Разверните контроль приложений условного доступа для любого веб-приложения, использующего службы федерации Active Directory (AD FS) (AD FS) в качестве поставщика удостоверения (IdP)

Вы можете настроить элементы управления сеансом в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений (IdP), не относящимся к Microsoft. В этой статье описывается маршрутизация сеансов приложений из AD FS в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом.

Предварительные условия

  • Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

    • Предварительно настроенная среда AD FS
    • Microsoft Defender для облачных приложений
  • Существующая конфигурация единого входа AD FS для приложения с использованием протокола проверки подлинности SAML 2.0

Примечание.

Приведенные здесь действия применимы ко всем версиям AD FS, работающим в поддерживаемой версии Windows Server.

Настройте элементы управления сеансом для своего приложения, используя AD FS в качестве поставщика удостоверений

Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из AD FS в Defender for Cloud Apps.

Примечание.

Вы можете настроить сведения о едином входе SAML приложения, предоставляемые AD FS, с помощью одного из следующих методов:

  • Вариант 1. Отправка файла метаданных SAML приложения.
  • Вариант 2. Предоставление данных SAML приложения вручную.

На следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа SAML приложения

Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения

Шаг 3: Создайте новое отношение доверия с проверяющей стороной AD FS и настройте единый вход для приложения.

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS

Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в Defender for Cloud Apps

Шаг 1. Получите параметры единого входа SAML для вашего приложения

Чтобы собрать текущие параметры единого входа SAML приложения, выполните следующие действия.

  1. В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа.

  2. В разделе Параметры единого входа нажмите название своей существующей конфигурации AD FS.

    Снимок экрана страницы настроек единого входа Salesforce, показывающий существующую конфигурацию AD FS.

  3. На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Это потребуется позже при настройке Defender for Cloud Apps.

    Примечание.

    Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

    Снимок экрана страницы настроек единого входа Salesforce SAML, на которой показан URL-адрес входа, который нужно скопировать.

Шаг 2: Настройте Defender for Cloud Apps с использованием SAML-данных вашего приложения

Выполните следующие действия, чтобы добавить приложение в Defender for Cloud Apps и ввести сведения о SAML.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

  3. Выберите +Добавить, затем во всплывающем окне выберите приложение, которое требуется развернуть, и выберите Запустить мастер.

  4. На странице СВЕДЕНИЯ О ПРИЛОЖЕНИИ выберите Заполнить данные вручную, в поле URL-адрес службы потребителя утверждений введите URL-адрес входа Salesforce, который вы записали ранее, а затем нажмите кнопку Далее.

    Примечание.

    Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.

    Снимок экрана: страница Defender for Cloud Apps APP INFORMATION с полями, чтобы вручную ввести сведения о Salesforce SAML.

Шаг 3. Создание нового отношения доверия с доверяющей стороной AD FS и конфигурации единого входа для приложения

Примечание.

Чтобы сократить время простоя конечных пользователей и сохранить существующую, заведомо работоспособную конфигурацию, мы рекомендуем создать новый Relying Party Trust и новую конфигурацию единого входа. Если это невозможно, пропустите соответствующие шаги. Например, если приложение, которое вы настраиваете, не поддерживает создание нескольких конфигураций единого входа, пропустите шаг создания новой конфигурации единого входа.

  1. В консоли управления AD FS в разделе Отношения доверия с проверяющей стороной просмотрите свойства существующего отношения доверия с проверяющей стороной для приложения и запишите параметры.

  2. В разделе Действия щелкните Добавить доверие проверяющей стороны. Помимо значения Identifier, которое должно быть уникальным именем, настройте новое отношение доверия, используя параметры, которые вы записали ранее. Это доверие потребуется позже при настройке Microsoft Defender for Cloud Apps.

  3. Откройте файл метаданных федерации и запишите расположение AD FS SingleSignOnService. Он потребуется позже.

    Примечание.

    Для доступа к файлу метаданных федерации можно использовать следующую конечную точку: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Снимок экрана файла метаданных федерации, на котором показан адрес AD FS SingleSignOnService для приложения Salesforce.

  4. Скачайте сертификат подписи поставщика удостоверений. Он потребуется позже.

    1. В разделеСертификаты> щелкните правой кнопкой мыши сертификат подписи AD FS и выберите Пункт Просмотреть сертификат.

      Снимок экрана: окно свойств сертификата подписи поставщика удостоверений в AD FS.

    2. На вкладке сведений о сертификате щелкните Копировать в файл и выполните действия, описанные в мастере экспорта сертификатов , чтобы экспортировать сертификат в формате X.509 в кодировке Base-64 (. CER) файл.

      Снимок экрана мастера экспорта сертификатов, показывающий шаг сохранения сертификата подписи IdP в файл.

  5. Вернувшись в Salesforce, на странице существующих настроек единого входа AD FS запишите все настройки.

  6. Создайте новую конфигурацию единого входа SAML. Помимо значения Entity ID , которое должно соответствовать идентификатору доверия проверяющей стороны, настройте единый вход с помощью параметров, которые вы записали ранее. Это потребуется позже при настройке Defender for Cloud Apps.

