Partilhar via

Implantar o controle de aplicativo de acesso condicional para qualquer aplicativo Web usando Okta como provedor de identidade (IdP)

  • Artigo

Você pode configurar controles de sessão no Microsoft Defender for Cloud Apps para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativos do Okta para o Defender for Cloud Apps para controles de sessão em tempo real.

Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender for Cloud Apps.

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar o controle de aplicativo de acesso condicional:

    • Um locatário Okta pré-configurado.
    • Microsoft Defender for Cloud Apps

  • Uma configuração de logon único Okta existente para o aplicativo usando o protocolo de autenticação SAML 2.0

Para configurar controles de sessão para seu aplicativo usando Okta como IdP

Use as etapas a seguir para rotear suas sessões de aplicativos Web do Okta para o Defender for Cloud Apps.

Nota

Você pode configurar as informações de logon único SAML do aplicativo fornecidas pela Okta usando um dos seguintes métodos:

  • Opção 1: Carregar o ficheiro de metadados SAML da aplicação.
  • Opção 2: Fornecer manualmente os dados SAML do aplicativo.

Nas etapas a seguir, usaremos a opção 2.

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

Etapa 2: Configurar o Defender for Cloud Apps com as informações SAML do seu aplicativo

Etapa 3: Criar um novo aplicativo personalizado Okta e uma configuração de logon único do aplicativo

Etapa 4: Configurar o Defender for Cloud Apps com as informações do aplicativo Okta

Etapa 5: Concluir a configuração do aplicativo personalizado Okta

Etapa 6: obter as alterações do aplicativo no Defender for Cloud Apps

Etapa 7: concluir as alterações do aplicativo

Etapa 8: concluir a configuração no Defender for Cloud Apps

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

  1. No Salesforce, navegue até Configurações de configuração>>Configurações de logon único de identidade.>

  2. Em Configurações de logon único, clique no nome da configuração Okta existente.

    Selecione Configurações de SSO do Salesforce.

  3. Na página Configuração de logon único do SAML, anote a URL de login do Salesforce. Você precisará disso mais tarde ao configurar o Defender for Cloud Apps.

    Nota

    Se seu aplicativo fornecer um certificado SAML, baixe o arquivo de certificado.

    Selecione URL de login do Salesforce SSO.

Etapa 2: Configurar o Defender for Cloud Apps com as informações SAML do seu aplicativo

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  2. Em Aplicativos conectados, selecione aplicativos de controle de aplicativo de acesso condicional.

  3. Selecione +Adicionar e, no pop-up, selecione a aplicação que pretende implementar e, em seguida, selecione Iniciar Assistente.

  4. Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço ao consumidor Assertion, insira a URL de login do Salesforce que você anotou anteriormente e clique em Avançar.

    Nota

    Se seu aplicativo fornecer um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.

    Preencha manualmente as informações SAML do Salesforce.

Etapa 3: Criar um novo aplicativo personalizado Okta e uma configuração de logon único de aplicativo

Nota

Para limitar o tempo de inatividade do usuário final e preservar sua configuração em boas condições, recomendamos a criação de uma nova configuração de Aplicativo Personalizado e Logon Único. Se tal não for possível, ignore os passos relevantes. Por exemplo, se o aplicativo que você está configurando não oferecer suporte à criação de várias configurações de Logon Único, ignore a etapa de criação de novo logon único.

  1. No Okta Admin Console, em Aplicativos, exiba as propriedades da configuração existente para seu aplicativo e anote as configurações.

  2. Clique em Adicionar Aplicativo e, em seguida, clique em Criar Novo Aplicativo. Além do valor de URI de audiência (ID de entidade do SP) que deve ser um nome exclusivo, configure o novo aplicativo usando as configurações que você observou anteriormente. Você precisará desse aplicativo mais tarde ao configurar o Defender for Cloud Apps.

  3. Navegue até Aplicativos, visualize sua configuração Okta existente e, na guia Logon , selecione Exibir instruções de configuração.

    Observe o local do serviço de SSO do aplicativo Salesforce existente.

  4. Anote a URL de Logon Único do Provedor de Identidade e baixe o Certificado de Assinatura do provedor de identidade (X.509). Precisará do mesmo mais tarde.

  5. De volta ao Salesforce, na página existente de configurações de logon único do Okta, anote todas as configurações.

  6. Crie uma nova configuração de logon único SAML. Além do valor de ID de Entidade que deve corresponder ao URI de Audiência (ID de Entidade do SP) do aplicativo personalizado, configure o logon único usando as configurações que você observou anteriormente. Você precisará disso mais tarde ao configurar o Defender for Cloud Apps.

