Поделиться через

Развертывание управления условным доступом для любого веб-приложения с помощью Okta в качестве поставщика удостоверений (IdP)

  • Статья

Вы можете настроить элементы управления сеансами в приложениях Microsoft Defender для облака для работы с любым веб-приложением и любым поставщиком удостоверений, отличных от Майкрософт. В этой статье описывается маршрутизация сеансов приложений из Okta в Defender для облака Apps для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настроенного для использования элементов управления сеансами Defender для облака Apps.

Необходимые компоненты

  • У вашей организации должны быть следующие лицензии для использования управления приложениями условного доступа:

    • Предварительно настроенный клиент Okta.
    • Microsoft Defender для облачных приложений

  • Существующая конфигурация единого входа Okta для приложения с помощью протокола проверки подлинности SAML 2.0

Настройка элементов управления сеансом для приложения с помощью Okta в качестве поставщика удостоверений

Выполните следующие действия, чтобы маршрутизировать сеансы веб-приложения из Okta в Defender для облака Apps. Инструкции по настройке Microsoft Entra см. в разделе "Подключение" и развертывание управления приложениями условного доступа для пользовательских приложений с помощью идентификатора Microsoft Entra.

Примечание.

Вы можете настроить сведения о едином входе приложения SAML, предоставляемые Okta, с помощью одного из следующих методов:

  • Вариант 1. Отправка файла метаданных SAML приложения.
  • Вариант 2. Предоставление данных SAML приложения вручную.

В следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа приложения SAML

Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения

Шаг 3. Создание новой конфигурации пользовательского приложения Okta и единого входа приложения

Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении Okta

Шаг 5. Завершение настройки пользовательского приложения Okta

Шаг 6. Получение изменений приложения в приложениях Defender для облака

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в приложениях Defender для облака

Шаг 1. Получение параметров единого входа приложения SAML

  1. В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры.

  2. В разделе "Единый вход" Параметры щелкните имя существующей конфигурации Okta.

    Select Salesforce SSO settings.

  3. На странице параметров единого входа SAML запишите URL-адрес входа Salesforce. Это потребуется позже при настройке приложений Defender для облака.

    Примечание.

    Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

    Select Salesforce SSO login URL.

Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

  3. Нажмите кнопку +Добавить и в всплывающем окне выберите приложение, которое нужно развернуть, а затем нажмите кнопку "Пуск".

  4. На странице APP INFORMATION выберите "Заполнить данные вручную" в URL-адресе службы потребителей утверждений введите URL-адрес входа Salesforce, который вы указали ранее, а затем нажмите кнопку "Далее".

    Примечание.

    Если приложение предоставляет сертификат SAML, выберите "Использовать <app_name> сертификат SAML" и отправьте файл сертификата.

    Manually fill in Salesforce SAML information.

Шаг 3. Создание новой конфигурации пользовательского приложения Okta и единого входа приложения

Примечание.

Чтобы ограничить время простоя конечных пользователей и сохранить существующую хорошую конфигурацию, рекомендуется создать новое пользовательское приложение и конфигурацию единого входа. Если это невозможно, пропустите соответствующие шаги. Например, если настроенное приложение не поддерживает создание нескольких конфигураций единого входа, пропустите шаг создания нового единого входа.

  1. В консоли okta Администратор в разделе "Приложения" просмотрите свойства существующей конфигурации приложения и запишите параметры.

  2. Нажмите кнопку "Добавить приложение" и нажмите кнопку "Создать приложение". Помимо значения URI аудитории (идентификатор сущности SP), которое должно быть уникальным именем, настройте новое приложение с помощью параметров, которые вы указали ранее. Это приложение потребуется позже при настройке приложений Defender для облака.

  3. Перейдите к приложениям, просмотрите существующую конфигурацию Okta и на вкладке "Вход " выберите "Просмотреть инструкции по настройке".

    Note existing Salesforce app's SSO service location.

  4. Запишите URL-адрес единого входа поставщика удостоверений и скачайте сертификат подписи поставщика удостоверений (X.509). Оно потребуется позже.

  5. Вернитесь в Salesforce на существующей странице параметров единого входа Okta, запишите все параметры.

  6. Создайте новую конфигурацию единого входа SAML. Помимо значения идентификатора сущности, которое должно соответствовать URI аудитории пользовательского приложения (ИДЕНТИФИКАТОР сущности SP), настройте единый вход с помощью параметров, которые вы указали ранее. Это потребуется позже при настройке приложений Defender для облака.

