Wdrażanie kontroli dostępu warunkowego aplikacji dla dowolnej aplikacji internetowej przy użyciu usług Active Directory Federation Services (AD FS) jako dostawcy tożsamości (IdP)
Kontrolki sesji można skonfigurować w aplikacjach Microsoft Defender dla Chmury do pracy z dowolną aplikacją internetową i dowolnym dostawcą tożsamości firmy innej niż Microsoft. W tym artykule opisano sposób kierowania sesji aplikacji z usług AD FS do aplikacji Defender dla Chmury dla kontrolek sesji w czasie rzeczywistym.
W tym artykule użyjemy aplikacji Salesforce jako przykładu aplikacji internetowej skonfigurowanej do używania kontrolek sesji usługi Defender dla Chmury Apps.
Wymagania wstępne
Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:
- Wstępnie skonfigurowane środowisko usług AD FS
- Microsoft Defender for Cloud Apps
Istniejąca konfiguracja logowania jednokrotnego usług AD FS dla aplikacji przy użyciu protokołu uwierzytelniania SAML 2.0
Uwaga
Kroki opisane tutaj dotyczą wszystkich wersji usług AD FS, które działają w obsługiwanej wersji systemu Windows Server.
Aby skonfigurować kontrolki sesji dla aplikacji przy użyciu usług AD FS jako dostawcy tożsamości
Wykonaj poniższe kroki, aby kierować sesje aplikacji internetowej z usług AD FS do Defender dla Chmury Apps. Aby zapoznać się z krokami konfiguracji firmy Microsoft Entra, zobacz Dołączanie i wdrażanie kontroli dostępu warunkowego aplikacji dla niestandardowych aplikacji przy użyciu identyfikatora Entra firmy Microsoft.
Uwaga
Informacje dotyczące logowania jednokrotnego SAML aplikacji można skonfigurować przy użyciu jednej z następujących metod:
- Opcja 1. Przekazywanie pliku metadanych SAML aplikacji.
- Opcja 2. Ręczne podawanie danych SAML aplikacji.
W poniższych krokach użyjemy opcji 2.
Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji
Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji
Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji o aplikacji usług AD FS
Krok 5. Ukończenie konfiguracji zaufania jednostki uzależnionej usług AD FS
Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury
Krok 7. Ukończenie zmian aplikacji
Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps
Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji
W usłudze Salesforce przejdź do pozycji Setup Ustawienia> Identity>Single Sign-On (Logowanie> jednokrotne) Ustawienia.
W obszarze Logowanie jednokrotne Ustawienia kliknij nazwę istniejącej konfiguracji usług AD FS.
Na stronie Ustawienia logowania jednokrotnego SAML zanotuj adres URL logowania usługi Salesforce. Będzie to potrzebne później podczas konfigurowania aplikacji Defender dla Chmury.
Uwaga
Jeśli aplikacja udostępnia certyfikat SAML, pobierz plik certyfikatu.
Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.
Na stronie INFORMACJE O APLIKACJI wybierz pozycję Wypełnij dane ręcznie, w adresie URL usługi Assertion consumer service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce, a następnie kliknij przycisk Dalej.
Uwaga
Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.
Krok 3. Tworzenie nowej konfiguracji zaufania jednostki uzależnionej usług AD FS i logowania jednokrotnego aplikacji
Uwaga
Aby ograniczyć przestoje użytkowników końcowych i zachować istniejącą znaną dobrą konfigurację, zalecamy utworzenie nowej konfiguracji zaufania jednostki uzależnionej i logowania jednokrotnego. Jeśli nie jest to możliwe, pomiń odpowiednie kroki. Jeśli na przykład konfigurowana aplikacja nie obsługuje tworzenia wielu konfiguracji logowania jednokrotnego, pomiń krok tworzenia nowego logowania jednokrotnego.
W konsoli zarządzania usługAMI AD FS w obszarze Zaufania jednostki uzależnionej wyświetl właściwości istniejącego zaufania jednostki uzależnionej dla aplikacji i zanotuj ustawienia.
W obszarze Akcje, kliknij przycisk Dodaj jednostki uzależnionej relacja zaufania. Oprócz wartości Identyfikator, która musi być unikatową nazwą, skonfiguruj nowe zaufanie przy użyciu zanotowanych wcześniej ustawień. To zaufanie będzie potrzebne później podczas konfigurowania aplikacji Defender dla Chmury.
Otwórz plik metadanych federacji i zanotuj lokalizację singleSignOnService usług AD FS. Będzie ono potrzebne później.
Uwaga
Aby uzyskać dostęp do pliku metadanych federacji, możesz użyć następującego punktu końcowego:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Pobierz certyfikat podpisywania dostawcy tożsamości. Będzie ono potrzebne później.
W obszarze Certyfikaty usług kliknij prawym przyciskiem myszy certyfikat podpisywania usług>AD FS, a następnie wybierz pozycję Wyświetl certyfikat.