  7. Depois de salvar seu novo aplicativo, navegue até a página Atribuições e atribua as Pessoas ou Grupos que exigem acesso ao aplicativo.

ׂ

Etapa 4: Configurar o Defender for Cloud Apps com as informações do aplicativo Okta

  1. De volta à página IDENTITY PROVIDER do Defender for Cloud Apps, clique em Avançar para continuar.

  2. Na página seguinte, selecione Preencher dados manualmente, faça o seguinte e clique em Avançar.

    • Para a URL do serviço de logon único, insira a URL de login do Salesforce que você anotou anteriormente.
    • Selecione Carregar certificado SAML do provedor de identidade e carregue o arquivo de certificado baixado anteriormente.

    Adicione URL de serviço SSO e certificado SAML.

  3. Na página seguinte, anote as seguintes informações e clique em Avançar. Você precisará das informações mais tarde.

    • URL de início de sessão único do Defender for Cloud Apps
    • Atributos e valores do Defender for Cloud Apps

    Nota

    Se você vir uma opção para carregar o certificado SAML do Defender for Cloud Apps para o provedor de identidade, clique no clique para baixar o arquivo de certificado. Precisará do mesmo mais tarde.

    No Defender for Cloud Apps, observe URL e atributos de SSO.

Etapa 5: Concluir a configuração do aplicativo personalizado Okta

  1. De volta ao Okta Admin Console, em Aplicativos, selecione o aplicativo personalizado criado anteriormente e, em Configurações gerais>do SAML, clique em Editar.

    Localize e edite as configurações de SAML.

  2. No campo URL de Logon Único, substitua a URL pela URL de logon único do Defender for Cloud Apps que você anotou anteriormente e salve suas configurações.

  3. Em Diretório, selecione Editor de Perfil, selecione o aplicativo personalizado criado anteriormente e clique em Perfil. Adicione atributos usando as seguintes informações.

    Nome a apresentar Nome da variável Tipo de dados Tipo de atributo
    McasSigningCert McasSigningCert string Personalizado
    McasAppId McasAppId string Personalizado

    Adicione atributos de perfil.

  4. De volta à página Editor de Perfil , selecione o aplicativo personalizado criado anteriormente, clique em Mapeamentos e selecione Usuário Okta para {custom_app_name}. Mapeie os atributos McasSigningCert e McasAppId para os valores de atributo do Defender for Cloud Apps que você anotou anteriormente.

    Nota

    • Certifique-se de colocar os valores entre aspas duplas (")
    • Okta limita atributos a 1024 caracteres. Para atenuar essa limitação, adicione os atributos usando o Editor de Perfil conforme descrito.

    Mapeie atributos de perfil.

  5. Guarde as definições.

Etapa 6: obter as alterações do aplicativo no Defender for Cloud Apps

De volta à página APP CHANGES do Defender for Cloud Apps, faça o seguinte, mas não clique em Concluir. Você precisará das informações mais tarde.

  • Copie a URL de logon único SAML do Defender for Cloud Apps
  • Baixe o certificado SAML do Defender for Cloud Apps

Observe a URL do Defender for Cloud Apps SAML SSO e baixe o certificado.

Etapa 7: concluir as alterações do aplicativo

No Salesforce, navegue até Configurações de>>configuração Configurações de logon único de identidade>e faça o seguinte:

  1. [Recomendado] Crie um backup de suas configurações atuais.

  2. Substitua o valor do campo URL de Login do Provedor de Identidade pelo URL de logon único SAML do Defender for Cloud Apps que você anotou anteriormente.

  3. Carregue o certificado SAML do Defender for Cloud Apps que você baixou anteriormente.

  4. Clique em Guardar.

    Nota

    • Depois de guardar as suas definições, todos os pedidos de início de sessão associados a esta aplicação serão encaminhados através do controlo da aplicação de acesso condicional.
    • O certificado SAML do Defender for Cloud Apps é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

    Atualize as configurações de SSO.

Etapa 8: concluir a configuração no Defender for Cloud Apps

  • De volta à página APP CHANGES do Defender for Cloud Apps, clique em Concluir. Depois de concluir o assistente, todas as solicitações de login associadas a este aplicativo serão roteadas por meio do controle de aplicativo de acesso condicional.

Conteúdos relacionados

Introdução ao controle de aplicativo de acesso condicional

Solução de problemas de acesso e controles de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.