Dela via

Distribuera appkontroll för villkorsstyrd åtkomst för alla webbappar med Okta som identitetsprovider (IdP)

  • Artikel

Du kan konfigurera sessionskontroller i Microsoft Defender för Molnappar så att de fungerar med alla webbappar och andra IdP-program än Microsoft. Den här artikeln beskriver hur du dirigerar appsessioner från Okta till Defender för Cloud Apps för sessionskontroller i realtid.

I den här artikeln använder vi Salesforce-appen som ett exempel på en webbapp som konfigureras för att använda Defender för Cloud Apps-sessionskontroller.

Förutsättningar

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

    • En förkonfigurerad Okta-klientorganisation.
    • Microsoft Defender för Cloud Apps

  • En befintlig okta-konfiguration för enkel inloggning för appen med hjälp av SAML 2.0-autentiseringsprotokollet

Så här konfigurerar du sessionskontroller för din app med Okta som IdP

Använd följande steg för att dirigera dina webbappsessioner från Okta till Defender för Cloud Apps.

Kommentar

Du kan konfigurera appens SAML-information för enkel inloggning som tillhandahålls av Okta med någon av följande metoder:

  • Alternativ 1: Ladda upp appens SAML-metadatafil.
  • Alternativ 2: Tillhandahålla appens SAML-data manuellt.

I följande steg använder vi alternativ 2.

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

Steg 2: Konfigurera Defender för Cloud Apps med din apps SAML-information

Steg 3: Skapa en ny konfiguration för okta-anpassat program och enkel inloggning för appar

Steg 4: Konfigurera Defender för Cloud Apps med Okta-appens information

Steg 5: Slutför konfigurationen av det anpassade Okta-programmet

Steg 6: Hämta appändringarna i Defender för Cloud Apps

Steg 7: Slutför appändringarna

Steg 8: Slutför konfigurationen i Defender för Cloud Apps

Steg 1: Hämta appens SAML-inställningar för enkel inloggning

  1. I Salesforce bläddrar du till Inställningar för inställningar>>för identitetsinställningar> för enkel inloggning.

  2. Under Inställningar för enkel inloggning klickar du på namnet på din befintliga Okta-konfiguration.

    Välj Salesforce SSO-inställningar.

  3. På sidan SAML-inställning för enkel inloggning antecknar du Url:en för Salesforce-inloggning. Du behöver detta senare när du konfigurerar Defender för Cloud Apps.

    Kommentar

    Om din app tillhandahåller ett SAML-certifikat laddar du ned certifikatfilen.

    Välj Inloggnings-URL för Salesforce SSO.

Steg 2: Konfigurera Defender för Cloud Apps med din apps SAML-information

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslutna appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  3. Välj +Lägg till och välj den app som du vill distribuera i popup-fönstret och välj sedan Starta guiden.

  4. På sidan APPINFORMATION väljer du Fyll i data manuellt, i url:en för konsumenttjänsten för försäkran anger du url:en för Salesforce-inloggning som du antecknade tidigare och klickar sedan på Nästa.

    Kommentar

    Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

    Fyll i Salesforce SAML-information manuellt.

Steg 3: Skapa en ny okta-konfiguration för anpassat program och enkel inloggning för appar

Kommentar

För att begränsa slutanvändarnas stilleståndstid och bevara den befintliga kända konfigurationen rekommenderar vi att du skapar ett nytt anpassat program och en konfiguration för enkel inloggning. Om detta inte är möjligt hoppar du över de relevanta stegen. Om den app som du konfigurerar till exempel inte stöder att skapa flera konfigurationer för enkel inloggning hoppar du över steget skapa ny enkel inloggning.

  1. Under Program i Okta-administratörskonsolenvisar du egenskaperna för din befintliga konfiguration för din app och noterar inställningarna.

  2. Klicka på Lägg till program och sedan på Skapa ny app. Förutom värdet för målgrupps-URI (SP Entity ID) som måste vara ett unikt namn konfigurerar du det nya programmet med de inställningar som du antecknade tidigare. Du behöver det här programmet senare när du konfigurerar Defender för Cloud Apps.

  3. Gå till Program, visa din befintliga Okta-konfiguration och välj Visa installationsanvisningarfliken Logga in.

    Observera den befintliga Salesforce-appens SSO-tjänstplats.

  4. Anteckna URL: en för enkel inloggning för identitetsprovidern och ladda ned identitetsproviderns signeringscertifikat (X.509). Du behöver det senare.

  5. Tillbaka i Salesforce, på den befintliga okta-sidan med inställningar för enkel inloggning, anteckna alla inställningar.

