Udostępnij za pośrednictwem

Wdrażanie kontroli aplikacji dostępu warunkowego dla dowolnej aplikacji internetowej przy użyciu polecenia PingOne jako dostawcy tożsamości (IdP)

  • Artykuł

Kontrolki sesji można skonfigurować w aplikacjach Microsoft Defender dla Chmury do pracy z dowolną aplikacją internetową i dowolnym dostawcą tożsamości firmy innej niż Microsoft. W tym artykule opisano sposób kierowania sesji aplikacji z narzędzia PingOne do Defender dla Chmury Apps dla kontrolek sesji w czasie rzeczywistym.

W tym artykule użyjemy aplikacji Salesforce jako przykładu aplikacji internetowej skonfigurowanej do używania kontrolek sesji usługi Defender dla Chmury Apps. Aby skonfigurować inne aplikacje, wykonaj te same kroki zgodnie z ich wymaganiami.

Wymagania wstępne

  • Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:

    • Odpowiednia licencja pingOne (wymagana do logowania jednokrotnego)
    • Microsoft Defender for Cloud Apps

  • Istniejąca konfiguracja logowania jednokrotnego pingOne dla aplikacji przy użyciu protokołu uwierzytelniania SAML 2.0

Aby skonfigurować kontrolki sesji dla aplikacji przy użyciu polecenia PingOne jako dostawcy tożsamości

Wykonaj poniższe kroki, aby skierować sesje aplikacji internetowej z usługi PingOne do aplikacji Defender dla Chmury. Aby zapoznać się z krokami konfiguracji firmy Microsoft Entra, zobacz Dołączanie i wdrażanie kontroli dostępu warunkowego aplikacji dla niestandardowych aplikacji przy użyciu identyfikatora Entra firmy Microsoft.

Uwaga

Informacje dotyczące logowania jednokrotnego SAML aplikacji można skonfigurować przy użyciu jednej z następujących metod:

  • Opcja 1. Przekazywanie pliku metadanych SAML aplikacji.
  • Opcja 2. Ręczne podawanie danych SAML aplikacji.

W poniższych krokach użyjemy opcji 2.

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

Krok 3. Tworzenie aplikacji niestandardowej w narzędziu PingOne

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji aplikacji PingOne

Krok 5. Ukończenie aplikacji niestandardowej w narzędziu PingOne

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Krok 7. Ukończenie zmian aplikacji

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

  1. W usłudze Salesforce przejdź do pozycji Setup Ustawienia> Identity>Single Sign-On (Logowanie> jednokrotne) Ustawienia.

  2. W obszarze Logowanie jednokrotne Ustawienia wybierz nazwę istniejącej konfiguracji SAML 2.0.

    Select Salesforce SSO settings.

  3. Na stronie Ustawienia logowania jednokrotnego SAML zanotuj adres URL logowania usługi Salesforce. Będzie ono potrzebne później.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, pobierz plik certyfikatu.

    Select Salesforce SSO login URL.

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

  3. Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.

  4. Na stronie INFORMACJE O APLIKACJI wybierz pozycję Wypełnij dane ręcznie, w adresie URL usługi Assertion Consumer Service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce, a następnie wybierz przycisk Dalej.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.

    Manually fill in Salesforce SAML information.

Krok 3. Tworzenie aplikacji niestandardowej w narzędziu PingOne

Przed kontynuowaniem wykonaj następujące kroki, aby uzyskać informacje z istniejącej aplikacji Salesforce.

  1. W obszarze PingOne zmodyfikuj istniejącą aplikację Salesforce.

  2. Na stronie Mapowanie atrybutów logowania jednokrotnego zanotuj atrybut i wartość SAML_SUBJECT, a następnie pobierz pliki certyfikatu podpisywania i metadanych SAML.

    Note existing Salesforce app's attributes.

  3. Otwórz plik metadanych SAML i zanotuj lokalizację PingOne SingleSignOnService. Będzie ono potrzebne później.

    Note existing Salesforce app's SSO service location.

  4. Na stronie Dostęp do grupy zanotuj przypisane grupy.

    Note existing Salesforce app's assigned groups.

Następnie użyj instrukcji na stronie Dodawanie aplikacji SAML z dostawcą tożsamości, aby skonfigurować aplikację niestandardową w portalu dostawcy tożsamości.

Add SAML app with your identity provider.

