Implantar o controle de aplicativos de acesso condicional para qualquer aplicativo Web usando os Serviços de Federação do Active Directory (AD FS) como o provedor de identidade (IdP)
Você pode configurar controles de sessão no Microsoft Defender para Aplicativos de Nuvem para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativo do AD FS para o Defender para Aplicativos de Nuvem para controles de sessão em tempo real.
Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender para Aplicativos de Nuvem.
Pré-requisitos
Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:
- Um ambiente do AD FS pré-configurado
- Microsoft Defender for Cloud Apps
Uma configuração de logon único existente do AD FS para o aplicativo usando o protocolo de autenticação SAML 2.0
Observação
As etapas aqui se aplicam a todas as versões do AD FS executadas na versão com suporte do Windows Server.
Para configurar controles de sessão para o aplicativo usando Okta como IdP
Use as etapas a seguir para rotear suas sessões de aplicativo Web do AD FS para o Defender para Aplicativos de Nuvem.
Observação
Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo AD FS usando um destes métodos:
- Opção 1: upload do arquivo de metadados SAML do aplicativo.
- Opção 2: fornecimento manual dos dados SAML do aplicativo.
Nas próximas etapas, usaremos a opção 2.
Etapa 1: obter as configurações de logon único SAML do seu aplicativo
Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações SAML do seu aplicativo
Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo AD FS
Etapa 5: conclua a configuração do objeto de confiança de terceira parte confiável do AD FS
Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem
Etapa 7: concluir as alterações no aplicativo
Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem
Etapa 1: obter as configurações de logon único SAML do seu aplicativo
No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único.
Em Configurações de logon Único, clique no nome da configuração existente do AD FS.
Na página Configuração de logon único do SAML, anote a URL do logon do Salesforce. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.
Observação
Se o aplicativo fornecer um certificado SAML, faça o download do arquivo do certificado.
Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo SAML
No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.
Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.
Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço do consumidor de declaração, insira a URL do logon do Salesforce que anotada anteriormente e clique em Avançar.
Observação
Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.
Etapa 3: crie uma nova configuração aplicativo de logon único e objeto de confiança de terceira parte confiável do AD FS
Observação
Para limitar o tempo de inatividade do usuário final e preservar sua configuração existente em boas condições, recomendamos criar uma nova configuração de objeto de confiança de terceira parte confiável e logon único. Se isso não for possível, ignore as etapas relevantes. Por exemplo, se o aplicativo que está configurando não oferecer suporte à criação de várias configurações do logon único, então pule a etapa de criação do novo logon único.
No console de Gerenciamento do AD FS, em Objeto de confiança de terceira parte confiável, visualize as propriedades do objeto de confiança de terceira parte confiável existente para seu aplicativo e anote as configurações.
Em Ações, clique em Adicionar Objeto de Confiança de Terceira Parte Confiável. Além do valor Identificador que deve ser um nome exclusivo, configure a nova confiança usando as configurações anotadas anteriormente. Você precisará dessa confiança mais tarde ao configurar o Defender para Aplicativos de Nuvem.
Abra o arquivo de metadados de federação e anote a localização do Serviço de logon único do AD FS. Você precisará dessas informações posteriormente.
Observação
É possível usar o seguinte ponto de extremidade para acessar seu arquivo de metadados de federação:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Faça o download do certificado de autenticação do provedor de identidade. Você precisará dessas informações posteriormente.
Em Certificados de>serviços, clique com o botão direito do mouse no certificado de autenticação do AD FS e selecione Exibir certificado.
Na guia detalhes do certificado, clique em Copiar para arquivo e siga as etapas no Assistente de exportação de certificado para exportar seu certificado como um arquivo X.509 codificado em Base-64 (. CER).
De volta ao Salesforce, na página de configurações de logon único existente do AD FS, anote todas as configurações.
Crie uma configuração de logon único SAML. Além do valor de ID da entidade que deve corresponder ao Identificador de objeto de confiança de terceira parte confiável, configure o logon único usando as configurações anotadas anteriormente. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.
Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo AD FS
De volta à página PROVEDOR DE IDENTIDADE do Defender para Aplicativos de Nuvem, clique em Avançar para continuar.
Na próxima página, selecione Preencher dados manualmente, siga as etapas a seguir e clique em Avançar.
- Para o URL do serviço de logon único, insira o URL de logon do Salesforce que você anotou anteriormente.
- Selecione Carregar Certificado SAML do provedor de identidade e selecione o arquivo de certificado baixado anteriormente.
Na próxima página, anote as informações a seguir e clique em Avançar. Você precisará das informações posteriormente.
- URL de logon único do Defender para Aplicativos de Nuvem
- Atributos e valores do Defender para Aplicativos de Nuvem
Observação
Se vir uma opção para fazer upload do certificado SAML do Defender para aplicativos de nuvem para o provedor de identidade, clique no link para fazer download do arquivo de certificado. Você precisará dessas informações posteriormente.
Etapa 5: conclua a configuração do objeto de confiança de terceira parte confiável do AD FS
De volta ao console de gerenciamento do AD FS, clique com o botão direito do mouse no objeto de confiança de terceira parte confiável criado anteriormente e selecione Editar política de emissão de declaração.
Na caixa de diálogo Editar política de emissão de declaração, em Regras de transformação de emissão, use as informações fornecidas na tabela a seguir para concluir as etapas de criação de regras personalizadas.
Nome da regra de declaração Regra personalizada McasSigningCert => issue(type="McasSigningCert", value="<value>");
onde<value>
é o valor McasSigningCert do assistente do Defender para Aplicativos de Nuvem que você observou anteriormenteMcasAppId => issue(type="McasAppId", value="<value>");
é o valor McasAppId do assistente do Defender para Aplicativos de Nuvem que você observou anteriormente- Na página Selecionar modelo de regra, em Modelo de regra de declaração, selecione Enviar declarações usando uma regra personalizada e selecione Avançar.
- Na página Configurar regra, insira o respectivo Nome da regra de declaração e a regra personalizada fornecida.
Observação
Essas regras são adicionais a quaisquer regras de declaração ou atributos requeridos pelo aplicativo que você está configurando.
De volta à página Objeto de confiança de terceira parte confiável, clique com o botão direito do mouse no objeto de confiança de terceira parte confiável criado anteriormente e selecione Propriedades.
Na guia Pontos de extremidade, selecione Ponto de extremidade do consumidor de asserção SAML, clique em Editar, substitua a URL confiável pela URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente e clique em OK.
Se você baixou um certificado SAML do Defender para Aplicativos de Nuvem para o provedor de identidade, na guia Assinatura, clique em Adicionar, carregue o arquivo de certificado e clique em OK.
Salve suas configurações.
Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem
De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, faça o seguinte, mas não clique em Concluir. Você precisará das informações posteriormente.
- Copiar a URL de logon único SAML do Defender para Aplicativos de Nuvem
- Baixe o certificado SAML do Defender para Aplicativos de Nuvem
Etapa 7: concluir as alterações no aplicativo
No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único e faça o seguinte:
Recomendado: crie um backup das configurações atuais.
Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.
Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.
Clique em Save (Salvar).
Observação
O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.
Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem
- De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, clique em Concluir. Depois de concluir o assistente, todas as solicitações de logon associadas a este aplicativo serão roteadas por meio do controle de aplicativos de acesso condicional.
Conteúdo relacionado
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.