Configurar o TMWS (Trend Micro Web Security) para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o TMWS (Trend Micro Web Security) à ID do Microsoft Entra. Ao integrar o TMWS à ID do Microsoft Entra, você poderá:

• Controlar quem tem acesso ao TMWS na ID do Microsoft Entra.
• Permitir que os usuários entrem automaticamente no TMWS com as respectivas contas do Microsoft Entra.
• Gerenciar suas contas em um local central: o portal do Azure.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos na Nuvem
  • Proprietário do aplicativo.

• Uma assinatura do TMWS habilitada para SSO.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

• O TMWS dá suporte ao SSO iniciado por SP .

Adicionar o TMWS da galeria

Para configurar a integração do TMWS à ID do Microsoft Entra, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar por meio da galeria , insira o TMWS (Trend Micro Web Security) na caixa de pesquisa.
4. Selecione TMWS (Trend Micro Web Security) nos resultados da pesquisa e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o TMWS

Você vai configurar e testar o SSO do Microsoft Entra com o TMWS por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer um vínculo entre um usuário do Microsoft Entra e o usuário relacionado do TMWS.

Você concluirá estas etapas básicas para configurar e testar o SSO do Microsoft Entra com o TMWS:

1. Configure o SSO do Microsoft Entra para habilitar o recurso para seus usuários.
   1. Crie um usuário do Microsoft Entra para testar o logon único do Microsoft Entra.
   2. Conceda ao usuário de teste do Microsoft Entra acesso ao TMWS.
   3. Defina as configurações de sincronização de usuário e grupo na ID do Microsoft Entra.
2. Configure o SSO do TMWS no lado do aplicativo.
3. Teste o SSO para verificar a configuração.

Configurar o SSO do Microsoft Entra

Conclua estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

2. Navegue até a página de integração de aplicativos empresariais do Entra ID>, na seção Gerenciar, selecione >TMWS (Trend Micro Web Security).

3. Na página Selecionar um método de logon único , selecione SAML.

4. Na página Configurar Single Sign-On com SAML, selecione o ícone de caneta para Configuração Básica do SAML para editar as configurações:

   

5. Na seção Configuração Básica do SAML , insira valores nas seguintes caixas:

   A. Na caixa Identificador (ID da Entidade ), insira uma URL no seguinte padrão:

   https://auth.iws-hybrid.trendmicro.com/([0-9a-f]{16})

   b. Na caixa URL de Resposta , insira esta URL:

   https://auth.iws-hybrid.trendmicro.com/simplesaml/module.php/saml/sp/saml2-acs.php/ics-sp

   Observação

   O valor do identificador na etapa anterior não é o valor que você deve inserir. Você precisa usar o identificador real. Você pode obter esse valor na seção Configurações do Provedor de Serviços para o Portal de Administração do Azure na página Método de Autenticação para Microsoft Entra ID dos Serviços de Diretório de Administração>.

6. O TMWS espera as asserções SAML em um formato específico, portanto, você precisa adicionar mapeamentos de atributo personalizados à sua configuração de atributos de token SAML. Esta captura de tela mostra os atributos padrão:

   

7. Além dos atributos na captura de tela anterior, o TMWS espera que mais dois atributos sejam passados de volta na resposta SAML. Esses atributos são mostrados na tabela a seguir. Os atributos são preenchidos previamente, mas você pode alterá-los para atender às suas necessidades.

   Nome	Atributo de origem
   sAMAccountName	user.onpremisessamaccountname
   upn	user.userprincipalname

8. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, encontre Certificado (Base64). Selecione o link Baixar ao lado desse nome de certificado para baixar o certificado e salvá-lo em seu computador:

   

9. Na seção Configurar o TMWS (Trend Micro Web Security), copie a URL ou URL apropriada, de acordo com seus requisitos:

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Usuários.
2. Navegue até Entra ID>Usuários.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do Usuário , siga estas etapas:
   1. No campo Nome de exibição , insira B.Simon.
   2. No campo Nome Principal de Usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Examinar + criar.
5. Selecione Criar.

Permitir o acesso do usuário de teste do Microsoft Entra ao TMWS

Nesta seção, você habilitará que B.Simon use o logon único concedendo acesso ao TMWS.

1. Navegue até Entra ID>aplicativos empresariais.
2. Na lista de aplicativos, selecione TMWS (Trend Micro Web Security).
3. Na página de visão geral do aplicativo, na seção Gerenciar , selecione Usuários e grupos:
4. Selecione Adicionar usuário e selecione Usuários e grupos na caixa de diálogo Adicionar Atribuição .
5. Na caixa de diálogo Usuários e grupos , selecione B.Fernandes na lista Usuários e, em seguida, selecione o botão Selecionar na parte inferior da tela.
6. Se você espera um valor de função na declaração SAML, na caixa de diálogo Selecionar Função, selecione a função apropriada para o usuário na lista e selecione o botão Selecionar na parte inferior da tela.
7. Na caixa de diálogo Adicionar Atribuição , selecione Atribuir.

