Incorporación e implementación del Control de aplicaciones de acceso condicional para cualquier aplicación

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

Los controles de sesión Microsoft Cloud App Security se pueden configurar para que funcionen con cualquier aplicación web. En este artículo se describe cómo incorporar e implementar aplicaciones de línea de negocio personalizadas, aplicaciones SaaS no características y aplicaciones locales hospedadas a través de la Azure Active Directory (Azure AD) Application Proxy con controles de sesión.

Para obtener una lista de las aplicaciones que Cloud App Security para que funcionen de forma personalizada, consulte Protección de aplicaciones con Cloud App Security Control de aplicaciones de acceso condicional.

Requisitos previos

  • Su organización debe tener las siguientes licencias para usar Control de aplicaciones de acceso condicional:

  • Las aplicaciones deben configurarse con inicio de sesión único

  • Las aplicaciones deben usar uno de los siguientes protocolos de autenticación:

    IdP Protocolos
    Azure AD SAML 2.0 u OpenID Connect
    Otros SAML 2.0

Para implementar cualquier aplicación

Siga estos pasos para configurar cualquier aplicación que se va a controlar mediante Cloud App Security Control de aplicaciones de acceso condicional.

Paso 1: Configurar el IdP para que funcione con Cloud App Security

Paso 2: Configurar los usuarios que implementarán la aplicación

Paso 3: Configuración de la aplicación que va a implementar

Paso 4: Comprobar que la aplicación funciona correctamente

Paso 5: Habilitar la aplicación para su uso en su organización

Paso 6: Actualización de la directiva Azure AD aplicación

Nota

Para implementar Control de aplicaciones de acceso condicional para Azure AD aplicaciones, necesita una licencia válida para Azure Active Directory Premium P1 o superior, así como una Cloud App Security licencia.

Paso 1: Configurar el IdP para que funcione con Cloud App Security

Configuración de la integración con Azure AD

Nota

Al configurar una aplicación con SSO en Azure AD u otros proveedores de identidades, un campo que puede aparecer como opcional es la configuración de la dirección URL de inicio de sesión. Tenga en cuenta que este campo puede ser necesario para que Control de aplicaciones de acceso condicional funcione.

Siga estos pasos para crear una directiva de Azure AD acceso condicional que enruta las sesiones de la aplicación a Cloud App Security. Para otras soluciones de IdP, consulte Configuración de la integración con otras soluciones de IdP.

  1. En Azure AD, vaya a Acceso condicional de > seguridad.

  2. En el panel Acceso condicional, en la barra de herramientas de la parte superior, haga clic en Nueva directiva.

  3. En el panel Nuevo, en el cuadro de texto Nombre, escriba el nombre de la directiva.

  4. En Asignaciones, haga clic en Usuarios y grupos , asigne a los usuarios que incorporarán (inicio de sesión inicial y comprobación) la aplicación y, a continuación, haga clic en Listo.

  5. En Asignaciones, haga clic en Aplicaciones en la nube, asigne las aplicaciones que desea controlar con Control de aplicaciones de acceso condicional y, a continuación, haga clic en Listo.

  6. En Controles de acceso , haga clic en Sesión , seleccione Usar Control de aplicaciones de acceso condicional y elija una directiva integrada (Solo supervisar o Bloquear descargas) o Usar directiva personalizada para establecer una directiva avanzada en Cloud App Security y, a continuación, haga clic en Seleccionar.

    Azure AD acceso condicional.

  7. Opcionalmente, agregue condiciones y conceda controles según sea necesario.

  8. Establezca Habilitar directiva en Activar y, a continuación, haga clic en Crear.

Configuración de la integración con otras soluciones de IdP

Siga estos pasos para enrutar las sesiones de aplicaciones desde otras soluciones de IdP a Cloud App Security. Para Azure AD, consulte Configuración de la integración con Azure AD.