  6. Skapa en ny SAML-konfiguration för enkel inloggning. Förutom värdet för entitets-ID som måste matcha det anpassade programmets målgrupps-URI (SP Entity ID) konfigurerar du enkel inloggning med de inställningar som du antecknade tidigare. Du behöver detta senare när du konfigurerar Defender för Cloud Apps.

  7. När du har sparat det nya programmet går du till sidan Tilldelningar och tilldelar de personer eller grupper som kräver åtkomst till programmet.

ׂ

Steg 4: Konfigurera Defender för Cloud Apps med Okta-appens information

  1. Gå tillbaka till sidan Defender för Cloud Apps IDENTITY PROVIDER och klicka på Nästa för att fortsätta.

  2. På nästa sida väljer du Fyll i data manuellt, gör följande och klickar sedan på Nästa.

    • För URL:en för tjänsten enkel inloggning anger du url:en för Salesforce-inloggning som du antecknade tidigare.
    • Välj Ladda upp identitetsproviderns SAML-certifikat och ladda upp certifikatfilen som du laddade ned tidigare.

    Lägg till URL för SSO-tjänsten och SAML-certifikat.

  3. På nästa sida antecknar du följande information och klickar sedan på Nästa. Du behöver informationen senare.

    • Url för enkel inloggning med Defender för Cloud Apps
    • Attribut och värden för Defender för Cloud Apps

    Kommentar

    Om du ser ett alternativ för att ladda upp SAML-certifikatet för Defender for Cloud Apps för identitetsprovidern klickar du på klicka för att ladda ned certifikatfilen. Du behöver det senare.

    Anteckna URL och attribut för enkel inloggning i Defender för Cloud Apps.

Steg 5: Slutför konfigurationen av det anpassade Okta-programmet

  1. I Okta-administratörskonsolen går du till Program och väljer det anpassade program som du skapade tidigare och klickar sedan på Redigera under Allmänna>SAML-inställningar.

    Leta upp och redigera SAML-inställningar.

  2. I fältet Jedinstveno prijavljivanje URL ersätter du URL:en med den url för enkel inloggning med Defender for Cloud Apps som du antecknade tidigare och sparar sedan inställningarna.

  3. Under Katalog väljer du Profilredigerare, väljer det anpassade program som du skapade tidigare och klickar sedan på Profil. Lägg till attribut med hjälp av följande information.

    Visningsnamn Variabelnamn Datatyp Attributtyp
    McasSigningCert McasSigningCert sträng Anpassat
    McasAppId McasAppId sträng Anpassat

    Lägg till profilattribut.

  4. På sidan Profilredigerare väljer du det anpassade program som du skapade tidigare, klickar på Mappningar och väljer sedan Okta-användare till {custom_app_name}. Mappa attributen McasSigningCert och McasAppId till attributvärdena Defender för Cloud Apps som du antecknade tidigare.

    Kommentar

    • Se till att du omger värdena med dubbla citattecken (")
    • Okta begränsar attribut till 1 024 tecken. Du kan minska den här begränsningen genom att lägga till attributen med hjälp av profilredigeraren enligt beskrivningen.

    Mappa profilattribut.

  5. Spara inställningarna.

Steg 6: Hämta appändringarna i Defender för Cloud Apps

Gå tillbaka till sidan Appändringar för Defender för molnappar, gör följande, men klicka inte på Slutför. Du behöver informationen senare.

  • Kopiera URL:en för enkel inloggning med Defender for Cloud Apps SAML
  • Ladda ned SAML-certifikatet för Defender for Cloud Apps

Observera URL:en för Defender for Cloud Apps SAML SSO och ladda ned certifikatet.

Steg 7: Slutför appändringarna

I Salesforce bläddrar du till Inställningar för konfiguration>>av identitetsinställningar> för enkel inloggning och gör följande:

  1. [Rekommenderas] Skapa en säkerhetskopia av dina aktuella inställningar.

  2. Ersätt fältet Inloggnings-URL för identitetsprovider med DEN SAML-URL för enkel inloggning med Defender for Cloud Apps som du antecknade tidigare.

  3. Ladda upp SAML-certifikatet för Defender for Cloud Apps som du laddade ned tidigare.

  4. Klicka på Spara.

    Kommentar

    • När du har sparat inställningarna dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.
    • SAML-certifikatet för Defender for Cloud Apps är giltigt i ett år. När det har upphört att gälla måste ett nytt certifikat genereras.

    Uppdatera inställningar för enkel inloggning.

Steg 8: Slutför konfigurationen i Defender för Cloud Apps

  • Gå tillbaka till sidan Appändringar för Defender för molnappar och klicka på Slutför. När du har slutfört guiden dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

Relaterat innehåll

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.