Развертывание управления условным доступом для любого веб-приложения с помощью Okta в качестве поставщика удостоверений (IdP)

Вы можете настроить элементы управления сеансом в Microsoft Defender for Cloud Apps для работы с любым веб-приложением и любым поставщиком удостоверений (IdP), не относящимся к Microsoft. В этой статье описывается маршрутизация сеансов приложения из Okta в Defender for Cloud Apps для элементов управления сеансами в режиме реального времени.

В этой статье мы будем использовать приложение Salesforce в качестве примера веб-приложения, настраиваемого для использования Defender for Cloud Apps элементов управления сеансом.

Предварительные условия

  • Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:

    • Предварительно настроенный клиент Okta.
    • Microsoft Defender для облачных приложений
  • Существующая конфигурация единого входа Okta для приложения с использованием протокола проверки подлинности SAML 2.0

Настройте элементы управления сеансом для вашего приложения, используя Okta в качестве поставщика удостоверений (IdP)

Выполните следующие действия, чтобы перенаправить сеансы веб-приложения из Okta в Defender for Cloud Apps.

Примечание.

Вы можете настроить сведения о едином входе SAML приложения, предоставляемые Okta, с помощью одного из следующих методов:

  • Вариант 1. Отправка файла метаданных SAML приложения.
  • Вариант 2. Предоставление данных SAML приложения вручную.

На следующих шагах мы будем использовать вариант 2.

Шаг 1. Получение параметров единого входа SAML приложения

Шаг 2. Настройка Defender for Cloud Apps с помощью сведений SAML приложения

Шаг 3 . Создание конфигурации пользовательского приложения Okta и единого входа приложения

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении Okta

Шаг 5. Завершение настройки пользовательского приложения Okta

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Шаг 7. Завершение изменений приложения

Шаг 8. Завершение настройки в Defender for Cloud Apps

Шаг 1. Получите параметры единого входа SAML для вашего приложения

Получите из Salesforce текущие настройки SAML единого входа для вашего приложения.

  1. В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа.

  2. В разделе Параметры единого входа нажмите на название существующей конфигурации Okta.

    Снимок экрана страницы настроек единого входа Salesforce, на котором показана существующая конфигурация Okta, доступная для выбора.

  3. На странице Параметр единого входа SAML запишите URL-адрес входа в Salesforce. Это потребуется позже при настройке Defender for Cloud Apps.

    Примечание.

    Если приложение предоставляет сертификат SAML, скачайте файл сертификата.

    Снимок экрана страницы настроек единого входа SAML в Salesforce, на которой показано поле URL-адреса входа.

Шаг 2: Настройте Defender for Cloud Apps с использованием SAML-данных вашего приложения

Введите в Defender for Cloud Apps данные для единого входа SAML вашего приложения.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Подключенные приложения выберите приложения для управления условным доступом.

  3. Выберите +Добавить, затем во всплывающем окне выберите приложение, которое требуется развернуть, и выберите Запустить мастер.

  4. На странице APP INFORMATION выберите Заполнить данные вручную, в поле URL-адрес службы обработки утверждений введите URL-адрес для входа Salesforce Login URL из шага 1, а затем нажмите Далее.

    Примечание.

    Если приложение предоставляет сертификат SAML, выберите Использовать <app_name> сертификат SAML и отправьте файл сертификата.

    Снимок экрана страницы

Шаг 3. Создайте новое пользовательское приложение Okta и настройте единый вход для приложения

Примечание.

Чтобы ограничить время простоя конечных пользователей и сохранить имеющуюся рабочую конфигурацию, мы рекомендуем создать новое настраиваемое приложение и конфигурацию единого входа. Если это невозможно, пропустите соответствующие шаги. Например, если приложение, которое вы настраиваете, не поддерживает создание нескольких конфигураций единого входа, пропустите шаг создания новой конфигурации единого входа.

  1. В консоли Okta Администратор в разделе Приложения просмотрите свойства существующей конфигурации приложения и запишите параметры.

  2. Нажмите кнопку Добавить приложение, а затем — Создать новое приложение. Помимо значения URI аудитории (идентификатор сущности SP), которое должно быть уникальным именем, настройте новое приложение с помощью параметров из существующего приложения Okta, записанного на предыдущем шаге. Это приложение понадобится позже при настройке Defender for Cloud Apps.

  3. Перейдите в раздел Приложения, просмотрите существующую конфигурацию Okta и на вкладке Вход выберите Просмотреть инструкции по настройке.

    Снимок экрана: вкладка

  4. Запишите URL-адрес единого входа (SSO) поставщика удостоверений и загрузите сертификат подписи поставщика удостоверений (X.509). Вам потребуется как URL-адрес, так и сертификат подписи позже.

  5. Вернувшись в Salesforce, на странице существующих настроек единого входа Okta запишите все настройки.

  6. Создайте новую конфигурацию единого входа SAML. Помимо значения Entity ID, которое должно соответствовать Audience URI (SP Entity ID) пользовательского приложения, настройте единый вход, используя параметры на существующей странице настроек единого входа Okta, указанной на предыдущем шаге. Эта новая конфигурация понадобится позже при настройке Defender for Cloud Apps.

  7. После сохранения нового приложения перейдите на страницу Назначения и назначьте Люди или группы, которым требуется доступ к приложению.

