Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить элементы управления сеансом в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений (IdP), не относящимся к Microsoft. В этой статье описывается маршрутизация сеансов приложений из AD FS в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.
В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом.
Предварительные условия
Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:
- Предварительно настроенная среда AD FS
- Microsoft Defender для облачных приложений
Существующая конфигурация единого входа AD FS для приложения с использованием протокола проверки подлинности SAML 2.0
Примечание.
Приведенные здесь действия применимы ко всем версиям AD FS, работающим в поддерживаемой версии Windows Server.
Настройте элементы управления сеансом для своего приложения, используя AD FS в качестве поставщика удостоверений
Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из AD FS в Defender for Cloud Apps.
Примечание.
Вы можете настроить сведения о едином входе SAML приложения, предоставляемые AD FS, с помощью одного из следующих методов:
- Вариант 1. Отправка файла метаданных SAML приложения.
- Вариант 2. Предоставление данных SAML приложения вручную.
На следующих шагах мы будем использовать вариант 2.
Шаг 1. Получение параметров единого входа SAML приложения
Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения
Шаг 3: Создайте новое отношение доверия с проверяющей стороной AD FS и настройте единый вход для приложения.
Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS
Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS
Шаг 6. Получение изменений приложения в Defender for Cloud Apps
Шаг 7. Завершение изменений приложения
Шаг 8. Завершение настройки в Defender for Cloud Apps
Шаг 1. Получите параметры единого входа SAML для вашего приложения
Чтобы собрать текущие параметры единого входа SAML приложения, выполните следующие действия.
В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа.
В разделе Параметры единого входа нажмите название своей существующей конфигурации AD FS.
На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Это потребуется позже при настройке Defender for Cloud Apps.
Примечание.
Если приложение предоставляет сертификат SAML, скачайте файл сертификата.
Шаг 2: Настройте Defender for Cloud Apps с использованием SAML-данных вашего приложения
Выполните следующие действия, чтобы добавить приложение в Defender for Cloud Apps и ввести сведения о SAML.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.
В разделе Подключенные приложения выберите Приложения для управления условным доступом.
Выберите +Добавить, затем во всплывающем окне выберите приложение, которое требуется развернуть, и выберите Запустить мастер.
На странице СВЕДЕНИЯ О ПРИЛОЖЕНИИ выберите Заполнить данные вручную, в поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее, а затем нажмите кнопку Далее.
Примечание.
Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.
Шаг 3. Создание нового отношения доверия с доверяющей стороной AD FS и конфигурации единого входа для приложения
Примечание.
Чтобы сократить время простоя конечных пользователей и сохранить существующую, заведомо работоспособную конфигурацию, мы рекомендуем создать новый Relying Party Trust и новую конфигурацию единого входа. Если это невозможно, пропустите соответствующие шаги. Например, если приложение, которое вы настраиваете, не поддерживает создание нескольких конфигураций единого входа, пропустите шаг создания новой конфигурации единого входа.
В консоли управления AD FS в разделе Отношения доверия с проверяющей стороной просмотрите свойства существующего отношения доверия с проверяющей стороной для приложения и запишите параметры.
В разделе Действия щелкните Добавить доверие проверяющей стороны. Помимо значения Identifier, которое должно быть уникальным именем, настройте новое отношение доверия, используя параметры, которые вы записали ранее. Это доверие потребуется позже при настройке Microsoft Defender for Cloud Apps.
Откройте файл метаданных федерации и запишите расположение AD FS SingleSignOnService. Он потребуется позже.
Примечание.
Для доступа к файлу метаданных федерации можно использовать следующую конечную точку:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Скачайте сертификат подписи поставщика удостоверений. Он потребуется позже.
В разделеСертификаты> щелкните правой кнопкой мыши сертификат подписи AD FS и выберите Пункт Просмотреть сертификат.
На вкладке сведений о сертификате щелкните Копировать в файл и выполните действия, описанные в мастере экспорта сертификатов , чтобы экспортировать сертификат в формате X.509 в кодировке Base-64 (. CER) файл.
Вернувшись в Salesforce, на странице существующих настроек единого входа AD FS запишите все настройки.
Создайте новую конфигурацию единого входа SAML. Помимо значения Entity ID , которое должно соответствовать идентификатору доверия проверяющей стороны, настройте единый вход с помощью параметров, которые вы записали ранее. Это потребуется позже при настройке Defender for Cloud Apps.
Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS
Используйте собранные вами значения AD FS, чтобы завершить настройку поставщика удостоверений в Defender for Cloud Apps.
На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.
На странице сведений о поставщике удостоверений нажмите кнопку "Заполнить данные" вручную, выполните указанные ниже действия и нажмите кнопку "Далее".
- В поле URL-адрес службы единого входа введите URL-адрес входа в Salesforce, который вы записали ранее.
- Выберите Загрузить SAML-сертификат поставщика удостоверений и загрузите скачанный ранее файл сертификата.
На странице EXTERNAL CONFIGURATION запишите следующие сведения и нажмите кнопку "Далее". Эти сведения потребуются при настройке доверия проверяющей стороны AD FS и обновлении приложения.
- URL-адрес единого входа в Defender for Cloud Apps
- Атрибуты и значения Defender for Cloud Apps
Примечание.
Если вы видите параметр для загрузки SAML-сертификата Defender for Cloud Apps для поставщика удостоверений, щелкните ссылку, чтобы загрузить файл сертификата. Он потребуется позже.
Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS
Выполните следующие действия, чтобы обновить отношение доверия с проверяющей стороной в AD FS, добавив необходимые правила утверждений и параметры сертификатов.
В консоли управления AD FS щелкните правой кнопкой мыши созданное ранее доверие проверяющей стороны и выберите Изменить политику выдачи утверждений.
В диалоговом окне Изменение политики выдачи заявлений, в разделе Правила преобразования выдачи заявлений, используйте сведения из следующей таблицы, чтобы выполнить действия для создания настраиваемых правил.
Имя правила утверждений Настраиваемое правило McasSigningCert => issue(type="McasSigningCert", value="<value>");где<value>— это значение McasSigningCert из мастера Defender for Cloud Apps, которое вы ранее записали.McasAppId => issue(type="McasAppId", value="<value>");— это значение McasAppId из мастера Defender for Cloud Apps, которое вы ранее записали.- Щелкните Добавить правило, в разделе Шаблон правила утверждений выберите Отправить утверждения с помощью настраиваемого правила, а затем нажмите кнопку Далее.
- На странице Настройка правила введите соответствующее имя правила утверждения и предоставленное пользовательское правило .
Примечание.
Эти правила являются дополнением к любым правилам утверждений или атрибутам, необходимым для настраиваемого приложения.
Вернувшись на страницу Доверительные отношения с проверяющей стороной, щелкните правой кнопкой мыши ранее созданный объект доверия проверяющей стороны, а затем выберите Свойства.
На вкладке Конечные точки выберите SAML Assertion Consumer Endpoint (Конечная точка потребителя утверждений SAML), нажмите кнопку Изменить и замените доверенный URL-адрес URL-адресом единого входа Defender for Cloud Apps, который вы записали ранее, а затем нажмите кнопку ОК.
Если вы скачали сертификат SAML Defender for Cloud Apps для поставщика удостоверений, на вкладке Подпись щелкните Добавить и отправьте файл сертификата, а затем нажмите кнопку ОК.
Сохраните заданные параметры.
Шаг 6. Получение изменений приложения в Defender for Cloud Apps
Вернувшись на страницу Defender for Cloud Apps ИЗМЕНЕНИЯ В ПРИЛОЖЕНИИ, выполните следующие действия, но не нажимайте кнопку «Готово». Сведения потребуются позже.
- Скопируйте URL-адрес единого входа SAML для Defender for Cloud Apps
- Скачать сертификат SAML для Defender for Cloud Apps
Шаг 7. Завершение изменений приложения
В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа и выполните следующие действия:
Рекомендуется: создайте резервную копию текущих параметров.
Замените значение в поле Identity Provider Login URL (URL-адрес входа поставщика удостоверений) URL-адресом единого входа SAML для Defender for Cloud Apps, который вы ранее записали.
Отправьте сертификат SAML Defender for Cloud Apps, скачанный ранее.
Нажмите кнопку Сохранить.
Примечание.
Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.
Шаг 8. Завершение настройки в Defender for Cloud Apps
Завершите работу мастера, чтобы включить маршрутизацию через контроль приложений условного доступа.
- Вернувшись на страницу Defender for Cloud Apps APP CHANGES, нажмите Finish. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.
Связанные материалы
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.