Uwaga

Skonfigurowanie aplikacji niestandardowej umożliwia przetestowanie istniejącej aplikacji przy użyciu kontroli dostępu i sesji bez zmieniania bieżącego zachowania organizacji.

  1. Utwórz nową aplikację SAML.

    In PingOne, create new custom Salesforce app.

  2. Na stronie Szczegóły aplikacji wypełnij formularz, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    Napiwek

    Użyj nazwy aplikacji, która pomoże Ci odróżnić aplikację niestandardową od istniejącej aplikacji Salesforce.

    Fill out the custom app details.

  3. Na stronie Konfiguracja aplikacji wykonaj następujące czynności, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    • W polu Assertion Consumer Service (ACS) wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
    • W polu Identyfikator jednostki wprowadź unikatowy identyfikator rozpoczynający się od https://. Upewnij się, że różni się to od konfiguracji aplikacji PingOne usługi Salesforce.
    • Zanotuj identyfikator jednostki. Będzie ono potrzebne później.

    Configure custom app with Salesforce SAML details.

  4. Na stronie Mapowanie atrybutów logowania jednokrotnego dodaj zanotowany wcześniej atrybut i wartość SAML_SUBJECT aplikacji Salesforce, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    Add attributes to custom Salesforce app.

  5. Na stronie Dostęp do grupy dodaj zanotowaną wcześniej grupę istniejącej aplikacji Salesforce i ukończ konfigurację.

    Assign groups to custom Salesforce app.

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji aplikacji PingOne

  1. Po powrocie do strony dostawcy tożsamości aplikacji Defender dla Chmury wybierz pozycję Dalej, aby kontynuować.

  2. Na następnej stronie wybierz pozycję Wypełnij dane ręcznie, wykonaj następujące czynności, a następnie wybierz pozycję Dalej.

    • W polu Adres URL usługi Assertion Consumer Service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
    • Wybierz pozycję Przekaż certyfikat SAML dostawcy tożsamości i przekaż pobrany wcześniej plik certyfikatu.

    Add SSO service URL and SAML certificate.

  3. Na następnej stronie zanotuj następujące informacje, a następnie wybierz pozycję Dalej. Informacje będą potrzebne później.

    • Adres URL logowania jednokrotnego aplikacji Defender dla Chmury Apps
    • Defender dla Chmury Apps atrybuty i wartości

    In Defender for Cloud Apps, note SSO URL and attributes.

Krok 5. Ukończenie aplikacji niestandardowej w narzędziu PingOne

  1. W obszarze PingOne znajdź i edytuj niestandardową aplikację Salesforce.

    Locate and edit custom Salesforce app.

  2. W polu Assertion Consumer Service (ACS) zastąp adres URL zanotowany wcześniej adresem URL logowania jednokrotnego aplikacji Defender dla Chmury Apps, a następnie wybierz przycisk Dalej.

    Replace ACS in custom Salesforce app.

  3. Dodaj zanotowany wcześniej atrybuty i wartości Defender dla Chmury Apps do właściwości aplikacji.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Zapisz swoje ustawienia.

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Wróć do strony zmiany aplikacji aplikacji Defender dla Chmury, wykonaj następujące czynności, ale nie wybierz pozycję Zakończ. Informacje będą potrzebne później.

  • Kopiowanie adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury
  • Pobieranie certyfikatu SAML aplikacji Defender dla Chmury

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Krok 7. Ukończenie zmian aplikacji

W usłudze Salesforce przejdź do pozycji Setup> Ustawienia> Identity>Single Sign-On Ustawienia i wykonaj następujące czynności:

  1. Zalecane: utwórz kopię zapasową bieżących ustawień.

  2. Zastąp wartość pola Identity Provider Login URL (Adres URL logowania dostawcy tożsamości) zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.

  3. Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.

  4. Zastąp wartość pola Identyfikator jednostki zanotowaną wcześniej identyfikatorem jednostki aplikacji niestandardowej PingOne.

  5. Wybierz pozycję Zapisz.

    Uwaga

    Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

  • Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury wybierz pozycję Zakończ. Po ukończeniu pracy kreatora wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli dostępu warunkowego aplikacji.

Następne kroki

« POPRZEDNI: Wdrażanie kontroli dostępu warunkowego aplikacji dla wszystkich aplikacji

Zobacz też

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.