Integrar aplicativos de catálogo com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional

Os controles de acesso e sessão no Microsoft Defender para aplicativos de nuvem funcionam com aplicativos de catálogo e personalizados. Embora os aplicativos do Microsoft Entra ID sejam automaticamente integrados para usar o Controle de Aplicativo de Acesso Condicional, se você estiver trabalhando com um IdP que não seja da Microsoft, precisará integrar seu aplicativo manualmente.

Este artigo descreve como configurar seu IdP para funcionar com o Defender para aplicativos de nuvem. A integração do seu IdP com o Defender para Aplicativos de Nuvem reúne automaticamente todos os aplicativos de catálogo do seu IdP para o Controle de Aplicativo de Acesso Condicional.

Pré-requisitos

• Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

  • A licença exigida pela solução de provedor de identidade (IdP)
  • Microsoft Defender para Aplicativos de Nuvem

• Os aplicativos devem ser configurados com logon único

• Os aplicativos devem ser configurados com o protocolo de autenticação SAML 2.0.

A execução e o teste completos dos procedimentos neste artigo exigem que você tenha uma sessão ou uma política de acesso configurada. Para saber mais, veja:

• Crie políticas de acesso ao Microsoft Defender para Aplicativos de nuvem
• Crie políticas de sessão do Microsoft Defender para Aplicativos de nuvem

Configurar o IdP para trabalhar com o Microsoft Defender para Aplicativos de Nuvem

Este procedimento descreve como rotear sessões de aplicativos de outras soluções IdP para o Defender para aplicativos de nuvem.

Dica

Os artigos a seguir fornecem exemplos detalhados desse procedimento:

• Configurar o IdP do PingOne
• Configurar o IdP do AD FS
• Configurar seu provedor de identidade

Para configurar seu IdP para funcionar com o Defender para aplicativos de nuvem:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos de controle de aplicativos de acesso condicional.

2. Selecione Aplicativos de Controle de Aplicativo de Acesso Condicional e Adicionar.

3. Na caixa de diálogo Adicionar um aplicativo SAML com seu provedor de identidade, selecione a lista suspensa Pesquisar um aplicativo e selecione o aplicativo que deseja implantar. Com seu aplicativo selecionado, selecione Assistente para iniciar.

4. Na página INFORMAÇÕES DO APLICATIVO do assistente, carregue um arquivo de metadados do seu aplicativo ou insira os dados do aplicativo manualmente.

   Não deixe de incluir as seguintes informações:

   • O URL do serviço do consumidor de declaração. Essa é a URL que seu aplicativo usa para receber declarações SAML de seu IdP.
   • Um certificado SAML, se seu aplicativo fornecer um. Nesses casos, selecione a opção Usar... certificado SAML e, em seguida, carregue o arquivo de certificado.

   Quando terminar, selecione Próximo para continuar.

5. Na página PROVEDOR DE IDENTIDADE do assistente, siga as instruções para configurar um novo aplicativo personalizado no portal do seu IdP.

   Observação

   As etapas necessárias podem ser diferentes, dependendo do seu IdP. Recomendamos que você execute a configuração externa conforme descrito pelos seguintes motivos:

   • Alguns provedores de identidade não permitem que você altere os atributos de SAML ou as propriedades de URL de um aplicativo de galeria / catálogo.
   • Ao configurar um aplicativo personalizado, você pode testar o aplicativo com controles de acesso e sessão do Defender para aplicativos de nuvem, sem alterar o comportamento configurado existente da sua organização.

   Copie as informações de configuração de logon único do seu aplicativo para uso posterior neste procedimento. Quando terminar, selecione Próximo para continuar.

6. Continuando na página PROVEDOR DE IDENTIDADE do assistente, carregue um arquivo de metadados do seu IdP ou insira os dados do aplicativo manualmente.

   Não deixe de incluir as seguintes informações:

   • A URL do Serviço de Logon Único. Essa é a URL que seu IdP usa para receber solicitações de logon único.
   • Um certificado SAML, se seu IdP fornecer um. Nesses casos, selecione aopção Usar certificado SAML do provedor de identidade e carregue o arquivo de certificado.

