Delen via


App-beheer voor voorwaardelijke toegang implementeren voor elke web-app met behulp van Active Directory Federation Services (AD FS) als id-provider (IdP)

U kunt sessiebesturingselementen configureren in Microsoft Defender for Cloud Apps om te werken met elke web-app en elke niet-Microsoft IdP. In dit artikel wordt beschreven hoe u app-sessies van AD FS naar Defender for Cloud Apps routert voor realtime sessiebesturingselementen.

In dit artikel gebruiken we de Salesforce-app als voorbeeld van een web-app die wordt geconfigureerd voor het gebruik van Defender for Cloud Apps sessiebesturingselementen.

Vereisten

  • Uw organisatie moet de volgende licenties hebben om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

    • Een vooraf geconfigureerde AD FS-omgeving
    • Microsoft Defender for Cloud Apps
  • Een bestaande AD FS-configuratie voor eenmalige aanmelding voor de app met behulp van het SAML 2.0-verificatieprotocol

Opmerking

De stappen hier zijn van toepassing op alle versies van AD FS die worden uitgevoerd op ondersteunde versie van Windows Server.

Sessiebesturingselementen configureren voor uw app met BEHULP van AD FS als de IdP

Gebruik de volgende stappen om uw web-app-sessies van AD FS naar Defender for Cloud Apps te routeren.

Opmerking

U kunt de SAML-gegevens voor eenmalige aanmelding van de app configureren die door AD FS worden verstrekt met behulp van een van de volgende methoden:

  • Optie 1: het SAML-metagegevensbestand van de app uploaden.
  • Optie 2: handmatig de SAML-gegevens van de app opgeven.

In de volgende stappen gebruiken we optie 2.

Stap 1: de SAML-instellingen voor eenmalige aanmelding van uw app ophalen

Stap 2: Defender for Cloud Apps configureren met de SAML-gegevens van uw app

Stap 3: Maak een nieuwe ad FS Relying Party Trust en app-configuratie voor eenmalige aanmelding.

Stap 4: Defender for Cloud Apps configureren met de informatie van de AD FS-app

Stap 5: voltooi de configuratie van de RELYING Party Trust van AD FS

Stap 6: De app-wijzigingen ophalen in Defender for Cloud Apps

Stap 7: de app-wijzigingen voltooien

Stap 8: voltooi de configuratie in Defender for Cloud Apps

Stap 1: de SAML-instellingen voor eenmalige aanmelding van uw app ophalen

  1. Blader in Salesforce naarInstellingen voor>identiteit>één Sign-On instellingen instellen>.

  2. Klik onder Instellingen voor één Sign-On op de naam van uw bestaande AD FS-configuratie.

    Selecteer Salesforce SSO-instellingen.

  3. Noteer op de pagina SAML Single Sign-On Setting de Aanmeldings-URL van Salesforce. U hebt deze later nodig bij het configureren van Defender for Cloud Apps.

    Opmerking

    Als uw app een SAML-certificaat levert, downloadt u het certificaatbestand.

    Selecteer Aanmeldings-URL voor eenmalige aanmelding bij Salesforce.

Stap 2: Defender for Cloud Apps configureren met de SAML-gegevens van uw app

  1. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps.

  2. Selecteer onder Verbonden apps de optie Apps voor app-beheer voor voorwaardelijke toegang.

  3. Selecteer +Toevoegen, selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens Wizard starten.

  4. Selecteer op de pagina APP-INFORMATIE de optie Gegevens handmatig invullen, voer in de URL van de Assertion Consumer Service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd en klik vervolgens op Volgende.

    Opmerking

    Als uw app een SAML-certificaat levert, selecteert u App_name> SAML-certificaat gebruiken < en uploadt u het certificaatbestand.

    Vul de SamL-gegevens van Salesforce handmatig in.

Stap 3: maak een nieuwe AD FS Relying Party Trust en App Single Sign-On-configuratie

Opmerking

Als u de downtime van eindgebruikers wilt beperken en uw bestaande bekende goede configuratie wilt behouden, raden we u aan een nieuwe Relying Party Trust - en Single Sign-On-configuratie te maken. Als dit niet mogelijk is, slaat u de relevante stappen over. Als de app die u configureert bijvoorbeeld geen ondersteuning biedt voor het maken van meerdere configuraties met één Sign-On, slaat u de stap nieuwe eenmalige aanmelding maken over.

  1. Bekijk in de AD FS-beheerconsole onder Relying Party-vertrouwensrelaties de eigenschappen van uw bestaande relying party-vertrouwensrelatie voor uw app en noteer de instellingen.

  2. Klik onder Acties op Relying Party-vertrouwensrelatie toevoegen. Afgezien van de id-waarde die een unieke naam moet zijn, configureert u de nieuwe vertrouwensrelatie met behulp van de instellingen die u eerder hebt genoteerd. U hebt deze vertrouwensrelatie later nodig bij het configureren van Defender for Cloud Apps.

  3. Open het bestand met federatieve metagegevens en noteer de AD FS SingleSignOnService-locatie. U hebt deze later nodig.

    Opmerking

    U kunt het volgende eindpunt gebruiken voor toegang tot uw bestand met federatieve metagegevens: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Let op de locatie van de SSO-service van de bestaande Salesforce-app.

  4. Download het handtekeningcertificaat van de id-provider. U hebt deze later nodig.

    1. Klik onder ServicesCertificaten> met de rechtermuisknop op het AD FS-handtekeningcertificaat en selecteer certificaat weergeven.

      Eigenschappen van IdP-handtekeningcertificaat weergeven.

