Развертывание управления условным доступом для любого веб-приложения с помощью службы федерации Active Directory (AD FS) (AD FS) в качестве поставщика удостоверений (IdP)
Вы можете настроить элементы управления сеансами в приложениях Microsoft Defender для облака для работы с любым веб-приложением и любым поставщиком удостоверений, отличных от Майкрософт. В этой статье описывается маршрутизация сеансов приложений из AD FS в Defender для облака Приложения для элементов управления сеансами в режиме реального времени.
В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настроенного для использования элементов управления сеансами Defender для облака Apps.
Необходимые компоненты
У вашей организации должны быть следующие лицензии для использования управления приложениями условного доступа:
- Предварительно настроенная среда AD FS
- Microsoft Defender для облачных приложений
Существующая конфигурация единого входа AD FS для приложения с помощью протокола проверки подлинности SAML 2.0
Примечание.
Приведенные здесь действия применяются ко всем версиям AD FS, работающим в поддерживаемой версии Windows Server.
Настройка элементов управления сеансом для приложения с помощью AD FS в качестве поставщика удостоверений
Выполните следующие действия, чтобы маршрутизировать сеансы веб-приложения из AD FS в Defender для облака Приложения. Инструкции по настройке Microsoft Entra см. в разделе "Подключение" и развертывание управления приложениями условного доступа для пользовательских приложений с помощью идентификатора Microsoft Entra.
Примечание.
Вы можете настроить сведения о едином входе приложения SAML, предоставляемые AD FS, с помощью одного из следующих методов:
- Вариант 1. Отправка файла метаданных SAML приложения.
- Вариант 2. Предоставление данных SAML приложения вручную.
В следующих шагах мы будем использовать вариант 2.
Шаг 1. Получение параметров единого входа приложения SAML
Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения
Шаг 3. Создание новой конфигурации доверия проверяющей стороны AD FS и единого входа приложения
Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении AD FS
Шаг 5. Завершение настройки доверия проверяющей стороны AD FS
Шаг 6. Получение изменений приложения в приложениях Defender для облака
Шаг 7. Завершение изменений приложения
Шаг 8. Завершение настройки в приложениях Defender для облака
Шаг 1. Получение параметров единого входа приложения SAML
В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры.
В разделе "Единый вход" Параметры щелкните имя существующей конфигурации AD FS.
На странице параметров единого входа SAML запишите URL-адрес входа Salesforce. Это потребуется позже при настройке приложений Defender для облака.
Примечание.
Если приложение предоставляет сертификат SAML, скачайте файл сертификата.
Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".
Нажмите кнопку +Добавить и в всплывающем окне выберите приложение, которое нужно развернуть, а затем нажмите кнопку "Пуск".
На странице APP INFORMATION выберите "Заполнить данные вручную" в URL-адресе службы потребителей утверждений введите URL-адрес входа Salesforce, который вы указали ранее, а затем нажмите кнопку "Далее".
Примечание.
Если приложение предоставляет сертификат SAML, выберите "Использовать <app_name> сертификат SAML" и отправьте файл сертификата.
Шаг 3. Создание новой конфигурации доверия проверяющей стороны AD FS и единого входа приложения
Примечание.
Чтобы ограничить время простоя конечных пользователей и сохранить существующую хорошую конфигурацию, рекомендуется создать новую конфигурацию доверия проверяющей стороны и единый вход. Если это невозможно, пропустите соответствующие шаги. Например, если настроенное приложение не поддерживает создание нескольких конфигураций единого входа, пропустите шаг создания нового единого входа.
В консоли управления AD FS в разделе "Доверие проверяющей стороны" просмотрите свойства существующего доверия проверяющей стороны для приложения и запишите параметры.
В разделе "Действия" нажмите кнопку "Добавить доверие проверяющей стороны". Помимо значения идентификатора, которое должно быть уникальным именем, настройте новое доверие с помощью параметров, которые вы указали ранее. Это доверие потребуется позже при настройке Defender для облака приложений.
Откройте файл метаданных федерации и запишите расположение AD FS SingleSignOnService. Оно потребуется позже.
Примечание.
Для доступа к файлу метаданных федерации можно использовать следующую конечную точку:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Скачайте сертификат подписи поставщика удостоверений. Оно потребуется позже.
В разделе "Сертификаты служб>" щелкните правой кнопкой мыши сертификат подписи AD FS и выберите "Просмотреть сертификат".
