Lezen in het Engels

Delen via


App-beheer voor voorwaardelijke toegang implementeren voor elke web-app met PingOne als id-provider (IdP)

U kunt sessiebesturingselementen configureren in Microsoft Defender for Cloud Apps om te werken met elke web-app en elke niet-Microsoft IdP. In dit artikel wordt beschreven hoe u app-sessies van PingOne naar Defender for Cloud Apps routert voor realtime sessiebesturingselementen.

In dit artikel gebruiken we de Salesforce-app als voorbeeld van een web-app die wordt geconfigureerd voor het gebruik van Defender for Cloud Apps sessiebesturingselementen. Als u andere apps wilt configureren, moet u dezelfde stappen uitvoeren op basis van hun vereisten.

Vereisten

  • Uw organisatie moet de volgende licenties hebben om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

    • Een relevante PingOne-licentie (vereist voor eenmalige aanmelding)
    • Microsoft Defender for Cloud Apps
  • Een bestaande pingOne-configuratie voor eenmalige aanmelding voor de app met behulp van het SAML 2.0-verificatieprotocol

Sessiebesturingselementen configureren voor uw app met PingOne als de IdP

Gebruik de volgende stappen om uw web-app-sessies van PingOne naar Defender for Cloud Apps te routeren.

Notitie

U kunt de SAML-gegevens voor eenmalige aanmelding van de app configureren die door PingOne worden verstrekt met behulp van een van de volgende methoden:

  • Optie 1: het SAML-metagegevensbestand van de app uploaden.
  • Optie 2: handmatig de SAML-gegevens van de app opgeven.

In de volgende stappen gebruiken we optie 2.

Stap 1: de SAML-instellingen voor eenmalige aanmelding van uw app ophalen

Stap 2: Defender for Cloud Apps configureren met de SAML-gegevens van uw app

Stap 3: een aangepaste app maken in PingOne

Stap 4: Defender for Cloud Apps configureren met de informatie van de PingOne-app

Stap 5: De aangepaste app in PingOne voltooien

Stap 6: De app-wijzigingen ophalen in Defender for Cloud Apps

Stap 7: de app-wijzigingen voltooien

Stap 8: voltooi de configuratie in Defender for Cloud Apps

Stap 1: de SAML-instellingen voor eenmalige aanmelding van uw app ophalen

  1. Blader in Salesforce naarInstellingen voor>identiteit>één Sign-On instellingen instellen>.

  2. Selecteer onder Instellingen voor één Sign-On de naam van uw bestaande SAML 2.0-configuratie.

    Selecteer Salesforce SSO-instellingen.

  3. Noteer op de pagina SAML Single Sign-On Setting de Aanmeldings-URL van Salesforce. U hebt deze later nodig.

    Notitie

    Als uw app een SAML-certificaat levert, downloadt u het certificaatbestand.

    Selecteer Aanmeldings-URL voor eenmalige aanmelding bij Salesforce.

Stap 2: Defender for Cloud Apps configureren met de SAML-gegevens van uw app

  1. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps.

  2. Selecteer onder Verbonden apps de optie Apps voor app-beheer voor voorwaardelijke toegang.

  3. Selecteer +Toevoegen, selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens Wizard starten.

  4. Selecteer op de pagina APP-INFORMATIEde optie Gegevens handmatig invullen, voer in de URL van assertion consumer service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd en selecteer volgende.

    Notitie

    Als uw app een SAML-certificaat levert, selecteert u App_name> SAML-certificaat gebruiken < en uploadt u het certificaatbestand.

    Vul de SamL-gegevens van Salesforce handmatig in.

Stap 3: een aangepaste app maken in PingOne

Voordat u verdergaat, voert u de volgende stappen uit om informatie op te halen uit uw bestaande Salesforce-app.

  1. Bewerk in PingOne uw bestaande Salesforce-app.

  2. Noteer op de pagina Kenmerktoewijzing voor eenmalige aanmelding het kenmerk en de waarde van de SAML_SUBJECT en download vervolgens de bestanden Handtekeningcertificaat en SAML-metagegevens .

    Noteer de kenmerken van de bestaande Salesforce-app.

  3. Open het SAML-metagegevensbestand en noteer de PingOne SingleSignOnService-locatie. U hebt deze later nodig.

    Let op de locatie van de SSO-service van de bestaande Salesforce-app.

  4. Noteer de toegewezen groepen op de pagina Groepstoegang .

    Noteer de toegewezen groepen van bestaande Salesforce-app.

Gebruik vervolgens de instructies op de pagina Een SAML-toepassing toevoegen met uw id-provider om een aangepaste app te configureren in de portal van uw IdP.

Voeg de SAML-app toe met uw id-provider.

Notitie

Als u een aangepaste app configureert, kunt u de bestaande app testen met toegangs- en sessiebesturingselementen zonder het huidige gedrag voor uw organisatie te wijzigen.

