Compartilhar via


Implantar o controle de aplicativos de acesso condicional para qualquer aplicativo Web usando os Serviços de Federação do Active Directory (AD FS) como o provedor de identidade (IdP)

Você pode configurar controles de sessão no Microsoft Defender para Aplicativos de Nuvem para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativo do AD FS para o Defender para Aplicativos de Nuvem para controles de sessão em tempo real.

Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender para Aplicativos de Nuvem.

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

    • Um ambiente do AD FS pré-configurado
    • Microsoft Defender for Cloud Apps
  • Uma configuração de logon único existente do AD FS para o aplicativo usando o protocolo de autenticação SAML 2.0

Observação

As etapas aqui se aplicam a todas as versões do AD FS executadas na versão com suporte do Windows Server.

Para configurar controles de sessão para o aplicativo usando Okta como IdP

Use as etapas a seguir para rotear suas sessões de aplicativo Web do AD FS para o Defender para Aplicativos de Nuvem.

Observação

Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo AD FS usando um destes métodos:

  • Opção 1: upload do arquivo de metadados SAML do aplicativo.
  • Opção 2: fornecimento manual dos dados SAML do aplicativo.

Nas próximas etapas, usaremos a opção 2.

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações SAML do seu aplicativo

Etapa 3: criar um novo objeto de confiança de terceira parte confiável do AD FS e configuração de logon único do aplicativo.

Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo AD FS

Etapa 5: conclua a configuração do objeto de confiança de terceira parte confiável do AD FS

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

Etapa 7: concluir as alterações no aplicativo

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

  1. No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único.

  2. Em Configurações de logon Único, clique no nome da configuração existente do AD FS.

    Selecione Configurações de SSO do Salesforce.

  3. Na página Configuração de logon único do SAML, anote a URL do logon do Salesforce. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.

    Observação

    Se o aplicativo fornecer um certificado SAML, faça o download do arquivo do certificado.

    Selecione URL de login do SSO do Salesforce.

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo SAML

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

  3. Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.

  4. Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço do consumidor de declaração, insira a URL do logon do Salesforce que anotada anteriormente e clique em Avançar.

    Observação

    Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

    Preencha manualmente as informações do SAML do Salesforce.

Etapa 3: crie uma nova configuração aplicativo de logon único e objeto de confiança de terceira parte confiável do AD FS

Observação

Para limitar o tempo de inatividade do usuário final e preservar sua configuração existente em boas condições, recomendamos criar uma nova configuração de objeto de confiança de terceira parte confiável e logon único. Se isso não for possível, ignore as etapas relevantes. Por exemplo, se o aplicativo que está configurando não oferecer suporte à criação de várias configurações do logon único, então pule a etapa de criação do novo logon único.

  1. No console de Gerenciamento do AD FS, em Objeto de confiança de terceira parte confiável, visualize as propriedades do objeto de confiança de terceira parte confiável existente para seu aplicativo e anote as configurações.

  2. Em Ações, clique em Adicionar Objeto de Confiança de Terceira Parte Confiável. Além do valor Identificador que deve ser um nome exclusivo, configure a nova confiança usando as configurações anotadas anteriormente. Você precisará dessa confiança mais tarde ao configurar o Defender para Aplicativos de Nuvem.

  3. Abra o arquivo de metadados de federação e anote a localização do Serviço de logon único do AD FS. Você precisará dessas informações posteriormente.

    Observação

    É possível usar o seguinte ponto de extremidade para acessar seu arquivo de metadados de federação: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Anote o local do serviço de SSO do aplicativo Salesforce existente.

  4. Faça o download do certificado de autenticação do provedor de identidade. Você precisará dessas informações posteriormente.

    1. Em Certificados de>serviços, clique com o botão direito do mouse no certificado de autenticação do AD FS e selecione Exibir certificado.

      Exibir propriedades do certificado de assinatura IdP.

    2. Na guia detalhes do certificado, clique em Copiar para arquivo e siga as etapas no Assistente de exportação de certificado para exportar seu certificado como um arquivo X.509 codificado em Base-64 (. CER).

      Salve o arquivo de certificado de assinatura IdP.

