Udostępnij za pośrednictwem

Wdrażanie kontroli aplikacji dostępu warunkowego dla dowolnej aplikacji internetowej przy użyciu polecenia PingOne jako dostawcy tożsamości

  • Artykuł

Kontrolki sesji można skonfigurować w aplikacjach Microsoft Defender dla Chmury do pracy z dowolną aplikacją internetową i dowolnym dostawcą tożsamości firmy innej niż Microsoft. W tym artykule opisano sposób kierowania sesji aplikacji z narzędzia PingOne do Defender dla Chmury Apps dla kontrolek sesji w czasie rzeczywistym.

W tym artykule użyjemy aplikacji Salesforce jako przykładu aplikacji internetowej skonfigurowanej do używania kontrolek sesji usługi Defender dla Chmury Apps. Aby skonfigurować inne aplikacje, wykonaj te same kroki zgodnie z ich wymaganiami.

Wymagania wstępne

  • Aby móc korzystać z kontroli dostępu warunkowego, organizacja musi mieć następujące licencje:

    • Odpowiednia licencja pingOne (wymagana do logowania jednokrotnego)
    • Microsoft Defender for Cloud Apps

  • Istniejąca konfiguracja logowania jednokrotnego pingOne dla aplikacji przy użyciu protokołu uwierzytelniania SAML 2.0

Aby skonfigurować kontrolki sesji dla aplikacji przy użyciu polecenia PingOne jako dostawcy tożsamości

Wykonaj poniższe kroki, aby skierować sesje aplikacji internetowej z usługi PingOne do aplikacji Defender dla Chmury.

Uwaga

Informacje dotyczące logowania jednokrotnego SAML aplikacji można skonfigurować przy użyciu jednej z następujących metod:

  • Opcja 1. Przekazywanie pliku metadanych SAML aplikacji.
  • Opcja 2. Ręczne podawanie danych SAML aplikacji.

W poniższych krokach użyjemy opcji 2.

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

Krok 3. Tworzenie aplikacji niestandardowej w narzędziu PingOne

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji aplikacji PingOne

Krok 5. Ukończenie aplikacji niestandardowej w narzędziu PingOne

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Krok 7. Ukończenie zmian aplikacji

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

Krok 1. Pobieranie ustawień logowania jednokrotnego SAML aplikacji

  1. W usłudze Salesforce przejdź do pozycji Ustawienia konfiguracji>Ustawienia> logowania jednokrotnego tożsamości.>

  2. W obszarze Ustawienia logowania jednokrotnego wybierz nazwę istniejącej konfiguracji SAML 2.0.

    Wybierz pozycję Ustawienia logowania jednokrotnego usługi Salesforce.

  3. Na stronie Ustawienia logowania jednokrotnego SAML zanotuj adres URL logowania usługi Salesforce. Będzie ono potrzebne później.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, pobierz plik certyfikatu.

    Wybierz pozycję Salesforce SSO login URL (Adres URL logowania jednokrotnego usługi Salesforce).

Krok 2. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji SAML aplikacji

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.

  3. Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.

  4. Na stronie INFORMACJE O APLIKACJI wybierz pozycję Wypełnij dane ręcznie, w adresie URL usługi Assertion Consumer Service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce, a następnie wybierz przycisk Dalej.

    Uwaga

    Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.

    Ręcznie wypełnij informacje SAML usługi Salesforce.

Krok 3. Tworzenie aplikacji niestandardowej w narzędziu PingOne

Przed kontynuowaniem wykonaj następujące kroki, aby uzyskać informacje z istniejącej aplikacji Salesforce.

  1. W obszarze PingOne zmodyfikuj istniejącą aplikację Salesforce.

  2. Na stronie Mapowanie atrybutów logowania jednokrotnego zanotuj atrybut i wartość SAML_SUBJECT, a następnie pobierz pliki certyfikatu podpisywania i metadanych SAML.

    Zanotuj atrybuty istniejącej aplikacji Salesforce.

  3. Otwórz plik metadanych SAML i zanotuj lokalizację PingOne SingleSignOnService. Będzie ono potrzebne później.

    Zanotuj istniejącą lokalizację usługi logowania jednokrotnego aplikacji Salesforce.

  4. Na stronie Dostęp do grupy zanotuj przypisane grupy.

    Zanotuj przypisane grupy aplikacji Salesforce.

Następnie użyj instrukcji na stronie Dodawanie aplikacji SAML z dostawcą tożsamości, aby skonfigurować aplikację niestandardową w portalu dostawcy tożsamości.

Dodaj aplikację SAML przy użyciu dostawcy tożsamości.

Uwaga

Skonfigurowanie aplikacji niestandardowej umożliwia przetestowanie istniejącej aplikacji przy użyciu kontroli dostępu i sesji bez zmieniania bieżącego zachowania organizacji.

  1. Utwórz nową aplikację SAML.

    W narzędziu PingOne utwórz nową niestandardową aplikację salesforce.

