Поделиться через

Развертывание управления условным доступом для любого веб-приложения с помощью PingOne в качестве поставщика удостоверений (IdP)

  • Статья

Вы можете настроить элементы управления сеансами в приложениях Microsoft Defender для облака для работы с любым веб-приложением и любым поставщиком удостоверений, отличных от Майкрософт. В этой статье описывается маршрутизация сеансов приложений из PingOne в Defender для облака Приложения для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настроенного для использования элементов управления сеансами Defender для облака Apps. Чтобы настроить другие приложения, выполните те же действия в соответствии с их требованиями.

Необходимые компоненты

  • У вашей организации должны быть следующие лицензии для использования управления приложениями условного доступа:

    • Соответствующая лицензия PingOne (необходимая для единого входа)
    • Microsoft Defender для облачных приложений

  • Существующая конфигурация единого входа PingOne для приложения с помощью протокола проверки подлинности SAML 2.0

Настройка элементов управления сеансами для приложения с помощью PingOne в качестве поставщика удостоверений

Выполните следующие действия, чтобы маршрутизировать сеансы веб-приложения из PingOne в Defender для облака Apps. Инструкции по настройке Microsoft Entra см. в разделе "Подключение" и развертывание управления приложениями условного доступа для пользовательских приложений с помощью идентификатора Microsoft Entra.

Примечание.

Вы можете настроить сведения о едином входе приложения SAML, предоставляемые PingOne, с помощью одного из следующих методов:

  • Вариант 1. Отправка файла метаданных SAML приложения.
  • Вариант 2. Предоставление данных SAML приложения вручную.

В следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа приложения SAML

Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения

Шаг 3. Создание пользовательского приложения в PingOne

Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении PingOne

Шаг 5. Завершение пользовательского приложения в PingOne

Шаг 6. Получение изменений приложения в приложениях Defender для облака

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в приложениях Defender для облака

Шаг 1. Получение параметров единого входа приложения SAML

  1. В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры.

  2. В разделе "Единый вход" Параметры выберите имя существующей конфигурации SAML 2.0.

    Select Salesforce SSO settings.

  3. На странице параметров единого входа SAML запишите URL-адрес входа Salesforce. Оно потребуется позже.

    Примечание.

    Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

    Select Salesforce SSO login URL.

Шаг 2. Настройка приложений Defender для облака с помощью сведений SAML приложения

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

  3. Нажмите кнопку +Добавить и в всплывающем окне выберите приложение, которое нужно развернуть, а затем нажмите кнопку "Пуск".

  4. На странице APP INFORMATION выберите "Заполнить данные вручную" в URL-адресе службы потребителей утверждений введите URL-адрес входа Salesforce, который вы указали ранее, а затем нажмите кнопку "Далее".

    Примечание.

    Если приложение предоставляет сертификат SAML, выберите "Использовать <app_name> сертификат SAML" и отправьте файл сертификата.

    Manually fill in Salesforce SAML information.

Шаг 3. Создание пользовательского приложения в PingOne

Прежде чем продолжить, выполните следующие действия, чтобы получить сведения из существующего приложения Salesforce.

  1. В PingOne измените существующее приложение Salesforce.

  2. На странице сопоставления атрибутов единого входа запишите атрибут и значение SAML_SUBJECT, а затем скачайте файлы метаданных сертификата подписи и SAML.

    Note existing Salesforce app's attributes.

  3. Откройте файл метаданных SAML и запишите расположение PingOne SingleSignOnService. Оно потребуется позже.

    Note existing Salesforce app's SSO service location.

  4. На странице "Доступ к группе" запишите назначенные группы.

    Note existing Salesforce app's assigned groups.

Затем используйте инструкции из приложения SAML со страницей поставщика удостоверений, чтобы настроить пользовательское приложение на портале поставщика удостоверений.

Add SAML app with your identity provider.

Примечание.

Настройка настраиваемого приложения позволяет тестировать существующее приложение с помощью элементов управления доступом и сеансом, не изменяя текущее поведение вашей организации.

  1. Создайте новое приложение SAML.

    In PingOne, create new custom Salesforce app.

  2. На странице сведений о приложении заполните форму и нажмите кнопку "Перейти к следующему шагу".

