Kimlik sağlayıcısı (IdP) olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanarak herhangi bir web uygulaması için koşullu erişim uygulaması denetimi dağıtma
Bulut için Microsoft Defender Uygulamalarında oturum denetimlerini, herhangi bir web uygulaması ve Microsoft olmayan herhangi bir IdP ile çalışacak şekilde yapılandırabilirsiniz. Bu makalede, gerçek zamanlı oturum denetimleri için uygulama oturumlarının AD FS'den Bulut için Defender Uygulamalarına nasıl yönlendirdiği açıklanmaktadır.
Bu makalede Salesforce uygulamasını, Bulut için Defender Uygulamalar oturum denetimlerini kullanacak şekilde yapılandırılan bir web uygulaması örneği olarak kullanacağız.
Önkoşullar
Koşullu erişim uygulama denetimini kullanmak için kuruluşunuzun aşağıdaki lisanslara sahip olması gerekir:
- Önceden yapılandırılmış bir AD FS ortamı
- Microsoft Defender for Cloud Apps
SAML 2.0 kimlik doğrulama protokolunu kullanan uygulama için mevcut bir AD FS çoklu oturum açma yapılandırması
Not
Buradaki adımlar, Desteklenen Windows Server sürümünde çalışan tüm AD FS sürümleri için geçerlidir.
IdP olarak AD FS kullanarak uygulamanızın oturum denetimlerini yapılandırmak için
Web uygulaması oturumlarınızı AD FS'den Bulut için Defender Uygulamalarına yönlendirmek için aşağıdaki adımları kullanın.
Not
Uygulamanın AD FS tarafından sağlanan SAML çoklu oturum açma bilgilerini aşağıdaki yöntemlerden birini kullanarak yapılandırabilirsiniz:
- Seçenek 1: Uygulamanın SAML meta veri dosyasını karşıya yükleme.
- Seçenek 2: Uygulamanın SAML verilerini el ile sağlama.
Aşağıdaki adımlarda 2. seçeneği kullanacağız.
1. Adım: Uygulamanızın SAML çoklu oturum açma ayarlarını alma
2. Adım: Bulut için Defender Uygulamalarını uygulamanızın SAML bilgileriyle yapılandırma
3. Adım: Yeni bir AD FS Bağlı Olan Taraf Güveni ve uygulama çoklu oturum açma yapılandırması oluşturun.
4. Adım: AD FS uygulamasının bilgileriyle Bulut için Defender Uygulamaları yapılandırma
5. Adım: AD FS Bağlı Taraf Güveni yapılandırmasını tamamlama
6. Adım: Bulut için Defender Uygulamalarında uygulama değişikliklerini alma
7. Adım: Uygulama değişikliklerini tamamlama
8. Adım: Bulut için Defender Uygulamalarında yapılandırmayı tamamlama
1. Adım: Uygulamanızın SAML çoklu oturum açma ayarlarını alma
Salesforce'ta Kurulum>Ayarları>Kimlik>Çoklu Oturum Açma Ayarları'na göz atın.
Çoklu Oturum Açma Ayarları'nın altında mevcut AD FS yapılandırmanızın adına tıklayın.
SAML Çoklu Oturum Açma Ayarı sayfasında Salesforce Oturum Açma URL'sini not edin. Daha sonra Bulut için Defender Uygulamaları yapılandırırken buna ihtiyacınız olacak.
Not
Uygulamanız bir SAML sertifikası sağlıyorsa sertifika dosyasını indirin.
2. Adım: uygulamanızın SAML bilgileriyle Bulut için Defender Uygulamaları yapılandırma
Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.
Bağlı uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
+Ekle'yi seçin ve açılır pencerede dağıtmak istediğiniz uygulamayı seçin ve ardından Sihirbazı Başlat'ı seçin.
UYGULAMA BİlGİLerİ sayfasında Verileri el ile doldur'u seçin, Onay tüketici hizmeti URL'sinde daha önce not ettiğiniz Salesforce Oturum Açma URL'sini girin ve İleri'ye tıklayın.