Na karcie Szczegóły certyfikatu kliknij przycisk Kopiuj do pliku i wykonaj kroki opisane w Kreatorze eksportu certyfikatów, aby wyeksportować certyfikat jako zakodowany w formacie Base-64 X.509 (. Plik CER).
Wróć do usługi Salesforce na istniejącej stronie ustawień logowania jednokrotnego usług AD FS zanotuj wszystkie ustawienia.
Utwórz nową konfigurację logowania jednokrotnego SAML. Oprócz wartości Identyfikator jednostki, która musi być zgodna z identyfikatorem zaufania jednostki uzależnionej, skonfiguruj logowanie jednokrotne przy użyciu zanotowanych wcześniej ustawień. Będzie to potrzebne później podczas konfigurowania aplikacji Defender dla Chmury.
Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji o aplikacji usług AD FS
Ponownie na stronie dostawcy tożsamości aplikacji Defender dla Chmury kliknij przycisk Dalej, aby kontynuować.
Na następnej stronie wybierz pozycję Wypełnij dane ręcznie, wykonaj następujące czynności, a następnie kliknij przycisk Dalej.
- W polu Adres URL usługi logowania jednokrotnego wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
- Wybierz pozycję Przekaż certyfikat SAML dostawcy tożsamości i przekaż pobrany wcześniej plik certyfikatu.
Na następnej stronie zanotuj następujące informacje, a następnie kliknij przycisk Dalej. Informacje będą potrzebne później.
- Adres URL logowania jednokrotnego aplikacji Defender dla Chmury Apps
- Defender dla Chmury Apps atrybuty i wartości
Uwaga
Jeśli zostanie wyświetlona opcja przekazania certyfikatu SAML aplikacji Defender dla Chmury dla dostawcy tożsamości, kliknij link, aby pobrać plik certyfikatu. Będzie ono potrzebne później.
Krok 5. Ukończenie konfiguracji zaufania jednostki uzależnionej usług AD FS
Po powrocie do konsoli zarządzania usługAMI AD FS kliknij prawym przyciskiem myszy utworzone wcześniej zaufanie jednostki uzależnionej, a następnie wybierz polecenie Edytuj zasady wystawiania oświadczeń.
W oknie dialogowym Edytowanie zasad wystawiania oświadczeń w obszarze Reguły przekształcania wystawiania użyj podanych informacji w poniższej tabeli, aby wykonać kroki tworzenia reguł niestandardowych.
Nazwa reguły oświadczenia Reguła niestandardowa McasSigningCert => issue(type="McasSigningCert", value="<value>");gdzie<value>to wartość McasSigningCert z zanotowany wcześniej kreatora Defender dla Chmury AppsMcasAppId => issue(type="McasAppId", value="<value>");to wartość McasAppId z zanotowany wcześniej kreator Defender dla Chmury Apps- Kliknij pozycję Dodaj regułę w obszarze Szablon reguły oświadczenia wybierz pozycję Wyślij oświadczenia przy użyciu reguły niestandardowej, a następnie kliknij przycisk Dalej.
- Na stronie Konfigurowanie reguły wprowadź odpowiednią nazwę reguły oświadczenia i podaną regułę niestandardową.
Uwaga
Te reguły są dodatkiem do wszystkich reguł oświadczeń lub atrybutów wymaganych przez konfigurowaną aplikację.
Po powrocie na stronę Zaufania jednostki uzależnionej kliknij prawym przyciskiem myszy utworzone wcześniej zaufanie jednostki uzależnionej, a następnie wybierz pozycję Właściwości.
Na karcie Punkty końcowe wybierz pozycję SAML Assertion Consumer Endpoint, kliknij pozycję Edytuj i zastąp zaufany adres URL zanotowaną wcześniej adresem URL logowania jednokrotnego aplikacji Defender dla Chmury Apps, a następnie kliknij przycisk OK.
Jeśli pobrano certyfikat SAML aplikacji Defender dla Chmury Dla dostawcy tożsamości, na karcie Podpis kliknij przycisk Dodaj i przekaż plik certyfikatu, a następnie kliknij przycisk OK.
Zapisz swoje ustawienia.
Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury
Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury wykonaj następujące czynności, ale nie klikaj przycisku Zakończ. Informacje będą potrzebne później.
- Kopiowanie adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury
- Pobieranie certyfikatu SAML aplikacji Defender dla Chmury
Krok 7. Ukończenie zmian aplikacji
W usłudze Salesforce przejdź do pozycji Setup> Ustawienia> Identity>Single Sign-On Ustawienia i wykonaj następujące czynności:
Zalecane: utwórz kopię zapasową bieżących ustawień.
Zastąp wartość pola Identity Provider Login URL (Adres URL logowania dostawcy tożsamości) zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.
Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.
Kliknij przycisk Zapisz.
Uwaga
Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.
Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps
- Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury kliknij przycisk Zakończ. Po ukończeniu pracy kreatora wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli dostępu warunkowego aplikacji.
Następne kroki
Zobacz też
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.