ׂ

Шаг 4. Настройка Defender for Cloud Apps с помощью сведений о приложении Okta

Предоставьте Defender for Cloud Apps сведения о вашем поставщике удостоверений Okta.

  1. На странице Defender for Cloud Apps IDENTITY PROVIDER нажмите кнопку Далее, чтобы продолжить.

  2. На следующей странице мастера IDENTITY PROVIDER выберите «Заполнить данные вручную», выполните следующие действия, а затем нажмите «Далее».

    • В поле URL-адрес службы единого входа введите URL-адрес входа в Salesforce, который вы записали ранее.
    • Выберите Загрузить SAML-сертификат поставщика удостоверений и загрузите скачанный ранее файл сертификата.

    Снимок экрана: параметры поставщика удостоверений Defender for Cloud Apps, показывающие URL-адрес службы единого входа и поля отправки сертификата SAML.

  3. На странице внешней конфигурации запишите следующие сведения и нажмите кнопку "Далее". Эти сведения потребуются при настройке пользовательского приложения Okta на шаге 5.

    • URL-адрес единого входа в Defender for Cloud Apps
    • Атрибуты и значения Defender for Cloud Apps

    Примечание.

    Если вы видите возможность отправить SAML-сертификат Defender for Cloud Apps для поставщика удостоверений, нажмите ссылку, чтобы скачать файл сертификата. Он потребуется позже.

    Снимок экрана страницы конфигурации Defender for Cloud Apps, на которой показаны URL-адрес SSO и значения атрибутов.

Шаг 5. Завершение настройки пользовательского приложения Okta

Обновите пользовательские параметры SAML приложения Okta со значениями из Defender for Cloud Apps.

  1. Вернитесь в консоль Okta Администратор в разделе Приложения выберите ранее созданное пользовательское приложение, а затем в разделе Общие>параметры SAML нажмите кнопку Изменить.

    Снимок экрана: консоль администрирования Okta с вкладкой

  2. В поле URL-адрес единого входа замените URL-адрес на URL-адрес единого входа Defender for Cloud Apps из шага 4, а затем сохраните параметры.

  3. В разделе Каталог выберите Профиль Редактор, выберите пользовательское приложение, созданное ранее, а затем щелкните Профиль. Добавьте атрибуты, используя следующие сведения.

    Отображаемое имя Имя переменной Тип данных Тип атрибута
    McasSigningCert McasSigningCert строка Пользовательский
    McasAppId McasAppId строка Пользовательский

    Снимок экрана: редактор профилей Okta с полями для добавления настраиваемых атрибутов профиля.

  4. Вернитесь на страницу Profile Editor, выберите созданное ранее пользовательское приложение, нажмите Mappings, а затем выберите Okta User to {custom_app_name}. Сопоставлять атрибуты McasSigningCert и McasAppId со значениями атрибутов Defender for Cloud Apps, записанными на шаге 4.

    Примечание.

    • Убедитесь, что значения заключены в двойные кавычки (")
    • Okta ограничивает атрибуты 1024 символами. Чтобы устранить это ограничение, добавьте атрибуты с помощью Редактор профиля, как описано.

    Снимок экрана: страница сопоставления атрибутов Okta с сопоставлениями для McasSigningCert и McasAppId.

  5. Сохраните заданные параметры.

Шаг 6. Получение изменений приложения в Defender for Cloud Apps

Вернувшись на страницу Defender for Cloud Apps ИЗМЕНЕНИЯ В ПРИЛОЖЕНИИ, выполните следующие действия, но не нажимайте кнопку «Готово». Вам потребуется URL-адрес единого входа SAML и сертификат на шаге 7.

  • Скопируйте URL-адрес единого входа SAML для Defender for Cloud Apps
  • Скачать сертификат SAML для Defender for Cloud Apps

Снимок экрана страницы «APP CHANGES» в Defender for Cloud Apps с отображением URL-адреса единого входа SAML и параметра скачивания сертификата.

Шаг 7. Завершение изменений приложения

В Salesforce перейдите в Настройка>Параметры>Идентификация>Параметры единого входа и выполните следующие действия:

  1. [Рекомендуется] Создайте резервную копию текущих параметров.

  2. Замените значение поля URL-адрес входа поставщика удостоверений на URL-адрес единого входа SAML для Defender for Cloud Apps, скопированный на шаге 6.

  3. Отправьте Defender for Cloud Apps сертификат SAML, скачанный на шаге 6.

  4. Нажмите кнопку Сохранить.

    Примечание.

    • После сохранения параметров все связанные запросы на вход в это приложение будут перенаправлены через управление условным доступом к приложению.
    • Сертификат SAML Defender for Cloud Apps действителен в течение одного года. По истечении срока действия потребуется создать новый сертификат.

    Снимок экрана страницы настроек единого входа Salesforce с обновлёнными полями конфигурации SSO.

Шаг 8. Завершение настройки в Defender for Cloud Apps

Завершите мастер в Defender for Cloud Apps, чтобы активировать маршрутизацию сеансов с помощью контроля приложений условного доступа.

  • Вернувшись на страницу Defender for Cloud Apps APP CHANGES, нажмите Finish. После завершения работы мастера все связанные запросы на вход в это приложение будут направляться через управление условным доступом к приложениям.

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.