  7. После сохранения нового приложения перейдите на страницу "Назначения" и назначьте Люди или группы, которым требуется доступ к приложению.

ׂ

Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении Okta

  1. На странице поставщика удостоверений приложений Defender для облака нажмите кнопку "Далее".

  2. На следующей странице нажмите кнопку "Заполнить данные" вручную, выполните указанные ниже действия и нажмите кнопку "Далее".

    • В поле URL-адрес службы единого входа введите URL-адрес входа Salesforce, который вы указали ранее.
    • Выберите " Отправить сертификат SAML поставщика удостоверений" и отправьте скачанный ранее файл сертификата.

    Add SSO service URL and SAML certificate.

  3. На следующей странице запишите следующие сведения и нажмите кнопку "Далее". Позже вам потребуется информация.

    • URL-адрес единого входа Defender для облака Apps
    • атрибуты и значения приложений Defender для облака

    Примечание.

    Если вы видите возможность отправить сертификат SAML Defender для облака Apps для поставщика удостоверений, щелкните его, чтобы скачать файл сертификата. Оно потребуется позже.

    In Defender for Cloud Apps, note SSO URL and attributes.

Шаг 5. Завершение настройки пользовательского приложения Okta

  1. Вернитесь в консоль okta Администратор в разделе "Приложения", выберите созданное ранее пользовательское приложение, а затем в разделе "Общие>Параметры SAML" нажмите кнопку "Изменить".

    Locate and edit SAML settings.

  2. В поле URL-адреса Единый вход замените URL-адрес url-адресом единого входа Defender для облака Apps, который вы указали ранее, а затем сохраните параметры.

  3. В разделе "Каталог" выберите редактор профилей, выберите созданное ранее пользовательское приложение и нажмите кнопку "Профиль". Добавьте атрибуты, используя следующие сведения.

    Отображаемое имя Имя переменной Тип данных Тип атрибута
    McasSigningCert McasSigningCert строка Пользовательское
    McasAppId McasAppId строка Пользовательское

    Add profile attributes.

  4. Вернитесь на страницу редактора профилей, выберите созданное ранее пользовательское приложение, нажмите кнопку "Сопоставления", а затем нажмите кнопку "Пользователь Okta" в {custom_app_name}. Сопоставляйте атрибуты McasSigningCert и McasAppId с значениями атрибутов Defender для облака Apps, которые вы указали ранее.

    Примечание.

    • Убедитесь, что значения заключены в двойные кавычки (")
    • Okta ограничивает атрибуты 1024 символами. Чтобы устранить это ограничение, добавьте атрибуты с помощью редактора профилей, как описано.

    Map profile attributes.

  5. Сохраните свои настройки.

Шаг 6. Получение изменений приложения в приложениях Defender для облака

Вернитесь на страницу изменений приложения Defender для облака приложения, сделайте следующее, но не нажимайте кнопку "Готово". Позже вам потребуется информация.

  • Скопируйте URL-адрес единого входа Defender для облака Apps SAML
  • Скачивание сертификата SAML для приложений Defender для облака

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Шаг 7. Завершение изменений приложения

В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры и выполните следующие действия.

  1. [Рекомендуется] Создайте резервную копию текущих параметров.

  2. Замените значение поля URL-адреса входа поставщика удостоверений на URL-адрес единого входа Defender для облака Apps SAML, который вы указали ранее.

  3. Отправьте сертификат SAML Defender для облака Apps, скачанный ранее.

  4. Нажмите кнопку Сохранить.

    Примечание.

    • После сохранения параметров все связанные запросы на вход в это приложение будут перенаправлены через элемент управления условным доступом.
    • Сертификат SAML Defender для облака Apps действителен в течение одного года. После истечения срока действия нового сертификата потребуется создать.

    Update SSO settings.

Шаг 8. Завершение настройки в приложениях Defender для облака

  • Вернитесь на страницу изменений приложения Defender для облака приложения, нажмите кнопку "Готово". После завершения работы мастера все связанные запросы на вход в это приложение будут перенаправлены с помощью управления условным доступом к приложениям.

Следующие шаги

"НАЗАД: развертывание элемента управления условным доступом для любых приложений

См. также

Общие сведения об управлении приложениями условного доступа

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.