Not
Uygulamanız bir SAML sertifikası sağlıyorsa SAML sertifikası app_name> kullan'ı <seçin ve sertifika dosyasını karşıya yükleyin.
3. Adım: Yeni bir AD FS Bağlı Taraf Güveni ve Uygulama Çoklu Oturum Açma yapılandırması oluşturma
Not
Son kullanıcı kapalı kalma süresini sınırlamak ve bilinen iyi yapılandırmanızı korumak için yeni bir Bağlı Taraf Güveni ve Çoklu Oturum Açma yapılandırması oluşturmanızı öneririz. Bu mümkün değilse ilgili adımları atlayın. Örneğin, yapılandırdığınız uygulama birden çok Çoklu Oturum Açma yapılandırması oluşturmayı desteklemiyorsa, yeni çoklu oturum açma oluşturma adımını atlayın.
AD FS Yönetim konsolunda, Bağlı Olan Taraf Güvenleri'nin altında, uygulamanız için mevcut bağlı olan taraf güveninizin özelliklerini görüntüleyin ve ayarları not edin.
Eylemler'in altında Bağlı Olan Taraf Güveni Ekle'ye tıklayın. Benzersiz bir ad olması gereken Tanımlayıcı değerinin dışında, daha önce not ettiğiniz ayarları kullanarak yeni güveni yapılandırın. Daha sonra Bulut için Defender Uygulamaları yapılandırırken bu güvene ihtiyacınız olacaktır.
Federasyon meta veri dosyasını açın ve AD FS SingleSignOnService Konumunu not edin. Buna daha sonra ihtiyacınız olacak.
Not
Federasyon meta veri dosyanıza erişmek için aşağıdaki uç noktayı kullanabilirsiniz:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Kimlik sağlayıcısının İmzalama Sertifikasını indirin. Buna daha sonra ihtiyacınız olacak.
Hizmetler>Sertifikaları'nın altında AD FS imzalama sertifikasına sağ tıklayın ve sertifikayı görüntüle'yi seçin.
Sertifikanın ayrıntılar sekmesinde Dosyaya Kopyala'ya tıklayın ve sertifikanızı Base-64 ile kodlanmış X.509 ( olarak dışarı aktarmak için Sertifika Dışarı Aktarma Sihirbazı'ndaki adımları izleyin. CER) dosyasını seçin.
Salesforce'a döndüğünüzde, mevcut AD FS çoklu oturum açma ayarları sayfasında tüm ayarları not edin.
Yeni bir SAML çoklu oturum açma yapılandırması oluşturun. Bağlı olan taraf güven Tanımlayıcısı ile eşleşmesi gereken Varlık Kimliği değerinin dışında, daha önce not ettiğiniz ayarları kullanarak çoklu oturum açmayı yapılandırın. Daha sonra Bulut için Defender Uygulamaları yapılandırırken buna ihtiyacınız olacak.
4. Adım: AD FS uygulamasının bilgileriyle Bulut için Defender Uygulamaları yapılandırma
Bulut için Defender Uygulamalar KIMLIK SAĞLAYıCıSı sayfasına geri dönüp devam etmek için İleri'ye tıklayın.
Sonraki sayfada Verileri el ile doldur'u seçin, aşağıdakileri yapın ve ardından İleri'ye tıklayın.
- Çoklu oturum açma hizmeti URL'si için daha önce not ettiğiniz Salesforce Oturum Açma URL'sini girin.
- Kimlik sağlayıcısının SAML sertifikasını karşıya yükle'yi seçin ve daha önce indirdiğiniz sertifika dosyasını karşıya yükleyin.
Sonraki sayfada, aşağıdaki bilgileri not edin ve İleri'ye tıklayın. Bilgiye daha sonra ihtiyacınız olacak.
- uygulamalar çoklu oturum açma URL'sini Bulut için Defender
- Bulut için Defender Apps öznitelikleri ve değerleri
Not
Kimlik sağlayıcısı için Bulut için Defender Apps SAML sertifikasını karşıya yükleme seçeneğini görürseniz, sertifika dosyasını indirmek için bağlantıya tıklayın. Buna daha sonra ihtiyacınız olacak.
