Distribuera appkontroll för villkorsstyrd åtkomst för alla webbappar med hjälp av Active Directory usluge za ujedinjavanje (AD FS) som identitetsprovider (IdP)

Du kan konfigurera sessionskontroller i Microsoft Defender för Molnappar så att de fungerar med alla webbappar och andra IdP-program än Microsoft. Den här artikeln beskriver hur du dirigerar appsessioner från AD FS till Defender för Cloud Apps för sessionskontroller i realtid.

I den här artikeln använder vi Salesforce-appen som ett exempel på en webbapp som konfigureras för att använda Defender för Cloud Apps-sessionskontroller.

Förutsättningar

• Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

  • En förkonfigurerad AD FS-miljö
  • Microsoft Defender för Cloud Apps

• En befintlig AD FS-konfiguration för enkel inloggning för appen med hjälp av SAML 2.0-autentiseringsprotokollet

Kommentar

Stegen här gäller för alla versioner av AD FS som körs på den version av Windows Server som stöds.

Så här konfigurerar du sessionskontroller för din app med AD FS som IdP

Använd följande steg för att dirigera dina webbappsessioner från AD FS till Defender för Cloud Apps.

Kommentar

Du kan konfigurera appens SAML-information för enkel inloggning som tillhandahålls av AD FS med någon av följande metoder:

• Alternativ 1: Ladda upp appens SAML-metadatafil.
• Alternativ 2: Tillhandahålla appens SAML-data manuellt.

I följande steg använder vi alternativ 2.

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

Steg 2: Konfigurera Defender för Cloud Apps med din apps SAML-information

Steg 3: Skapa en ny AD FS Relying Party Trust och appkonfiguration för enkel inloggning.

Steg 4: Konfigurera Defender för Cloud Apps med AD FS-appens information

Steg 5: Slutför konfigurationen av AD FS-förlitande partförtroende

Steg 6: Hämta appändringarna i Defender för Cloud Apps

Steg 7: Slutför appändringarna

Steg 8: Slutför konfigurationen i Defender för Cloud Apps

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

1. I Salesforce bläddrar du till Inställningar för inställningar>>för identitetsinställningar> för enkel inloggning.

2. Under Inställningar för enkel inloggning klickar du på namnet på din befintliga AD FS-konfiguration.

   

3. På sidan SAML-inställning för enkel inloggning antecknar du Url:en för Salesforce-inloggning. Du behöver detta senare när du konfigurerar Defender för Cloud Apps.

   Kommentar

   Om din app tillhandahåller ett SAML-certifikat laddar du ned certifikatfilen.

   

Steg 2: Konfigurera Defender för Cloud Apps med din apps SAML-information

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslutna appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

3. Välj +Lägg till och välj den app som du vill distribuera i popup-fönstret och välj sedan Starta guiden.

4. På sidan APPINFORMATION väljer du Fyll i data manuellt, i url:en för konsumenttjänsten för försäkran anger du url:en för Salesforce-inloggning som du antecknade tidigare och klickar sedan på Nästa.

   Kommentar

   Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

   

Steg 3: Skapa en ny AD FS-förlitande partsförtroende och appkonfiguration för enkel inloggning

Kommentar

För att begränsa slutanvändarnas stilleståndstid och bevara din befintliga fungerande konfiguration rekommenderar vi att du skapar en ny förtroendekonfiguration för förlitande part och konfiguration av enkel inloggning. Om detta inte är möjligt hoppar du över de relevanta stegen. Om den app som du konfigurerar till exempel inte stöder att skapa flera konfigurationer för enkel inloggning hoppar du över steget skapa ny enkel inloggning.

1. I AD FS-hanteringskonsolen går du till Förlitande partsförtroenden och visar egenskaperna för ditt befintliga förtroende för den förlitande parten för din app och noterar inställningarna.

2. Under Åtgärder klickar du på Lägg till förtroende för förlitande part. Förutom det identifierarvärde som måste vara ett unikt namn konfigurerar du det nya förtroendet med de inställningar som du antecknade tidigare. Du behöver det här förtroendet senare när du konfigurerar Defender för Cloud Apps.

3. Öppna federationsmetadatafilen och anteckna PLATSEN AD FS SingleSignOnService. Du behöver det senare.

   Kommentar

   Du kan använda följande slutpunkt för att komma åt din federationsmetadatafil: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. Ladda ned identitetsproviderns signeringscertifikat. Du behöver det senare.

   1. Under Tjänstecertifikat>högerklickar du på AD FS-signeringscertifikatet och väljer sedan Visa certifikat.

      

   2. På informationsfliken för certifikatet klickar du på Kopiera till fil och följer stegen i guiden Exportera certifikat för att exportera certifikatet som en Base-64-kodad X.509 (. CER-fil .