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении AD FS

Используйте собранные вами значения AD FS, чтобы завершить настройку поставщика удостоверений в Defender for Cloud Apps.

  1. На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.

  2. На странице сведений о поставщике удостоверений нажмите кнопку "Заполнить данные" вручную, выполните указанные ниже действия и нажмите кнопку "Далее".

    • В поле URL-адрес службы единого входа введите URL-адрес входа в Salesforce, который вы записали ранее.
    • Выберите Загрузить SAML-сертификат поставщика удостоверений и загрузите скачанный ранее файл сертификата.

    Снимок экрана страницы поставщика удостоверяющих данных Defender for Cloud Apps с полями для URL-адреса службы единого входа и сертификата SAML.

  3. На странице EXTERNAL CONFIGURATION запишите следующие сведения и нажмите кнопку "Далее". Эти сведения потребуются при настройке доверия проверяющей стороны AD FS и обновлении приложения.

    • URL-адрес единого входа в Defender for Cloud Apps
    • Атрибуты и значения Defender for Cloud Apps

    Примечание.

    Если вы видите параметр для загрузки SAML-сертификата Defender for Cloud Apps для поставщика удостоверений, щелкните ссылку, чтобы загрузить файл сертификата. Он потребуется позже.

    Снимок экрана: Defender for Cloud Apps с URL-адресом единого входа, атрибутами и ссылкой на скачивание сертификата SAML.

Шаг 5. Завершение настройки отношения доверия с проверяющей стороной AD FS

Выполните следующие действия, чтобы обновить отношение доверия с проверяющей стороной в AD FS, добавив необходимые правила утверждений и параметры сертификатов.

  1. В консоли управления AD FS щелкните правой кнопкой мыши созданное ранее доверие проверяющей стороны и выберите Изменить политику выдачи утверждений.

    Снимок экрана: консоль управления AD FS с контекстным меню доверия проверяющей стороны с параметром

  2. В диалоговом окне Изменение политики выдачи заявлений, в разделе Правила преобразования выдачи заявлений, используйте сведения из следующей таблицы, чтобы выполнить действия для создания настраиваемых правил.

    Имя правила утверждений Настраиваемое правило
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); где <value> — это значение McasSigningCert из мастера Defender for Cloud Apps, которое вы ранее записали.
    McasAppId => issue(type="McasAppId", value="<value>"); — это значение McasAppId из мастера Defender for Cloud Apps, которое вы ранее записали.
    1. Щелкните Добавить правило, в разделе Шаблон правила утверждений выберите Отправить утверждения с помощью настраиваемого правила, а затем нажмите кнопку Далее.
    2. На странице Настройка правила введите соответствующее имя правила утверждения и предоставленное пользовательское правило .

    Примечание.

    Эти правила являются дополнением к любым правилам утверждений или атрибутам, необходимым для настраиваемого приложения.

  3. Вернувшись на страницу Доверительные отношения с проверяющей стороной, щелкните правой кнопкой мыши ранее созданный объект доверия проверяющей стороны, а затем выберите Свойства.

  4. На вкладке Конечные точки выберите SAML Assertion Consumer Endpoint (Конечная точка потребителя утверждений SAML), нажмите кнопку Изменить и замените доверенный URL-адрес URL-адресом единого входа Defender for Cloud Apps, который вы записали ранее, а затем нажмите кнопку ОК.

    Снимок экрана: диалоговое окно свойств конечной точки отношения доверия проверяющей стороны, содержащее поле «Доверенный URL-адрес» для конечной точки-получателя утверждений SAML.

  5. Если вы скачали сертификат SAML Defender for Cloud Apps для поставщика удостоверений, на вкладке Подпись щелкните Добавить и отправьте файл сертификата, а затем нажмите кнопку ОК.

    Снимок экрана: диалоговое окно свойств подписи доверия проверяющей стороны с конфигурацией сертификата SAML.

  6. Сохраните заданные параметры.

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Вернувшись на страницу Defender for Cloud Apps ИЗМЕНЕНИЯ В ПРИЛОЖЕНИИ, выполните следующие действия, но не нажимайте кнопку «Готово». Сведения потребуются позже.

  • Скопируйте URL-адрес единого входа SAML для Defender for Cloud Apps
  • Скачать сертификат SAML для Defender for Cloud Apps

Снимок экрана: страница Defender for Cloud Apps APP CHANGES с URL-адресом единого входа SAML и параметром скачивания сертификата.

Шаг 7. Завершение изменений приложения

В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа и выполните следующие действия:

  1. Рекомендуется: создайте резервную копию текущих параметров.

  2. Замените значение в поле Identity Provider Login URL (URL-адрес входа поставщика удостоверений) URL-адресом единого входа SAML для Defender for Cloud Apps, который вы ранее записали.

  3. Отправьте сертификат SAML Defender for Cloud Apps, скачанный ранее.

  4. Нажмите кнопку Сохранить.

    Примечание.

    Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.

Шаг 8. Завершение настройки в Defender for Cloud Apps

Завершите работу мастера, чтобы включить маршрутизацию через контроль приложений условного доступа.

  • Вернувшись на страницу Defender for Cloud Apps APP CHANGES, нажмите Finish. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.