  5. De volta ao Salesforce, na página de configurações de logon único existente do AD FS, anote todas as configurações.

  6. Crie uma configuração de logon único SAML. Além do valor de ID da entidade que deve corresponder ao Identificador de objeto de confiança de terceira parte confiável, configure o logon único usando as configurações anotadas anteriormente. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.

Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo AD FS

  1. De volta à página PROVEDOR DE IDENTIDADE do Defender para Aplicativos de Nuvem, clique em Avançar para continuar.

  2. Na próxima página, selecione Preencher dados manualmente, siga as etapas a seguir e clique em Avançar.

    • Para o URL do serviço de logon único, insira o URL de logon do Salesforce que você anotou anteriormente.
    • Selecione Carregar Certificado SAML do provedor de identidade e selecione o arquivo de certificado baixado anteriormente.

    Adicione URL de serviço SSO e certificado SAML.

  3. Na próxima página, anote as informações a seguir e clique em Avançar. Você precisará das informações posteriormente.

    • URL de logon único do Defender para Aplicativos de Nuvem
    • Atributos e valores do Defender para Aplicativos de Nuvem

    Observação

    Se vir uma opção para fazer upload do certificado SAML do Defender para aplicativos de nuvem para o provedor de identidade, clique no link para fazer download do arquivo de certificado. Você precisará dessas informações posteriormente.

    No Defender para Aplicativos de Nuvem, anote a URL e os atributos do SSO.

Etapa 5: conclua a configuração do objeto de confiança de terceira parte confiável do AD FS

  1. De volta ao console de gerenciamento do AD FS, clique com o botão direito do mouse no objeto de confiança de terceira parte confiável criado anteriormente e selecione Editar política de emissão de declaração.

    Localize e edite a emissão de declarações de confiança confiáveis.

  2. Na caixa de diálogo Editar política de emissão de declaração, em Regras de transformação de emissão, use as informações fornecidas na tabela a seguir para concluir as etapas de criação de regras personalizadas.

    Nome da regra de declaração Regra personalizada
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); onde <value> é o valor McasSigningCert do assistente do Defender para Aplicativos de Nuvem que você observou anteriormente
    McasAppId => issue(type="McasAppId", value="<value>"); é o valor McasAppId do assistente do Defender para Aplicativos de Nuvem que você observou anteriormente
    1. Na página Selecionar modelo de regra, em Modelo de regra de declaração, selecione Enviar declarações usando uma regra personalizada e selecione Avançar.
    2. Na página Configurar regra, insira o respectivo Nome da regra de declaração e a regra personalizada fornecida.

    Observação

    Essas regras são adicionais a quaisquer regras de declaração ou atributos requeridos pelo aplicativo que você está configurando.

  3. De volta à página Objeto de confiança de terceira parte confiável, clique com o botão direito do mouse no objeto de confiança de terceira parte confiável criado anteriormente e selecione Propriedades.

  4. Na guia Pontos de extremidade, selecione Ponto de extremidade do consumidor de asserção SAML, clique em Editar, substitua a URL confiável pela URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente e clique em OK.

    Atualize as propriedades de ponto de extremidade de confiança confiável URL confiável.

  5. Se você baixou um certificado SAML do Defender para Aplicativos de Nuvem para o provedor de identidade, na guia Assinatura, clique em Adicionar, carregue o arquivo de certificado e clique em OK.

    Atualize o certificado SAML de propriedades de assinatura de confiança confiável.

  6. Salve suas configurações.

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, faça o seguinte, mas não clique em Concluir. Você precisará das informações posteriormente.

  • Copiar a URL de logon único SAML do Defender para Aplicativos de Nuvem
  • Baixe o certificado SAML do Defender para Aplicativos de Nuvem

Anote a URL de SSO do SAML do Defender para Aplicativos de Nuvem e baixe o certificado.

Etapa 7: concluir as alterações no aplicativo

No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único e faça o seguinte:

  1. Recomendado: crie um backup das configurações atuais.

  2. Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.

  3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.

  4. Clique em Save (Salvar).

    Observação

    O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

  • De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, clique em Concluir. Depois de concluir o assistente, todas as solicitações de logon associadas a este aplicativo serão roteadas por meio do controle de aplicativos de acesso condicional.

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.