    2. Klik op het tabblad Details van het certificaat op Kopiëren naar bestand en volg de stappen in de wizard Certificaat exporteren om uw certificaat te exporteren als een met Base-64 gecodeerde X.509 (. CER) -bestand.

      Sla het IdP-handtekeningcertificaatbestand op.

  5. In Salesforce noteert u op de bestaande pagina met instellingen voor eenmalige aanmelding van AD FS alle instellingen.

  6. Maak een nieuwe saml-configuratie voor eenmalige aanmelding. Naast de waarde van de entiteits-id die moet overeenkomen met de vertrouwens-id van de relying party, configureert u de eenmalige aanmelding met behulp van de instellingen die u eerder hebt genoteerd. U hebt deze later nodig bij het configureren van Defender for Cloud Apps.

Stap 4: Defender for Cloud Apps configureren met de informatie van de AD FS-app

  1. Ga terug naar de pagina Defender for Cloud Apps ID-PROVIDER en klik op Volgende om door te gaan.

  2. Selecteer op de volgende pagina Gegevens handmatig invullen, ga als volgt te werk en klik vervolgens op Volgende.

    • Voer voor de SERVICE-URL voor eenmalige aanmelding de Aanmeldings-URLvan Salesforce in die u eerder hebt genoteerd.
    • Selecteer HET SAML-certificaat van de id-provider uploaden en upload het certificaatbestand dat u eerder hebt gedownload.

    Voeg de URL van de SSO-service en het SAML-certificaat toe.

  3. Noteer de volgende informatie op de volgende pagina en klik vervolgens op Volgende. U hebt de informatie later nodig.

    • URL voor eenmalige aanmelding Defender for Cloud Apps
    • kenmerken en waarden Defender for Cloud Apps

    Opmerking

    Als u een optie ziet voor het uploaden van het Defender for Cloud Apps SAML-certificaat voor de id-provider, klikt u op de koppeling om het certificaatbestand te downloaden. U hebt deze later nodig.

    Noteer in Defender for Cloud Apps de URL en kenmerken van eenmalige aanmelding.

Stap 5: voltooi de configuratie van de RELYING Party Trust van AD FS

  1. Klik in de AD FS-beheerconsole met de rechtermuisknop op de relying party-vertrouwensrelatie die u eerder hebt gemaakt en selecteer vervolgens Claimuitgiftebeleid bewerken.

    Uitgifte van relying trustclaims zoeken en bewerken.

  2. Gebruik in het dialoogvenster Claimuitgiftebeleid bewerken onder Regels voor uitgiftetransformatie de opgegeven informatie in de volgende tabel om de stappen voor het maken van aangepaste regels uit te voeren.

    Naam van claimregel Aangepaste regel
    McasSigningCert => issue(type="McasSigningCert", value="<value>");waarbij <value> de McasSigningCert-waarde uit de Defender for Cloud Apps wizard is die u eerder hebt genoteerd
    McasAppId => issue(type="McasAppId", value="<value>");is de McasAppId-waarde uit de wizard Defender for Cloud Apps die u eerder hebt genoteerd
    1. Klik op Regel toevoegen, selecteer claims verzenden met behulp van een aangepaste regel onder Claimregelsjabloon en klik vervolgens op Volgende.
    2. Voer op de pagina Regel configureren de betreffende naam van de claimregel en de opgegeven aangepaste regel in .

    Opmerking

    Deze regels zijn een aanvulling op eventuele claimregels of kenmerken die zijn vereist voor de app die u configureert.

  3. Klik op de pagina Relying Party Trust met de rechtermuisknop op de Relying Party-vertrouwensrelatie die u eerder hebt gemaakt en selecteer vervolgens Eigenschappen.

  4. Selecteer op het tabblad Eindpuntende optie SAML Assertion Consumer Endpoint, klik op Bewerken en vervang de vertrouwde URL door de Defender for Cloud Apps URL voor eenmalige aanmelding die u eerder hebt genoteerd en klik vervolgens op OK.

    Vertrouwde URL voor relying trust-eindpunteigenschappen bijwerken.

  5. Als u een Defender for Cloud Apps SAML-certificaat voor de id-provider hebt gedownload, klikt u op het tabblad Handtekening op Het certificaatbestand toevoegen en uploadt u vervolgens op OK.

    De eigenschappen van relying trust signature SAML-certificaat bijwerken.

  6. Sla de instellingen op.

Stap 6: De app-wijzigingen ophalen in Defender for Cloud Apps

Ga als volgt te werk op de pagina Defender for Cloud Apps APP-WIJZIGINGEN, maar klik niet op Voltooien. U hebt de informatie later nodig.

  • De URL voor eenmalige aanmelding van Defender for Cloud Apps SAML kopiëren
  • Het Defender for Cloud Apps SAML-certificaat downloaden

Noteer de Defender for Cloud Apps SAML SSO URL en download het certificaat.

Stap 7: de app-wijzigingen voltooien

Blader in Salesforce naarInstellingen identity>>single Sign-On instellingeninstellen> en ga als volgt te werk:

  1. Aanbevolen: maak een back-up van uw huidige instellingen.

  2. Vervang de veldwaarde aanmeldings-URL van id-provider door de url Defender for Cloud Apps SAML-url voor eenmalige aanmelding die u eerder hebt genoteerd.

  3. Upload het Defender for Cloud Apps SAML-certificaat dat u eerder hebt gedownload.

  4. Klik op Opslaan.

    Opmerking

    Het Defender for Cloud Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.

Stap 8: voltooi de configuratie in Defender for Cloud Apps

  • Klik op de pagina app-wijzigingen Defender for Cloud Apps op Voltooien. Nadat de wizard is voltooid, worden alle bijbehorende aanmeldingsaanvragen voor deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.