На вкладке сведений о сертификате нажмите кнопку "Копировать в файл " и выполните действия, описанные в мастере экспорта сертификатов, чтобы экспортировать сертификат в кодировке Base-64 X.509 (). CER-файл .
Вернитесь в Salesforce на существующей странице параметров единого входа AD FS, запишите все параметры.
Создайте новую конфигурацию единого входа SAML. Помимо значения идентификатора сущности, которое должно соответствовать идентификатору доверия проверяющей стороны, настройте единый вход с помощью параметров, которые вы указали ранее. Это потребуется позже при настройке приложений Defender для облака.
Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении AD FS
На странице поставщика удостоверений приложений Defender для облака нажмите кнопку "Далее".
На следующей странице нажмите кнопку "Заполнить данные" вручную, выполните указанные ниже действия и нажмите кнопку "Далее".
- В поле URL-адрес службы единого входа введите URL-адрес входа Salesforce, который вы указали ранее.
- Выберите " Отправить сертификат SAML поставщика удостоверений" и отправьте скачанный ранее файл сертификата.
На следующей странице запишите следующие сведения и нажмите кнопку "Далее". Позже вам потребуется информация.
- URL-адрес единого входа Defender для облака Apps
- атрибуты и значения приложений Defender для облака
Примечание.
Если вы видите возможность отправить сертификат SAML Defender для облака Apps для поставщика удостоверений, щелкните ссылку, чтобы скачать файл сертификата. Оно потребуется позже.
Шаг 5. Завершение настройки доверия проверяющей стороны AD FS
Вернитесь в консоль управления AD FS, щелкните правой кнопкой мыши доверие проверяющей стороны, созданное ранее, а затем выберите "Изменить политику выдачи утверждений".
В диалоговом окне "Изменение политики выдачи утверждений" в разделе "Правила преобразования выдачи" используйте предоставленные сведения в следующей таблице, чтобы выполнить действия по созданию пользовательских правил.
Имя правила утверждения Настраиваемое правило McasSigningCert => issue(type="McasSigningCert", value="<value>");где<value>значение McasSigningCert из мастера приложений Defender для облака, которое вы указали ранееMcasAppId => issue(type="McasAppId", value="<value>");— значение McasAppId из мастера Defender для облака Apps, которое вы указали ранее.- Нажмите кнопку "Добавить правило", в разделе "Шаблон правила утверждения" выберите "Отправить утверждения с помощью настраиваемого правила" и нажмите кнопку "Далее".
- На странице "Настройка правила" введите соответствующее имя правила утверждения и пользовательское правило.
Примечание.
Эти правила в дополнение к любым правилам утверждений или атрибутам, необходимым для настраиваемого приложения.
Вернитесь на страницу доверия проверяющей стороны, щелкните правой кнопкой мыши доверие проверяющей стороны, созданное ранее, и выберите "Свойства".
На вкладке "Конечные точки" выберите конечную точку потребителя утверждения SAML, нажмите кнопку "Изменить и заменить доверенный URL-адрес" url-адресом единого входа приложения Defender для облака, который вы указали ранее, и нажмите кнопку "ОК".
Если вы скачали сертификат SAML Defender для облака Apps для поставщика удостоверений, на вкладке "Подпись" нажмите кнопку "Добавить и отправить файл сертификата" и нажмите кнопку "ОК".
Сохраните свои настройки.
Шаг 6. Получение изменений приложения в приложениях Defender для облака
Вернитесь на страницу изменений приложения Defender для облака приложения, сделайте следующее, но не нажимайте кнопку "Готово". Позже вам потребуется информация.
- Скопируйте URL-адрес единого входа Defender для облака Apps SAML
- Скачивание сертификата SAML для приложений Defender для облака
Шаг 7. Завершение изменений приложения
В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры и выполните следующие действия.
Рекомендуется создать резервную копию текущих параметров.
Замените значение поля URL-адреса входа поставщика удостоверений на URL-адрес единого входа Defender для облака Apps SAML, который вы указали ранее.
Отправьте сертификат SAML Defender для облака Apps, скачанный ранее.
Нажмите кнопку Сохранить.
Примечание.
Сертификат SAML Defender для облака Apps действителен в течение одного года. После истечения срока действия нового сертификата потребуется создать.
Шаг 8. Завершение настройки в приложениях Defender для облака
- Вернитесь на страницу изменений приложения Defender для облака приложения, нажмите кнопку "Готово". После завершения работы мастера все связанные запросы на вход в это приложение будут перенаправлены с помощью управления условным доступом к приложениям.
Следующие шаги
См. также
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.