      

5. Tillbaka i Salesforce, på den befintliga sidan med inställningar för enkel inloggning med AD FS, anteckna alla inställningar.

6. Skapa en ny SAML-konfiguration för enkel inloggning. Förutom värdet för entitets-ID som måste matcha förtroendeidentifieraren för förlitande part konfigurerar du enkel inloggning med de inställningar som du antecknade tidigare. Du behöver detta senare när du konfigurerar Defender för Cloud Apps.

Steg 4: Konfigurera Defender för Cloud Apps med AD FS-appens information

1. Gå tillbaka till sidan Defender för Cloud Apps IDENTITY PROVIDER och klicka på Nästa för att fortsätta.

2. På nästa sida väljer du Fyll i data manuellt, gör följande och klickar sedan på Nästa.

   • För URL:en för tjänsten enkel inloggning anger du url:en för Salesforce-inloggning som du antecknade tidigare.
   • Välj Ladda upp identitetsproviderns SAML-certifikat och ladda upp certifikatfilen som du laddade ned tidigare.

   

3. På nästa sida antecknar du följande information och klickar sedan på Nästa. Du behöver informationen senare.

   • Url för enkel inloggning med Defender för Cloud Apps
   • Attribut och värden för Defender för Cloud Apps

   Kommentar

   Om du ser ett alternativ för att ladda upp SAML-certifikatet för Defender for Cloud Apps för identitetsprovidern klickar du på länken för att ladda ned certifikatfilen. Du behöver det senare.

   

Steg 5: Slutför konfigurationen av AD FS-förlitande partförtroende

1. Tillbaka i AD FS-hanteringskonsolen högerklickar du på det förlitande partförtroende som du skapade tidigare och väljer sedan Redigera anspråksutfärdandeprincip.

   

2. I dialogrutan Redigera anspråksutfärdningsprincip, under Regler för utfärdandetransformering, använder du den angivna informationen i följande tabell för att slutföra stegen för att skapa anpassade regler.

   Anspråksregelnamn	Anpassad regel
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>"); där <value> är McasSigningCert-värdet från guiden Defender för Molnappar som du antecknade tidigare
   McasAppId	=> issue(type="McasAppId", value="<value>");är McasAppId-värdet från guiden Defender för Molnappar som du antecknade tidigare

   1. Klicka på Lägg till regel. Under Anspråksregelmall väljer du Skicka anspråk med hjälp av en anpassad regel och klickar sedan på Nästa.
   2. På sidan Konfigurera regel anger du respektive anspråksregelnamn och anpassad regel .

   Kommentar

   Dessa regler är utöver eventuella anspråksregler eller attribut som krävs av den app som du konfigurerar.

3. På sidan Förtroende för förlitande part högerklickar du på det förlitande partförtroendet som du skapade tidigare och väljer sedan Egenskaper.

4. På fliken Slutpunkter väljer du SAML Assertion Consumer Endpoint, klickar på Redigera och ersätter den betrodda URL:en med url:en för enkel inloggning med Defender för Cloud Apps som du antecknade tidigare och klickar sedan på OK.

   

5. Om du har laddat ned ett Defender for Cloud Apps SAML-certifikat för identitetsprovidern klickar du på Lägg till och ladda upp certifikatfilen på fliken Signatur och klickar sedan på OK.

   

6. Spara inställningarna.

Steg 6: Hämta appändringarna i Defender för Cloud Apps

Gå tillbaka till sidan Appändringar för Defender för molnappar, gör följande, men klicka inte på Slutför. Du behöver informationen senare.

• Kopiera URL:en för enkel inloggning med Defender for Cloud Apps SAML
• Ladda ned SAML-certifikatet för Defender for Cloud Apps

Steg 7: Slutför appändringarna

I Salesforce bläddrar du till Inställningar för konfiguration>>av identitetsinställningar> för enkel inloggning och gör följande:

1. Rekommenderas: Skapa en säkerhetskopia av dina aktuella inställningar.

2. Ersätt fältet Inloggnings-URL för identitetsprovider med DEN SAML-URL för enkel inloggning med Defender for Cloud Apps som du antecknade tidigare.

3. Ladda upp SAML-certifikatet för Defender for Cloud Apps som du laddade ned tidigare.

4. Klicka på Spara.

   Kommentar

   SAML-certifikatet för Defender for Cloud Apps är giltigt i ett år. När det har upphört att gälla måste ett nytt certifikat genereras.

Steg 8: Slutför konfigurationen i Defender för Cloud Apps

• Gå tillbaka till sidan Appändringar för Defender för molnappar och klicka på Slutför. När du har slutfört guiden dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

Relaterat innehåll

« FÖREGÅENDE: Distribuera appkontroll för villkorsstyrd åtkomst för alla appar

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.