    Совет

    Используйте имя приложения, которое поможет вам различать пользовательское приложение и существующее приложение Salesforce.

    Fill out the custom app details.

  3. На странице "Конфигурация приложения" выполните указанные ниже действия и нажмите кнопку "Перейти к следующему шагу".

    • В поле "Служба потребителей утверждений" (ACS) введите URL-адрес входа Salesforce, который вы указали ранее.
    • В поле "Идентификатор сущности" введите уникальный идентификатор, начинающийся сhttps://. Убедитесь, что это отличается от конфигурации приложения Salesforce PingOne.
    • Запишите идентификатор сущности. Оно потребуется позже.

    Configure custom app with Salesforce SAML details.

  4. На странице сопоставления атрибутов единого входа добавьте существующий атрибут SAML_SUBJECT приложения Salesforce и значение, которое вы указали ранее, а затем нажмите кнопку "Перейти к следующему шагу".

    Add attributes to custom Salesforce app.

  5. На странице "Доступ к группе" добавьте существующие группы приложений Salesforce, которые вы указали ранее, и завершите настройку.

    Assign groups to custom Salesforce app.

Шаг 4. Настройка приложений Defender для облака с помощью сведений о приложении PingOne

  1. Вернитесь на страницу поставщика удостоверений приложений Defender для облака нажмите кнопку "Далее".

  2. На следующей странице нажмите кнопку "Заполнить данные" вручную, выполните указанные ниже действия и нажмите кнопку "Далее".

    • В поле URL-адрес службы потребителей утверждений введите URL-адрес входа Salesforce, который вы указали ранее.
    • Выберите " Отправить сертификат SAML поставщика удостоверений" и отправьте скачанный ранее файл сертификата.

    Add SSO service URL and SAML certificate.

  3. На следующей странице запишите следующие сведения и нажмите кнопку "Далее". Позже вам потребуется информация.

    • URL-адрес единого входа Defender для облака Apps
    • атрибуты и значения приложений Defender для облака

    In Defender for Cloud Apps, note SSO URL and attributes.

Шаг 5. Завершение пользовательского приложения в PingOne

  1. В PingOne найдите и измените пользовательское приложение Salesforce.

    Locate and edit custom Salesforce app.

  2. В поле "Служба потребителей утверждений" замените URL-адрес URL-адресом единого входа Defender для облака Apps, который вы указали ранее, а затем нажмите кнопку "Далее".

    Replace ACS in custom Salesforce app.

  3. Добавьте атрибуты и значения Defender для облака Apps, которые вы указали ранее в свойства приложения.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Сохраните свои настройки.

Шаг 6. Получение изменений приложения в приложениях Defender для облака

Вернитесь на страницу изменений приложения Defender для облака приложения, сделайте следующее, но не нажимайте кнопку "Готово". Позже вам потребуется информация.

  • Скопируйте URL-адрес единого входа Defender для облака Apps SAML
  • Скачивание сертификата SAML для приложений Defender для облака

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Шаг 7. Завершение изменений приложения

В Salesforce перейдите к параметру Setup> Параметры> Identity>Single Sign-On Параметры и выполните следующие действия.

  1. Рекомендуется создать резервную копию текущих параметров.

  2. Замените значение поля URL-адреса входа поставщика удостоверений на URL-адрес единого входа Defender для облака Apps SAML, который вы указали ранее.

  3. Отправьте сертификат SAML Defender для облака Apps, скачанный ранее.

  4. Замените значение поля "Идентификатор сущности" на идентификатор пользовательской сущности приложения PingOne, который вы указали ранее.

  5. Выберите Сохранить.

    Примечание.

    Сертификат SAML Defender для облака Apps действителен в течение одного года. После истечения срока действия нового сертификата потребуется создать.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Шаг 8. Завершение настройки в приложениях Defender для облака

  • Вернитесь на страницу изменений приложения Defender для облака приложений, нажмите кнопку "Готово". После завершения работы мастера все связанные запросы на вход в это приложение будут перенаправлены с помощью управления условным доступом к приложениям.

Следующие шаги

"НАЗАД: развертывание элемента управления условным доступом для любых приложений

См. также

Общие сведения об управлении приложениями условного доступа

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.