7. Continuando na página PROVEDOR DE IDENTIDADE do assistente, copie a URL de logon único e todos os atributos e valores para uso posterior neste procedimento.

   Quando terminar, selecione Avançar para continuar.

8. Navegue até o portal do seu IdP e insira os valores que você copiou para sua configuração de IdP. Normalmente, essas configurações são encontradas na área de configurações personalizadas do aplicativo do IdP.

   1. Insira a URL de logon único do aplicativo que você copiou da etapa anterior. Alguns provedores podem se referir à URL de logon único como a URL de resposta.

   2. Adicione os atributos e valores que você copiou da etapa anterior às propriedades do aplicativo. Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.

      Se seus atributos estiverem limitados a 1024 caracteres para novos aplicativos, primeiro crie o aplicativo sem os atributos relevantes e adicione-os depois editando o aplicativo.

   3. Verifique se o identificador do seu nome está no formato de um endereço de e-mail.

   4. Certifique-se de salvar suas configurações quando terminar.

9. De volta ao Defender para aplicativos de nuvem na página ALTERAÇÕES DO APLICATIVO do assistente, copie a URL de logon único SAML e baixe o certificado SAML do Microsoft Defender para aplicativos de nuvem. A URL de logon único do SAML é personalizada para seu aplicativo quando usada com o Controle de Aplicativo de Acesso Condicional do Defender para Aplicativos de Nuvem.

10. Navegue até o portal do seu aplicativo e defina suas configurações de logon único da seguinte maneira:

    1. Recomendado: criar um backup das configurações atuais.
    2. Substitua o valor do campo URL de entrada do provedor de identidade pela URL de logon único SAML do Defender para aplicativos de nuvem que você copiou da etapa anterior. O nome específico para esse campo pode ser diferente, dependendo do seu aplicativo.
    3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou na etapa anterior.
    4. Certifique-se de salvar as alterações.

11. No assistente, selecione Concluir para concluir a configuração.

Depois de salvar as configurações de logon único do seu aplicativo com os valores personalizados pelo Defender para Aplicativos de Nuvem, todas as solicitações de entrada associadas ao aplicativo são roteadas por meio do Defender para Aplicativos de Nuvem e do Controle de Aplicativo de Acesso Condicional.

Observação

O certificado SAML do Defender para Aplicativos de Nuvem é válido por 1 ano. Depois que ele expirar, você precisará gerar e carregar um novo.

Entre em seu aplicativo usando um usuário com escopo para a política

Depois de criar sua política de acesso ou sessão, faça login em cada aplicativo configurado na política. Certifique-se de que terminou sessão em todas as sessões existentes e de que iniciou sessão com um usuário configurado na política.

O Defender para Aplicativos de Nuvem sincronizará os detalhes da política com seus servidores para cada novo aplicativo em que você entrar. Isso poderá levar até um minuto.

Para saber mais, veja:

• Crie políticas de acesso ao Microsoft Defender para Aplicativos de nuvem
• Crie políticas de sessão do Microsoft Defender para Aplicativos de nuvem

Verifique se os aplicativos estão configurados para usar controles de acesso e de sessão

Este procedimento descreve como verificar se seus aplicativos estão configurados para usar controles de acesso e sessão no Defender para aplicativos de nuvem e definir essas configurações, se necessário.

Observação

Embora não seja possível remover as configurações de controle de sessão de um aplicativo, nenhum comportamento será alterado até que você tenha uma política de sessão ou de acesso configurada para o aplicativo.

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos de controle de aplicativos de acesso condicional.

2. Na tabela de aplicativos, pesquise seu aplicativo e verifique o valor da coluna de tipo IDP. Certifique-se de que o aplicativo de autenticação Não-MS e o controle de sessão sejam exibidos para seu aplicativo.

Conteúdo relacionado

• Proteger aplicativos com o Microsoft Defender para Aplicativos de Nuvem Controle de Aplicativos de Acesso Condicional
• Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados com provedores de identificação que não sejam da Microsoft
• Solução de problemas de controles de acesso e sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.