Distribuera appkontroll för villkorsstyrd åtkomst för alla webbappar med PingOne som identitetsprovider (IdP)

  • Artikel

Du kan konfigurera sessionskontroller i Microsoft Defender för molnet Apps så att de fungerar med alla webbappar och andra IdP:er än Microsoft. Den här artikeln beskriver hur du dirigerar appsessioner från PingOne till Defender för molnet Appar för sessionskontroller i realtid.

I den här artikeln använder vi Salesforce-appen som ett exempel på en webbapp som konfigureras för att använda sessionskontroller för Defender för molnet Appar. Utför samma steg enligt deras krav för att konfigurera andra appar.

Förutsättningar

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

    • En relevant PingOne-licens (krävs för enkel inloggning)
    • Microsoft Defender för Cloud Apps

  • En befintlig konfiguration för enkel inloggning med PingOne för appen med hjälp av SAML 2.0-autentiseringsprotokollet

Så här konfigurerar du sessionskontroller för din app med PingOne som IdP

Använd följande steg för att dirigera dina webbappsessioner från PingOne till Defender för molnet Apps. Konfigurationssteg för Microsoft Entra finns i Registrera och distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med hjälp av Microsoft Entra-ID.

Kommentar

Du kan konfigurera appens SAML-information för enkel inloggning som tillhandahålls av PingOne med någon av följande metoder:

  • Alternativ 1: Ladda upp appens SAML-metadatafil.
  • Alternativ 2: Tillhandahålla appens SAML-data manuellt.

I följande steg använder vi alternativ 2.

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

Steg 2: Konfigurera Defender för molnet-appar med din apps SAML-information

Steg 3: Skapa en anpassad app i PingOne

Steg 4: Konfigurera Defender för molnet-appar med PingOne-appens information

Steg 5: Slutför den anpassade appen i PingOne

Steg 6: Hämta appändringarna i Defender för molnet Apps

Steg 7: Slutför appändringarna

Steg 8: Slutför konfigurationen i Defender för molnet Apps

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

  1. I Salesforce bläddrar du till Setup> Inställningar> Identity>Single Sign-On Inställningar.

  2. Under Enkel inloggning Inställningar väljer du namnet på din befintliga SAML 2.0-konfiguration.

    Select Salesforce SSO settings.

  3. På sidan SAML-inställning för enkel inloggning antecknar du Url:en för Salesforce-inloggning. Du behöver det senare.

    Kommentar

    Om din app tillhandahåller ett SAML-certifikat laddar du ned certifikatfilen.

    Select Salesforce SSO login URL.

Steg 2: Konfigurera Defender för molnet-appar med din apps SAML-information

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  3. Välj +Lägg till och välj den app som du vill distribuera i popup-fönstret och välj sedan Starta guiden.

  4. På sidan APPINFORMATION väljer du Fyll i data manuellt, i URL:en för konsumenttjänsten för försäkran anger du url:en för Salesforce-inloggning som du antecknade tidigare och väljer sedan Nästa.

    Kommentar

    Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

    Manually fill in Salesforce SAML information.

Steg 3: Skapa en anpassad app i PingOne

Innan du fortsätter använder du följande steg för att hämta information från din befintliga Salesforce-app.

  1. I PingOne redigerar du din befintliga Salesforce-app.

  2. På sidan Mappning av SSO-attribut antecknar du attributet och värdet SAML_SUBJECT och laddar sedan ned filerna Signeringscertifikat och SAML-metadata.

    Note existing Salesforce app's attributes.

  3. Öppna SAML-metadatafilen och anteckna platsen PingOne SingleSignOnService. Du behöver det senare.

    Note existing Salesforce app's SSO service location.

  4. På sidan Gruppåtkomst antecknar du de tilldelade grupperna.

    Note existing Salesforce app's assigned groups.

Använd sedan anvisningarna från sidan Lägg till ett SAML-program med din identitetsprovider för att konfigurera en anpassad app i IdP-portalen.

Add SAML app with your identity provider.

Kommentar

Genom att konfigurera en anpassad app kan du testa den befintliga appen med åtkomst- och sessionskontroller utan att ändra organisationens aktuella beteende.

  1. Skapa ett nytt SAML-program.

    In PingOne, create new custom Salesforce app.

