra.

Notitie

U kunt de SAML-gegevens voor eenmalige aanmelding van de app configureren die door Okta worden verstrekt met behulp van een van de volgende methoden:

  • Optie 1: Upload het SAML-metagegevensbestand van de app.
  • Optie 2: Handmatig de SAML-gegevens van de app opgegeven.

In de volgende stappen gebruiken we optie 2.

Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen

Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app

Stap 3: Een nieuwe aangepaste Okta-toepassing en app-configuratie voor eenmalige aanmelding maken

Stap 4: Defender voor Cloud apps configureren met de informatie van de Okta-app

Stap 5: de configuratie van de aangepaste Okta-toepassing voltooien

Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps

Stap 7: de app-wijzigingen voltooien

Stap 8: de configuratie voltooien in Defender voor Cloud Apps

Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen

  1. Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen.

  2. Klik onder Eenmalige aanmelding Instellingen op de naam van uw bestaande Okta-configuratie.

    Select Salesforce SSO settings.

  3. Noteer de aanmeldings-URL van Salesforce op de pagina saml-instelling voor eenmalige aanmelding. U hebt dit later nodig bij het configureren van Defender voor Cloud Apps.

    Notitie

    Als uw app een SAML-certificaat biedt, downloadt u het certificaatbestand.

    Select Salesforce SSO login URL.

Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  3. Selecteer +Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.

  4. Selecteer op de pagina APP-INFORMATIE handmatig invullen van gegevens, voer in de URL van de Assertion Consumer Service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd en klik vervolgens op Volgende.

    Notitie

    Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.

    Manually fill in Salesforce SAML information.

Stap 3: Een nieuwe aangepaste Okta-toepassing en app-configuratie voor eenmalige aanmelding maken

Notitie

Als u de downtime van eindgebruikers wilt beperken en uw bestaande bekende goede configuratie wilt behouden, raden we u aan een nieuwe aangepaste toepassing en eenmalige aanmeldingsconfiguratie te maken. Als dit niet mogelijk is, slaat u de relevante stappen over. Als de app die u configureert bijvoorbeeld geen ondersteuning biedt voor het maken van meerdere configuraties voor eenmalige aanmelding, slaat u de nieuwe stap voor eenmalige aanmelding over.

  1. Bekijk in de Okta Beheer-console onder Toepassingen de eigenschappen van uw bestaande configuratie voor uw app en noteer de instellingen.

  2. Klik op Toepassing toevoegen en klik vervolgens op Nieuwe app maken. Naast de waarde van de doelgroep-URI (SP Entity ID) die een unieke naam moet zijn, configureert u de nieuwe toepassing met behulp van de instellingen die u eerder hebt genoteerd. U hebt deze toepassing later nodig bij het configureren van Defender voor Cloud Apps.

  3. Navigeer naar Toepassingen, bekijk uw bestaande Okta-configuratie en selecteer op het tabblad Aanmelden de optie Installatie-instructies weergeven.

    Note existing Salesforce app's SSO service location.

  4. Noteer de URL voor eenmalige aanmelding van de id-provider en download het handtekeningcertificaat van de id-provider (X.509). Deze hebt u later nodig.

  5. Noteer alle instellingen op de bestaande pagina met instellingen voor eenmalige aanmelding bij Okta in Salesforce.

  6. Maak een nieuwe configuratie voor eenmalige aanmelding met SAML. Naast de entiteits-id-waarde die moet overeenkomen met de doelgroep-URI (SP Entity ID) van de aangepaste toepassing, configureert u de eenmalige aanmelding met behulp van de instellingen die u eerder hebt genoteerd. U hebt dit later nodig bij het configureren van Defender voor Cloud Apps.

  7. Nadat u de nieuwe toepassing hebt opgeslagen, gaat u naar de pagina Toewijzingen en wijst u de Mensen of groepen toe waarvoor toegang tot de toepassing is vereist.

