Wdrażanie kontroli dostępu warunkowego aplikacji dla dowolnej aplikacji internetowej przy użyciu usługi Okta jako dostawcy tożsamości

Kontrolki sesji można skonfigurować w aplikacjach Microsoft Defender dla Chmury do pracy z dowolną aplikacją internetową i dowolnym dostawcą tożsamości firmy innej niż Microsoft. W tym artykule opisano sposób kierowania sesji aplikacji z usługi Okta do Defender dla Chmury Apps dla kontrolek sesji w czasie rzeczywistym.

W tym artykule użyjemy aplikacji Salesforce jako przykładu aplikacji internetowej skonfigurowanej do używania kontrolek sesji usługi Defender dla Chmury Apps.

Wymagania wstępne

• Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:

  • Wstępnie skonfigurowana dzierżawa usługi Okta.
  • Microsoft Defender for Cloud Apps

• Istniejąca konfiguracja logowania jednokrotnego usługi Okta dla aplikacji przy użyciu protokołu uwierzytelniania SAML 2.0

Aby skonfigurować kontrolki sesji dla aplikacji przy użyciu usługi Okta jako dostawcy tożsamości

Wykonaj poniższe kroki, aby skierować sesje aplikacji internetowej z usługi Okta do usługi Defender dla Chmury Apps.

Uwaga

Informacje dotyczące logowania jednokrotnego SAML aplikacji można skonfigurować przy użyciu jednej z następujących metod:

• Opcja 1. Przekazywanie pliku metadanych SAML aplikacji.
• Opcja 2. Ręczne podawanie danych SAML aplikacji.

W poniższych krokach użyjemy opcji 2.

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

Krok 3. Tworzenie nowej aplikacji niestandardowej usługi Okta i konfiguracji logowania jednokrotnego aplikacji

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji o aplikacji Okta

Krok 5. Ukończenie konfiguracji aplikacji niestandardowej Okta

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Krok 7. Ukończenie zmian aplikacji

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

1. W usłudze Salesforce przejdź do pozycji Ustawienia konfiguracji>Ustawienia> logowania jednokrotnego tożsamości.>

2. W obszarze Ustawienia logowania jednokrotnego kliknij nazwę istniejącej konfiguracji usługi Okta.

   

3. Na stronie Ustawienia logowania jednokrotnego SAML zanotuj adres URL logowania usługi Salesforce. Będzie to potrzebne później podczas konfigurowania aplikacji Defender dla Chmury.

   Uwaga

   Jeśli aplikacja udostępnia certyfikat SAML, pobierz plik certyfikatu.

   

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.

3. Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.

4. Na stronie INFORMACJE O APLIKACJI wybierz pozycję Wypełnij dane ręcznie, w adresie URL usługi Assertion consumer service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce, a następnie kliknij przycisk Dalej.

   Uwaga

   Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.

   

Krok 3. Tworzenie nowej niestandardowej aplikacji i aplikacji Okta — konfiguracja logowania jednokrotnego

Uwaga

Aby ograniczyć przestoje użytkowników końcowych i zachować istniejącą dobrą konfigurację, zalecamy utworzenie nowej konfiguracji aplikacji niestandardowej i logowania jednokrotnego. Jeśli nie jest to możliwe, pomiń odpowiednie kroki. Jeśli na przykład konfigurowana aplikacja nie obsługuje tworzenia wielu konfiguracji logowania jednokrotnego, pomiń krok tworzenia nowego logowania jednokrotnego.

1. W konsoli administracyjnej usługi Okta w obszarze Aplikacje wyświetl właściwości istniejącej konfiguracji aplikacji i zanotuj ustawienia.

2. Kliknij pozycję Dodaj aplikację, a następnie kliknij pozycję Utwórz nową aplikację. Oprócz wartości Identyfikator URI odbiorców (identyfikator jednostki SP), która musi być unikatową nazwą, skonfiguruj nową aplikację przy użyciu zanotowanej wcześniej ustawień. Ta aplikacja będzie potrzebna później podczas konfigurowania aplikacji Defender dla Chmury.

3. Przejdź do pozycji Aplikacje, wyświetl istniejącą konfigurację usługi Okta, a następnie na karcie Logowanie wybierz pozycję Wyświetl instrukcje instalacji.

   

4. Zanotuj adres URL logowania jednokrotnego dostawcy tożsamości i pobierz certyfikat podpisywania dostawcy tożsamości (X.509). Będzie ono potrzebne później.

