App-beheer voor voorwaardelijke toegang implementeren voor elke web-app met PingOne als id-provider (IdP)
U kunt sessiebesturingselementen in Microsoft Defender voor Cloud Apps configureren voor gebruik met elke web-app en een andere niet-Microsoft IdP. In dit artikel wordt beschreven hoe u app-sessies kunt routeren van PingOne naar Defender voor Cloud Apps voor realtime sessiebesturingselementen.
Voor dit artikel gebruiken we de Salesforce-app als voorbeeld van een web-app die wordt geconfigureerd voor het gebruik van sessiebesturingselementen voor Defender voor Cloud Apps. Als u andere apps wilt configureren, moet u dezelfde stappen uitvoeren op basis van hun vereisten.
Vereisten
Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:
- Een relevante PingOne-licentie (vereist voor eenmalige aanmelding)
- Microsoft Defender for Cloud Apps
Een bestaande PingOne-configuratie voor eenmalige aanmelding voor de app met behulp van het SAML 2.0-verificatieprotocol
Sessiebesturingselementen voor uw app configureren met PingOne als idP
Gebruik de volgende stappen om uw web-app-sessies van PingOne te routeren naar Defender voor Cloud Apps. Zie App-beheer voor voorwaardelijke toegang onboarden en implementeren voor aangepaste apps met behulp van Microsoft Entra-id voor configuratiestappen van Microsoft Entra.
Notitie
U kunt de SAML-gegevens voor eenmalige aanmelding van de app configureren die door PingOne worden verstrekt met behulp van een van de volgende methoden:
- Optie 1: Upload het SAML-metagegevensbestand van de app.
- Optie 2: Handmatig de SAML-gegevens van de app opgegeven.
In de volgende stappen gebruiken we optie 2.
Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen
Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app
Stap 3: Een aangepaste app maken in PingOne
Stap 4: Defender voor Cloud-apps configureren met de gegevens van de PingOne-app
Stap 5: De aangepaste app voltooien in PingOne
Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps
Stap 7: de app-wijzigingen voltooien
Stap 8: de configuratie voltooien in Defender voor Cloud Apps
Stap 1: De SAML-instellingen voor eenmalige aanmelding van uw app ophalen
Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen.
Selecteer onder Eenmalige aanmelding Instellingen de naam van uw bestaande SAML 2.0-configuratie.
Noteer de aanmeldings-URL van Salesforce op de pagina saml-instelling voor eenmalige aanmelding. Deze hebt u later nodig.
Notitie
Als uw app een SAML-certificaat biedt, downloadt u het certificaatbestand.
Stap 2: Defender voor Cloud-apps configureren met de SAML-gegevens van uw app
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
Selecteer +Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.
Selecteer op de pagina APP-informatie handmatig gegevens invullen, voer in de URL van de Assertion Consumer Service de Salesforce-aanmeldings-URL in die u eerder hebt genoteerd en selecteer vervolgens Volgende.
Notitie
Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.
Stap 3: Een aangepaste app maken in PingOne
Voordat u verdergaat, gebruikt u de volgende stappen om informatie op te halen uit uw bestaande Salesforce-app.
Bewerk uw bestaande Salesforce-app in PingOne.
Noteer op de pagina kenmerktoewijzing voor eenmalige aanmelding het kenmerk en de waarde van het SAML_SUBJECT en download vervolgens de bestanden voor handtekeningcertificaat en SAML-metagegevens.
Open het SAML-metagegevensbestand en noteer de PingOne SingleSignOnService-locatie. Deze hebt u later nodig.
Noteer de toegewezen groepen op de pagina Groepstoegang .
Gebruik vervolgens de instructies van de pagina Een SAML-toepassing toevoegen met uw id-provider om een aangepaste app te configureren in de portal van uw IdP.
Notitie
Als u een aangepaste app configureert, kunt u de bestaande app testen met toegangs- en sessiebesturingselementen zonder het huidige gedrag voor uw organisatie te wijzigen.
Maak een nieuwe SAML-toepassing.
Vul het formulier in op de pagina Toepassingsgegevens en selecteer Doorgaan naar volgende stap.
Tip
Gebruik een app-naam waarmee u onderscheid kunt maken tussen de aangepaste app en de bestaande Salesforce-app.
Ga op de pagina Toepassingsconfiguratie als volgt te werk en selecteer vervolgens Doorgaan naar volgende stap.
- Voer in het veld Assertion Consumer Service (ACS) de aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
- Voer in het veld Entiteits-id een unieke id in die begint met
https://. Zorg ervoor dat dit verschilt van de configuratie van de salesforce PingOne-app die wordt afgesloten. - Noteer de entiteits-id. Deze hebt u later nodig.
Voeg op de pagina Kenmerktoewijzing voor eenmalige aanmelding het SAML_SUBJECT kenmerk en de waarde van de bestaande Salesforce-app toe die u eerder hebt genoteerd en selecteer vervolgens Doorgaan naar volgende stap.
Voeg op de pagina Groepstoegang de bestaande Groepen van de Salesforce-app toe die u eerder hebt genoteerd en voltooi de configuratie.
Stap 4: Defender voor Cloud-apps configureren met de gegevens van de PingOne-app
Ga terug naar de pagina Defender voor Cloud Apps IDENTITY PROVIDER en selecteer Volgende om door te gaan.
Selecteer op de volgende pagina handmatig gegevens invullen, ga als volgt te werk en selecteer vervolgens Volgende.
- Voer voor de URL van de Assertion Consumer Service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
- Selecteer het SAML-certificaat van de id-provider uploaden en upload het certificaatbestand dat u eerder hebt gedownload.
Noteer de volgende informatie op de volgende pagina en selecteer Volgende. U hebt de informatie later nodig.
- URL voor eenmalige aanmelding bij Defender voor Cloud Apps
- Defender voor Cloud Apps-kenmerken en -waarden
Stap 5: De aangepaste app voltooien in PingOne
Zoek en bewerk in PingOne de aangepaste Salesforce-app.
Vervang in het veld Assertion Consumer Service (ACS) de URL door de url voor eenmalige aanmelding van Defender voor Cloud Apps die u eerder hebt genoteerd en selecteer vervolgens Volgende.
Voeg de kenmerken en waarden van Defender voor Cloud Apps toe die u eerder hebt genoteerd aan de eigenschappen van de app.
Sla uw instellingen op.
Stap 6: De app-wijzigingen ophalen in Defender voor Cloud Apps
Ga terug naar de pagina Defender voor Cloud App-WIJZIGINGEN, ga als volgt te werk, maar selecteer Niet Voltooien. U hebt de informatie later nodig.
- De URL voor eenmalige aanmelding bij Defender voor Cloud Apps SAML kopiëren
- Het SAML-certificaat voor Defender voor Cloud-apps downloaden
Stap 7: de app-wijzigingen voltooien
Blader in Salesforce naar Setup> Instellingen> Identity>Single Sign-On Instellingen en ga als volgt te werk:
Aanbevolen: maak een back-up van uw huidige instellingen.
Vervang de veldwaarde voor aanmeldings-URL van id-provider door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.
Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.
Vervang de waarde van het veld Entiteits-id door de entiteits-id van pingone die u eerder hebt genoteerd.
Selecteer Opslaan.
Notitie
Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.
Stap 8: de configuratie voltooien in Defender voor Cloud-apps
- Selecteer Voltooien op de pagina Defender voor Cloud Apps-APP WIJZIGEN. Nadat de wizard is voltooid, worden alle gekoppelde aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
Volgende stappen
Zie ook
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.