Definir as configurações de sincronização de usuário e de grupo na ID do Microsoft Entra

1. No painel esquerdo, selecione a ID do Microsoft Entra.

2. Em Gerenciar, selecione registros de aplicativo e selecione seu novo aplicativo empresarial em Todos os aplicativos.

3. Em Gerenciar, selecione Certificados &segredos.

4. Na área segredos do cliente , selecione Novo segredo do cliente.

5. Na tela Adicionar um segredo do cliente, opcionalmente, adicione uma descrição e selecione um período de expiração para o segredo do cliente e selecione Adicionar. O novo segredo do cliente aparece na área de segredos do cliente .

6. Registre o valor do segredo do cliente. Posteriormente, insira-o no TMWS.

7. Em Gerenciar, selecione permissões de API.

8. Na janela permissões de API , selecione Adicionar uma permissão.

9. Na guia APIs da Microsoft da janela Solicitar permissões de API , selecione o Microsoft Graph e, em seguida , as permissões de aplicativo.

10. Localize e adicione estas permissões:

    • Group.Read.All
    • Usuário.Leia.Tudo

11. Selecione Adicionar permissões. Uma mensagem é exibida para confirmar que as configurações foram salvas. As novas permissões aparecem na janela de permissões de API .

12. Na área Conceder consentimento , selecione Conceder consentimento do administrador para sua conta de administrador (Diretório Padrão) e selecione Sim. Uma mensagem é exibida para confirmar que o consentimento do administrador para as permissões solicitadas foi fornecido.

13. Selecione Visão geral.

14. Anote a ID do aplicativo (cliente) e a ID do diretório (inquilino) que você vê no painel direito. Posteriormente, insira essas informações no TMWS.

Configurar o SSO do TMWS

Conclua estas etapas para configurar o SSO do TMWS no lado do aplicativo.

1. Entre no console de gerenciamento do TMWS e acesse Administration>USERS &AUTHENTICATION>Directory Services.

2. Selecione aqui na área superior da tela.

3. Na página Método de Autenticação , selecione a ID do Microsoft Entra.

4. Selecione Ativar ou Desativar para configurar se os usuários do Microsoft Entra em sua organização visitarão sites por meio do TMWS se os dados não forem sincronizados com o TMWS.

   Observação

   Os usuários que não estão sincronizados na ID do Microsoft Entra só podem ser autenticados por meio de gateways do TMWS conhecidos ou pela porta dedicada da sua organização.

5. Na seção Configurações do Provedor de Identidade , conclua estas etapas:

   A. Na caixa URL do Serviço, insira o valor da URL de Logon copiado.

   b. Na caixa atributo nome de logon, insira o nome de declaração de usuário com o atributo de origem user.onpremisessamaccountname.

   c. Na caixa de certificado SSL público , use o certificado baixado (Base64).

6. Na seção Configurações de Sincronização , conclua estas etapas:

   A. Na caixa Inquilino, insira o ID do Diretório (inquilino) ou o valor do nome de domínio personalizado.

   b. Na caixa ID do aplicativo , insira o valor da ID do aplicativo (cliente ).

   c. Na caixa de segredo do cliente , insira o segredo do cliente.

   d. Selecione a agenda de sincronização para sincronizar manualmente com a ID do Microsoft Entra ou de acordo com um agendamento. Se você selecionar Manualmente, sempre que houver alterações nas informações do usuário do Active Directory, lembre-se de voltar para a página Serviços de Diretório e executar a sincronização manual para que as informações no TMWS permaneçam atuais.

   e. Selecione Testar Conexão para verificar se o serviço Microsoft Entra pode ser conectado com êxito.

   f. Selecione Salvar.

Observação

Para obter mais informações sobre como configurar o TMWS com a ID do Microsoft Entra, consulte Configurações do Microsoft Entra no TMWS.

Teste de SSO

Depois de configurar o serviço do Microsoft Entra e especificar a ID do Microsoft Entra como o método de autenticação de usuário, entre no servidor proxy do TMWS para verificar a configuração. Depois que a entrada do Microsoft Entra verificar sua conta, você poderá acessar a Internet.

Observação

O TMWS não suporta testar o logon único em Visão geral>Logon único>Configurar Logon Único com SAML>Teste do seu novo aplicativo empresarial.

1. Limpe todos os cookies do navegador e depois reinicie-o.

2. Direcione seu navegador para o servidor proxy do TMWS. Para obter detalhes, consulte Encaminhamento de Tráfego usando arquivos PAC.

3. Visite qualquer site da Internet. O TMWS direciona você para o portal cativo do TMWS.

4. Especifique uma conta do Active Directory (formato: domínio\sAMAccountName oudomínio@), endereço de email ou UPN e selecione Logon. O TMWS enviará você à janela de entrada do Microsoft Entra.

5. Na janela de entrada do Microsoft Entra, insira suas credenciais de conta do Microsoft Entra. Agora você deve estar conectado ao TMWS.

Conteúdo relacionado

Depois de configurar o TMWS, você poderá impor o controle de sessão, que protege contra a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão se estende a partir do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.