Aplicativos de catálogo IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional

Os controles de acesso e sessão nos aplicativos do Microsoft Defender for Cloud funcionam com aplicativos personalizados e de catálogo. Embora os aplicativos Microsoft Entra ID sejam integrados automaticamente para usar o controle de aplicativo de Acesso Condicional, se você estiver trabalhando com um IdP que não seja da Microsoft, precisará integrar seu aplicativo manualmente.

Este artigo descreve como configurar seu IdP para trabalhar com o Defender for Cloud Apps. A integração do seu IdP com o Defender for Cloud Apps integra automaticamente todas as aplicações de catálogo a partir do seu controlo de aplicações IdP for Conditional Access.

Pré-requisitos

• Sua organização deve ter as seguintes licenças para usar o controle de aplicativo de acesso condicional:

  • A licença exigida pela sua solução de provedor de identidade (IdP)
  • Microsoft Defender for Cloud Apps

• Os aplicativos devem ser configurados com logon único

• Os aplicativos devem ser configurados com o protocolo de autenticação SAML 2.0.

A execução completa e o teste dos procedimentos neste artigo exigem que você tenha uma sessão ou política de acesso configurada. Para obter mais informações, consulte:

• Criar políticas de acesso do Microsoft Defender for Cloud Apps
• Criar políticas de sessão do Microsoft Defender for Cloud Apps

Configure seu IdP para trabalhar com o Defender for Cloud Apps

Este procedimento descreve como rotear sessões de aplicativos de outras soluções IdP para o Defender for Cloud Apps.

Gorjeta

Os seguintes artigos fornecem exemplos detalhados deste procedimento:

• Configure o seu PingOne IdP
• Configurar o IdP do AD FS
• Configure seu Okta IdP

Para configurar seu IdP para trabalhar com o Defender for Cloud Apps:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos > de nuvem Aplicativos conectados Aplicativos >de controle de aplicativo de acesso condicional.

2. Na página Aplicativos de Controle de Aplicativo de Acesso Condicional, selecione + Adicionar.

3. Na caixa de diálogo Adicionar um aplicativo SAML com seu provedor de identidade, selecione a lista suspensa Pesquisar um aplicativo e selecione o aplicativo que deseja implantar. Com seu aplicativo selecionado, selecione Iniciar assistente.

4. Na página INFORMAÇÕES DO APLICATIVO do assistente, carregue um arquivo de metadados do seu aplicativo ou insira os dados do aplicativo manualmente.

   Certifique-se de fornecer as seguintes informações:

   • A URL do serviço ao consumidor Assertion. Este é o URL que seu aplicativo usa para receber asserções SAML do seu IdP.
   • Um certificado SAML, se o seu aplicativo fornecer um. Nesses casos, selecione a opção Usar ... Opção de certificado SAML e, em seguida, carregue o arquivo de certificado.

   Quando terminar, selecione Avançar para continuar.

5. Na página IDENTITY PROVIDER do assistente, siga as instruções para configurar um novo aplicativo personalizado no portal do seu IdP.

   Nota

   As etapas necessárias podem ser diferentes, dependendo do seu IdP. Recomendamos que você execute a configuração externa conforme descrito pelos seguintes motivos:

   • Alguns provedores de identidade não permitem que você altere os atributos SAML ou as propriedades de URL de um aplicativo de galeria/catálogo.
   • Ao configurar um aplicativo personalizado, você pode testá-lo com os controles de acesso e sessão do Defender for Cloud Apps, sem alterar o comportamento configurado existente da sua organização.

   Copie as informações de configuração de logon único do seu aplicativo para uso posterior neste procedimento. Quando terminar, selecione Avançar para continuar.

6. Continuando na página IDENTITY PROVIDER do assistente, carregue um arquivo de metadados do seu IdP ou insira os dados do aplicativo manualmente.

   Certifique-se de fornecer as seguintes informações:

   • A URL do serviço de logon único. Este é o URL que o seu IdP utiliza para receber pedidos de início de sessão único.
   • Um certificado SAML, se o seu IdP fornecer um. Nesses casos, selecione a opção Usar certificado SAML do provedor de identidade e carregue o arquivo de certificado.