ׂ

Stap 4: Defender voor Cloud apps configureren met de gegevens van de Okta-app

  1. Klik op de pagina Defender voor Cloud Apps IDENTITY PROVIDER op Volgende om door te gaan.

  2. Selecteer op de volgende pagina handmatig gegevens invullen, ga als volgt te werk en klik vervolgens op Volgende.

    • Voer voor de SERVICE-URL voor eenmalige aanmelding de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
    • Selecteer het SAML-certificaat van de id-provider uploaden en upload het certificaatbestand dat u eerder hebt gedownload.

    Add SSO service URL and SAML certificate.

  3. Noteer de volgende informatie op de volgende pagina en klik op Volgende. U hebt de informatie later nodig.

    • URL voor eenmalige aanmelding bij Defender voor Cloud Apps
    • Defender voor Cloud Apps-kenmerken en -waarden

    Notitie

    Als u een optie ziet voor het uploaden van het DEFENDER VOOR CLOUD Apps SAML-certificaat voor de id-provider, klikt u op de klik om het certificaatbestand te downloaden. Deze hebt u later nodig.

    In Defender for Cloud Apps, note SSO URL and attributes.

Stap 5: de configuratie van de aangepaste Okta-toepassing voltooien

  1. Selecteer in de Okta Beheer-console onder Toepassingen de aangepaste toepassing die u eerder hebt gemaakt en klik vervolgens onder Algemeen>SAML-Instellingen op Bewerken.

    Locate and edit SAML settings.

  2. Vervang in het veld Single sign-on URL de URL door de Defender voor Cloud Apps-URL voor eenmalige aanmelding die u eerder hebt genoteerd en sla de instellingen op.

  3. Selecteer onder Directory de profieleditor, selecteer de aangepaste toepassing die u eerder hebt gemaakt en klik vervolgens op Profiel. Voeg kenmerken toe met behulp van de volgende informatie.

    Weergavenaam Variabelenaam Gegevenstype Type kenmerk
    McasSigningCert McasSigningCert tekenreeks Aanpassen
    McasAppId McasAppId tekenreeks Aanpassen

    Add profile attributes.

  4. Selecteer op de pagina Profieleditor de aangepaste toepassing die u eerder hebt gemaakt, klik op Toewijzingen en selecteer vervolgens Okta User op {custom_app_name}. Wijs de kenmerken McasSigningCert en McasAppId toe aan de kenmerkwaarden Defender voor Cloud Apps die u eerder hebt genoteerd.

    Notitie

    • Zorg ervoor dat u de waarden tussen dubbele aanhalingstekens (") plaatst
    • Okta beperkt kenmerken tot 1024 tekens. Als u deze beperking wilt beperken, voegt u de kenmerken toe met behulp van de profieleditor zoals beschreven.

    Map profile attributes.

  5. Sla uw instellingen op.

Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps

Ga als volgt te werk op de pagina Defender voor Cloud App-WIJZIGINGEN, maar klik niet op Voltooien. U hebt de informatie later nodig.

  • De URL voor eenmalige aanmelding bij Defender voor Cloud Apps SAML kopiëren
  • Het SAML-certificaat voor Defender voor Cloud-apps downloaden

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Stap 7: de app-wijzigingen voltooien

Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen en ga als volgt te werk:

  1. [Aanbevolen] Maak een back-up van uw huidige instellingen.

  2. Vervang de veldwaarde voor aanmeldings-URL van id-provider door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.

  3. Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.

  4. Klik op Opslaan.

    Notitie

    • Nadat u uw instellingen hebt opgeslagen, worden alle bijbehorende aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
    • Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.

    Update SSO settings.

Stap 8: de configuratie voltooien in Defender voor Cloud-apps

  • Klik op Voltooien op de pagina Defender voor Cloud Apps-APPWIJZIGINGEN. Nadat de wizard is voltooid, worden alle gekoppelde aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.

Volgende stappen

« VORIGE: App-beheer voor voorwaardelijke toegang implementeren voor alle apps

Zie ook

Inleiding tot app-beheer voor voorwaardelijke toegang

Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.