  2. Na stronie Szczegóły aplikacji wypełnij formularz, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    Napiwek

    Użyj nazwy aplikacji, która pomoże Ci odróżnić aplikację niestandardową od istniejącej aplikacji Salesforce.

    Wypełnij szczegóły aplikacji niestandardowej.

  3. Na stronie Konfiguracja aplikacji wykonaj następujące czynności, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    • W polu Assertion Consumer Service (ACS) wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
    • W polu Identyfikator jednostki wprowadź unikatowy identyfikator rozpoczynający się od https://. Upewnij się, że różni się to od konfiguracji aplikacji PingOne usługi Salesforce.
    • Zanotuj identyfikator jednostki. Będzie ono potrzebne później.

    Konfigurowanie aplikacji niestandardowej przy użyciu szczegółów protokołu SAML usługi Salesforce.

  4. Na stronie Mapowanie atrybutów logowania jednokrotnego dodaj zanotowany wcześniej atrybut i wartość SAML_SUBJECT aplikacji Salesforce, a następnie wybierz pozycję Kontynuuj do następnego kroku.

    Dodaj atrybuty do niestandardowej aplikacji Salesforce.

  5. Na stronie Dostęp do grupy dodaj zanotowaną wcześniej grupę istniejącej aplikacji Salesforce i ukończ konfigurację.

    Przypisz grupy do niestandardowej aplikacji Salesforce.

Krok 4. Konfigurowanie aplikacji Defender dla Chmury przy użyciu informacji aplikacji PingOne

  1. Po powrocie do strony dostawcy tożsamości aplikacji Defender dla Chmury wybierz pozycję Dalej, aby kontynuować.

  2. Na następnej stronie wybierz pozycję Wypełnij dane ręcznie, wykonaj następujące czynności, a następnie wybierz pozycję Dalej.

    • W polu Adres URL usługi Assertion Consumer Service wprowadź zanotowany wcześniej adres URL logowania usługi Salesforce.
    • Wybierz pozycję Przekaż certyfikat SAML dostawcy tożsamości i przekaż pobrany wcześniej plik certyfikatu.

    Dodaj adres URL usługi logowania jednokrotnego i certyfikat SAML.

  3. Na następnej stronie zanotuj następujące informacje, a następnie wybierz pozycję Dalej. Informacje będą potrzebne później.

    • Adres URL logowania jednokrotnego aplikacji Defender dla Chmury Apps
    • Defender dla Chmury Apps atrybuty i wartości

    W Defender dla Chmury Apps zanotuj adres URL i atrybuty logowania jednokrotnego.

Krok 5. Ukończenie aplikacji niestandardowej w narzędziu PingOne

  1. W obszarze PingOne znajdź i edytuj niestandardową aplikację Salesforce.

    Znajdź i edytuj niestandardową aplikację Salesforce.

  2. W polu Assertion Consumer Service (ACS) zastąp adres URL zanotowany wcześniej adresem URL logowania jednokrotnego aplikacji Defender dla Chmury Apps, a następnie wybierz przycisk Dalej.

    Zastąp usługę ACS w niestandardowej aplikacji Salesforce.

  3. Dodaj zanotowany wcześniej atrybuty i wartości Defender dla Chmury Apps do właściwości aplikacji.

    Dodaj atrybuty usługi Defender dla Chmury Apps do niestandardowej aplikacji Salesforce.

  4. Zapisz swoje ustawienia.

Krok 6. Pobieranie zmian aplikacji w aplikacjach Defender dla Chmury

Wróć do strony zmiany aplikacji aplikacji Defender dla Chmury, wykonaj następujące czynności, ale nie wybierz pozycję Zakończ. Informacje będą potrzebne później.

  • Kopiowanie adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury
  • Pobieranie certyfikatu SAML aplikacji Defender dla Chmury

Zanotuj adres URL logowania jednokrotnego SAML aplikacji Defender dla Chmury i pobierz certyfikat.

Krok 7. Ukończenie zmian aplikacji

W usłudze Salesforce przejdź do pozycji Ustawienia konfiguracji>Ustawienia>logowania jednokrotnego tożsamości>i wykonaj następujące czynności:

  1. Zalecane: utwórz kopię zapasową bieżących ustawień.

  2. Zastąp wartość pola Identity Provider Login URL (Adres URL logowania dostawcy tożsamości) zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.

  3. Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.

  4. Zastąp wartość pola Identyfikator jednostki zanotowaną wcześniej identyfikatorem jednostki aplikacji niestandardowej PingOne.

  5. Wybierz pozycję Zapisz.

    Uwaga

    Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.

    Zaktualizuj niestandardową aplikację Salesforce przy użyciu szczegółów języka SAML Defender dla Chmury Apps.

Krok 8. Ukończenie konfiguracji w usłudze Defender dla Chmury Apps

  • Po powrocie do strony zmiany aplikacji aplikacji Defender dla Chmury wybierz pozycję Zakończ. Po ukończeniu pracy kreatora wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli aplikacji dostępu warunkowego.

Powiązana zawartość

« POPRZEDNI: Wdrażanie kontroli dostępu warunkowego aplikacji dla wszystkich aplikacji

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.