7. Continuando na página IDENTITY PROVIDER do assistente, copie a URL de logon único e todos os atributos e valores para uso posterior neste procedimento.

   Quando terminar, selecione Avançar para continuar.

8. Navegue até o portal do seu IdP e insira os valores que você copiou para sua configuração de IdP. Normalmente, essas configurações são encontradas na área de configurações personalizadas do aplicativo do seu IdP.

   1. Introduza o URL de início de sessão único da aplicação que copiou do passo anterior. Alguns provedores podem se referir à URL de logon único como a URL de resposta.

   2. Adicione os atributos e valores copiados da etapa anterior às propriedades do aplicativo. Alguns provedores podem se referir a eles como atributos de usuário ou reivindicações.

      Se seus atributos estiverem limitados a 1024 caracteres para novos aplicativos, primeiro crie o aplicativo sem os atributos relevantes e adicione-os depois editando o aplicativo.

   3. Verifique se o identificador de nome está no formato de um endereço de e-mail.

   4. Certifique-se de salvar suas configurações quando terminar.

9. De volta ao Defender for Cloud Apps, na página APP CHANGES do assistente, copie a URL de logon único SAML e baixe o certificado SAML do Microsoft Defender for Cloud Apps. A URL de logon único SAML é uma URL personalizada para seu aplicativo quando usada com o controle de aplicativo de Acesso Condicional do Defender for Cloud Apps.

10. Navegue até o portal do seu aplicativo e defina suas configurações de logon único da seguinte maneira:

    1. (Recomendado) Crie um backup de suas configurações atuais.
    2. Substitua o valor do campo URL de entrada do provedor de identidade pelo URL de logon único SAML do Defender for Cloud Apps copiado da etapa anterior. O nome específico para este campo pode ser diferente, dependendo do seu aplicativo.
    3. Carregue o certificado SAML do Defender for Cloud Apps que você baixou na etapa anterior.
    4. Certifique-se de salvar suas alterações.

11. No assistente, selecione Concluir para concluir a configuração.

Depois de salvar as configurações de logon único do seu aplicativo com os valores personalizados pelo Defender for Cloud Apps, todas as solicitações de login associadas ao aplicativo são roteadas por meio do controle do aplicativo Defender for Cloud Apps e do aplicativo Acesso Condicional.

Nota

O certificado SAML do Defender for Cloud Apps é válido por 1 ano. Depois que ele expirar, você precisará gerar e carregar um novo.

Iniciar sessão na sua aplicação utilizando um utilizador com o âmbito definido na política

Depois de criar sua política de acesso ou sessão, entre em cada aplicativo configurado na política. Certifique-se de que primeiro terminou sessão em todas as sessões existentes e que iniciou sessão com um utilizador configurado na política.

O Defender for Cloud Apps sincronizará os detalhes da sua política com os seus servidores para cada nova aplicação em que iniciar sessão. Isto pode demorar até um minuto.

Para obter mais informações, consulte:

• Criar políticas de acesso do Microsoft Defender for Cloud Apps
• Criar políticas de sessão do Microsoft Defender for Cloud Apps

Verifique se os aplicativos estão configurados para usar controles de acesso e sessão

Este procedimento descreve como verificar se seus aplicativos estão configurados para usar controles de acesso e sessão no Defender for Cloud Apps e definir essas configurações, se necessário.

Nota

Embora não seja possível remover as configurações de controle de sessão de um aplicativo, nenhum comportamento é alterado até que você tenha uma sessão ou uma política de acesso configurada para o aplicativo.

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos > na nuvem Aplicativos conectados Aplicativos >de controle de aplicativo de acesso condicional.

2. Na tabela de aplicativos, pesquise seu aplicativo e verifique o valor da coluna do tipo de IDP. Certifique-se de que o aplicativo de autenticação não-MS e o controle de sessão aparecem para seu aplicativo.

Conteúdos relacionados

• Proteja aplicativos com o controle de aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps
• Implantar o controle de aplicativo Acesso Condicional para aplicativos personalizados com provedores de identidade que não sejam da Microsoft
• Solução de problemas de acesso e controles de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.