  2. På sidan Programinformation fyller du i formuläret och väljer sedan Fortsätt till Nästa steg.

    Dricks

    Använd ett appnamn som hjälper dig att skilja mellan den anpassade appen och den befintliga Salesforce-appen.

    Fill out the custom app details.

  3. På sidan Programkonfiguration gör du följande och väljer sedan Fortsätt till Nästa steg.

    • I fältet Assertion Consumer Service (ACS) anger du url:en för Salesforce-inloggning som du antecknade tidigare.
    • I fältet Entitets-ID anger du ett unikt ID som börjar med https://. Kontrollera att detta skiljer sig från den avslutande Salesforce PingOne-appens konfiguration.
    • Anteckna entitets-ID:t. Du behöver det senare.

    Configure custom app with Salesforce SAML details.

  4. På sidan Mappning av SSO-attribut lägger du till den befintliga Salesforce-appens SAML_SUBJECT attribut och värde som du antecknade tidigare och väljer sedan Fortsätt till Nästa steg.

    Add attributes to custom Salesforce app.

  5. På sidan Gruppåtkomst lägger du till de befintliga Salesforce-appgrupperna som du antecknade tidigare och slutför konfigurationen.

    Assign groups to custom Salesforce app.

Steg 4: Konfigurera Defender för molnet-appar med PingOne-appens information

  1. På sidan Defender för molnet Apps IDENTITY PROVIDER väljer du Nästa för att fortsätta.

  2. På nästa sida väljer du Fyll i data manuellt, gör följande och väljer sedan Nästa.

    • För url:en för konsumenttjänsten för försäkran anger du url:en för Salesforce-inloggning som du antecknade tidigare.
    • Välj Ladda upp identitetsproviderns SAML-certifikat och ladda upp certifikatfilen som du laddade ned tidigare.

    Add SSO service URL and SAML certificate.

  3. På nästa sida antecknar du följande information och väljer sedan Nästa. Du behöver informationen senare.

    • URL för enkel inloggning med Defender för molnet Apps
    • Defender för molnet Apps-attribut och -värden

    In Defender for Cloud Apps, note SSO URL and attributes.

Steg 5: Slutför den anpassade appen i PingOne

  1. Leta upp och redigera den anpassade Salesforce-appen i PingOne.

    Locate and edit custom Salesforce app.

  2. I fältet Assertion Consumer Service (ACS) ersätter du URL:en med den url för enkel inloggning med Defender för molnet Apps som du antecknade tidigare och väljer sedan Nästa.

    Replace ACS in custom Salesforce app.

  3. Lägg till attributen och värdena för Defender för molnet Apps som du antecknade tidigare i appens egenskaper.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Spara inställningarna.

Steg 6: Hämta appändringarna i Defender för molnet Apps

Gå tillbaka till sidan Defender för molnet Apps APP CHANGES (Appändringar för appar) och gör följande, men välj inte Slutför. Du behöver informationen senare.

  • Kopiera saml-url:en för enkel inloggning med Defender för molnet Apps
  • Ladda ned SAML-certifikatet Defender för molnet Apps

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Steg 7: Slutför appändringarna

I Salesforce bläddrar du till Setup> Inställningar> Identity>Single Sign-On Inställningar och gör följande:

  1. Rekommenderas: Skapa en säkerhetskopia av dina aktuella inställningar.

  2. Ersätt fältet inloggnings-URL för identitetsprovider med den SAML-url för enkel inloggning med Defender för molnet Apps som du antecknade tidigare.

  3. Ladda upp SAML-certifikatet Defender för molnet Apps som du laddade ned tidigare.

  4. Ersätt fältvärdet Entitets-ID med det anpassade PingOne-appens entitets-ID som du antecknade tidigare.

  5. Välj Spara.

    Kommentar

    SAML-certifikatet Defender för molnet Apps är giltigt i ett år. När det har upphört att gälla måste ett nytt certifikat genereras.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Steg 8: Slutför konfigurationen i Defender för molnet Apps

  • På sidan appändringar för Defender för molnet appar väljer du Slutför. När du har slutfört guiden dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

Nästa steg

« FÖREGÅENDE: Distribuera appkontroll för villkorsstyrd åtkomst för alla appar

Se även

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.