5. Adım: AD FS Bağlı Taraf Güveni yapılandırmasını tamamlama
AD FS Yönetim konsoluna geri dönün, daha önce oluşturduğunuz bağlı olan taraf güvene sağ tıklayın ve ardından Talep Verme İlkesini Düzenle'yi seçin.
Talep Verme İlkesini Düzenle iletişim kutusundaki Verme Dönüştürme Kuralları'nın altında, özel kurallar oluşturma adımlarını tamamlamak için aşağıdaki tabloda verilen bilgileri kullanın.
Talep kuralı adı Özel kural McasSigningCert => issue(type="McasSigningCert", value="<value>");
burada<value>
, daha önce not ettiğiniz Bulut için Defender Uygulamaları sihirbazındaki McasSigningCert değeridirMcasAppId => issue(type="McasAppId", value="<value>");
, daha önce not ettiğiniz Bulut için Defender Uygulamaları sihirbazındaki McasAppId değeridir- Kural Ekle'ye tıklayın, Talep kuralı şablonu altında Özel Kural Kullanarak Talep Gönder'i seçin ve ardından İleri'ye tıklayın.
- Kuralı Yapılandır sayfasında, ilgili Talep kuralı adını ve sağlanan Özel kuralı girin.
Not
Bu kurallar, yapılandırdığınız uygulamanın gerektirdiği talep kurallarına veya özniteliklerine ek olarak sağlanır.
Bağlı Olan Taraf Güveni sayfasına dönün, daha önce oluşturduğunuz bağlı olan taraf güveni'ne sağ tıklayın ve özellikler'i seçin.
Uç Noktalar sekmesinde SAML Onay Tüketici Uç Noktası'nı seçin, Düzenle'ye tıklayın ve Güvenilen URL'yi daha önce not ettiğiniz Bulut için Defender Uygulamalar çoklu oturum açma URL'si ile değiştirin ve ardından Tamam'a tıklayın.
Kimlik sağlayıcısı için bir Bulut için Defender Apps SAML sertifikası indirdiyseniz, İmza sekmesinde Ekle'ye tıklayın ve sertifika dosyasını karşıya yükleyin ve ardından Tamam'a tıklayın.
Ayarlarınızı kaydedin.
6. Adım: Bulut için Defender Uygulamalarında uygulama değişikliklerini alma
Bulut için Defender Uygulamalar UYGULAMA DEĞİşİkLİkLER sayfasına geri dönün, aşağıdakileri yapın, ancak Son'a tıklamayın. Bilgiye daha sonra ihtiyacınız olacak.
- Bulut için Defender Uygulamaları SAML Çoklu oturum açma URL'sini kopyalama
- Bulut için Defender Apps SAML sertifikasını indirme
7. Adım: Uygulama değişikliklerini tamamlama
Salesforce'ta Kurulum>Ayarları>Kimlik>Çoklu Oturum Açma Ayarları'na gidin ve aşağıdakileri yapın:
Önerilen: Geçerli ayarlarınızın yedeğini oluşturun.
Kimlik Sağlayıcısı Oturum Açma URL'si alan değerini daha önce not ettiğiniz Bulut için Defender Uygulamalar SAML çoklu oturum açma URL'si ile değiştirin.
Daha önce indirdiğiniz Bulut için Defender Apps SAML sertifikasını karşıya yükleyin.
Kaydet'e tıklayın.
Not
Bulut için Defender Apps SAML sertifikası bir yıl geçerlidir. Süresi dolduktan sonra yeni bir sertifika oluşturulması gerekir.
8. Adım: Bulut için Defender Uygulamalarında yapılandırmayı tamamlama
- Bulut için Defender Uygulamalar UYGULAMA DEĞİşİkLİkLER sayfasına geri dönüp Son'a tıklayın. Sihirbazı tamamladıktan sonra, bu uygulamaya yönelik tüm ilişkili oturum açma istekleri koşullu erişim uygulama denetimi aracılığıyla yönlendirilir.
İlgili içerik
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.