5. Po powrocie do usługi Salesforce na istniejącej stronie ustawień logowania jednokrotnego usługi Okta zanotuj wszystkie ustawienia.

6. Utwórz nową konfigurację logowania jednokrotnego SAML. Oprócz wartości Identyfikator jednostki, która musi być zgodna z identyfikatorem URI odbiorców aplikacji niestandardowej (identyfikatorem jednostki SP), skonfiguruj logowanie jednokrotne przy użyciu zanotowanej wcześniej ustawień. Będzie to potrzebne później podczas konfigurowania aplikacji Defender dla Chmury.

7. Po zapisaniu nowej aplikacji przejdź do strony Przypisania i przypisz osoby lub grupy , które wymagają dostępu do aplikacji.

ׂ

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji o aplikacji Okta

1. Ponownie na stronie dostawcy tożsamości aplikacji Defender dla Chmury kliknij przycisk Dalej, aby kontynuować.

2. Na następnej stronie wybierz pozycję Wypełnij dane ręcznie, wykonaj następujące czynności, a następnie kliknij przycisk Dalej.

   • W polu Adres URL usługi logowania jednokrotnego wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
   • Wybierz pozycję Przekaż certyfikat SAML dostawcy tożsamości i przekaż pobrany wcześniej plik certyfikatu.

   

3. Na następnej stronie zanotuj następujące informacje, a następnie kliknij przycisk Dalej. Informacje będą potrzebne później.

   • Adres URL logowania jednokrotnego aplikacji Defender dla Chmury Apps
   • Defender dla Chmury Apps atrybuty i wartości

   Uwaga

   Jeśli zostanie wyświetlona opcja przekazania certyfikatu SAML aplikacji Defender dla Chmury dla dostawcy tożsamości, kliknij przycisk , aby pobrać plik certyfikatu. Będzie ono potrzebne później.

   

Krok 5. Ukończenie konfiguracji aplikacji niestandardowej Okta

1. Po powrocie do konsoli administracyjnej usługi Okta w obszarze Aplikacje wybierz utworzoną wcześniej aplikację niestandardową, a następnie w obszarze Ogólne>ustawienia PROTOKOŁU SAML kliknij przycisk Edytuj.

   

2. W polu adres URL Logowanie jednokrotne zastąp adres URL zanotowany wcześniej adresem URL logowania jednokrotnego aplikacji Defender dla Chmury Apps, a następnie zapisz ustawienia.

3. W obszarze Katalog wybierz pozycję Edytor profilów, wybierz utworzoną wcześniej aplikację niestandardową, a następnie kliknij pozycję Profil. Dodaj atrybuty, korzystając z poniższych informacji.

   Display name	Nazwa zmiennej	Typ danych	Typ atrybutu
   McasSigningCert	McasSigningCert	string	Niestandardowy
   McasAppId	McasAppId	string	Niestandardowy

   

4. Po powrocie na stronę Edytor profilów wybierz utworzoną wcześniej aplikację niestandardową, kliknij pozycję Mapowania, a następnie wybierz pozycję Użytkownik Okta na {custom_app_name}. Zamapuj atrybuty McasSigningCert i McasAppId na zanotowany wcześniej wartości atrybutów Defender dla Chmury Apps.

   Uwaga

   • Upewnij się, że wartości są ujęte w cudzysłowy (")
   • Okta ogranicza atrybuty do 1024 znaków. Aby wyeliminować to ograniczenie, dodaj atrybuty przy użyciu Edytora profilów zgodnie z opisem.

   

5. Zapisz swoje ustawienia.

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury wykonaj następujące czynności, ale nie klikaj przycisku Zakończ. Informacje będą potrzebne później.

• Kopiowanie adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury
• Pobieranie certyfikatu SAML aplikacji Defender dla Chmury

Krok 7. Ukończenie zmian aplikacji

W usłudze Salesforce przejdź do pozycji Ustawienia konfiguracji>Ustawienia>logowania jednokrotnego tożsamości>i wykonaj następujące czynności:

1. [Zalecane] Utwórz kopię zapasową bieżących ustawień.

2. Zastąp wartość pola Identity Provider Login URL (Adres URL logowania dostawcy tożsamości) zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.

3. Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.

4. Kliknij przycisk Zapisz.

   Uwaga

   • Po zapisaniu ustawień wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli dostępu warunkowego aplikacji.
   • Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.

   

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

• Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury kliknij przycisk Zakończ. Po ukończeniu pracy kreatora wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli dostępu warunkowego aplikacji.

Powiązana zawartość

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.