  1. Maak een nieuwe SAML-toepassing.

    Maak in PingOne een nieuwe aangepaste Salesforce-app.

  2. Vul op de pagina Toepassingsdetails het formulier in en selecteer vervolgens Doorgaan naar volgende stap.

    Tip

    Gebruik een app-naam waarmee u onderscheid kunt maken tussen de aangepaste app en de bestaande Salesforce-app.

    Vul de details van de aangepaste app in.

  3. Ga op de pagina Toepassingsconfiguratie als volgt te werk en selecteer vervolgens Doorgaan naar volgende stap.

    • Voer in het veld Assertion Consumer Service (ACS) de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
    • Voer in het veld Entiteits-id een unieke id in die begint met https://. Zorg ervoor dat dit verschilt van de configuratie van de afsluitende Salesforce PingOne-app.
    • Noteer de entiteits-id. U hebt deze later nodig.

    Aangepaste app configureren met Salesforce SAML-details.

  4. Voeg op de pagina Kenmerktoewijzing voor eenmalige aanmelding het kenmerk SAML_SUBJECT en de waarde van de bestaande Salesforce-app toe die u eerder hebt genoteerd en selecteer vervolgens Doorgaan naar volgende stap.

    Kenmerken toevoegen aan aangepaste Salesforce-app.

  5. Voeg op de pagina Groepstoegang de bestaande groepen van de Salesforce-app toe die u eerder hebt genoteerd en voltooi de configuratie.

    Groepen toewijzen aan aangepaste Salesforce-app.

Stap 4: Defender for Cloud Apps configureren met de informatie van de PingOne-app

  1. Ga terug naar de pagina Defender for Cloud Apps ID-PROVIDER en selecteer Volgende om door te gaan.

  2. Selecteer op de volgende pagina Gegevens handmatig invullen, ga als volgt te werk en selecteer volgende.

    • Voer voor de URL van assertion consumer service de Aanmeldings-URL van Salesforce in die u eerder hebt genoteerd.
    • Selecteer HET SAML-certificaat van de id-provider uploaden en upload het certificaatbestand dat u eerder hebt gedownload.

    Voeg de URL van de SSO-service en het SAML-certificaat toe.

  3. Noteer op de volgende pagina de volgende informatie en selecteer Volgende. U hebt de informatie later nodig.

    • URL voor eenmalige aanmelding Defender for Cloud Apps
    • kenmerken en waarden Defender for Cloud Apps

    Noteer in Defender for Cloud Apps de URL en kenmerken van eenmalige aanmelding.

Stap 5: De aangepaste app in PingOne voltooien

  1. Zoek en bewerk in PingOne de aangepaste Salesforce-app.

    Aangepaste Salesforce-app zoeken en bewerken.

  2. Vervang in het veld Assertion Consumer Service (ACS) de URL door de Defender for Cloud Apps URL voor eenmalige aanmelding die u eerder hebt genoteerd en selecteer volgende.

    Vervang ACS in aangepaste Salesforce-app.

  3. Voeg de Defender for Cloud Apps kenmerken en waarden toe die u eerder hebt genoteerd aan de eigenschappen van de app.

    Voeg Defender for Cloud Apps-kenmerken toe aan aangepaste Salesforce-app.

  4. Sla de instellingen op.

Stap 6: De app-wijzigingen ophalen in Defender for Cloud Apps

Ga als volgt te werk op de pagina Defender for Cloud Apps APP-WIJZIGINGEN, maar selecteer niet Voltooien. U hebt de informatie later nodig.

  • De URL voor eenmalige aanmelding van Defender for Cloud Apps SAML kopiëren
  • Het Defender for Cloud Apps SAML-certificaat downloaden

Noteer de Defender for Cloud Apps SAML SSO URL en download het certificaat.

Stap 7: de app-wijzigingen voltooien

Blader in Salesforce naarInstellingen identity>>single Sign-On instellingeninstellen> en ga als volgt te werk:

  1. Aanbevolen: maak een back-up van uw huidige instellingen.

  2. Vervang de veldwaarde aanmeldings-URL van id-provider door de url Defender for Cloud Apps SAML-url voor eenmalige aanmelding die u eerder hebt genoteerd.

  3. Upload het Defender for Cloud Apps SAML-certificaat dat u eerder hebt gedownload.

  4. Vervang de waarde van het veld Entiteits-id door de aangepaste pingOne-app-entiteits-id die u eerder hebt genoteerd.

  5. Klik op Opslaan.

    Notitie

    Het Defender for Cloud Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.

    Aangepaste Salesforce-app bijwerken met Defender for Cloud Apps SAML-details.

Stap 8: voltooi de configuratie in Defender for Cloud Apps

  • Selecteer Voltooien op de pagina APP-WIJZIGINGEN Defender for Cloud Apps. Nadat de wizard is voltooid, worden alle bijbehorende aanmeldingsaanvragen voor deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.