Nota

Para obtener ejemplos de cómo configurar soluciones de IdP, consulte:

  1. En Cloud App Security, vaya a Investigar > aplicaciones conectadas Control de aplicaciones de acceso condicional > aplicaciones.

  2. Haga clic en el signo más ( ) y, en el menú emergente, seleccione la aplicación que desea implementar y, a + continuación, haga clic en Asistente para inicio.

  3. En la página INFORMACIÓN DE LA APLICACIÓN, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:
      • Url del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página de información de la aplicación.

  4. En la página PROVEEDOR DE IDENTIDADes, siga los pasos proporcionados para configurar una nueva aplicación en el portal del IdP y, a continuación, haga clic en Siguiente.

    1. Vaya al portal del IdP y cree una nueva aplicación SAML personalizada.
    2. Copie la configuración de inicio de sesión único de la aplicación <app_name> existente en la nueva aplicación personalizada.
    3. Asigne usuarios a la nueva aplicación personalizada.
    4. Copie la información de configuración de inicio de sesión único de las aplicaciones; la necesitará en el paso siguiente.

    Captura de pantalla que muestra la página de recopilación de información del proveedor de identidades.

    Nota

    Estos pasos pueden diferir ligeramente en función del proveedor de identidades. Este paso se recomienda por los siguientes motivos:

    • Algunos proveedores de identidades no permiten cambiar los atributos de SAML o las propiedades de dirección URL de una aplicación de la galería.
    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y sesión sin cambiar el comportamiento existente de su organización.
  5. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:
      • Url del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página de información del proveedor de identidades.

  6. En la página siguiente, copie la siguiente información y, a continuación, haga clic en Siguiente. Necesitará la información en el paso siguiente.

    • Dirección URL de inicio de sesión único
    • Atributos y valores

    Captura de pantalla que muestra la página de recopilación de información de SAML de proveedores de identidades.

  7. En el portal del IdP, haga lo siguiente:

    Nota

    La configuración se encuentra normalmente en la página de configuración de la aplicación personalizada del portal de IdP.

    1. [Recomendado] Cree una copia de seguridad de la configuración actual.

    2. Reemplace el valor del campo DIRECCIÓN URL de inicio de sesión único por la Cloud App Security de inicio de sesión único de SAML que anotó anteriormente.

      Nota

      Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como url de respuesta.

    3. Agregue los atributos y valores que anote anteriormente a las propiedades de la aplicación.

      Nota

      • Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.
      • Al crear una nueva aplicación SAML, el proveedor de identidades de Okta limita los atributos a 1024 caracteres. Para mitigar esta limitación, primero cree la aplicación sin los atributos pertinentes. Después de crear la aplicación, edite y agregue los atributos pertinentes.
    4. Compruebe que el identificador de nombre tiene el formato de dirección de correo electrónico.

    5. Guarde la configuración.

  8. En la página CAMBIOS DE LA APLICACIÓN, haga lo siguiente y, a continuación, haga clic en Siguiente. Necesitará la información en el paso siguiente.

    • Copia de la dirección URL de inicio de sesión único
    • Descarga del Cloud App Security SAML

    Captura de pantalla que muestra la Cloud App Security de información de SAML.

  9. En el portal de la aplicación, en la configuración de inicio de sesión único, haga lo siguiente:

    1. [Recomendado] Cree una copia de seguridad de la configuración actual.
    2. En el campo DIRECCIÓN URL de inicio de sesión único, escriba Cloud App Security dirección URL de inicio de sesión único que anote anteriormente.
    3. Cargue el Cloud App Security SAML que descargó anteriormente.

    Nota

    • Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través Control de aplicaciones de acceso condicional.
    • El Cloud App Security SAML es válido durante un año. Una vez que expire, será necesario generar un nuevo certificado.

<a name="step-2-configure-the-users-that-will-deploy-the-app">Paso 2: Configurar los usuarios que implementarán la aplicación

  1. En Cloud App Security, en la barra de menús, haga clic en el icono de configuración del ![engranaje de configuración.](media/settings-icon.png "icono de configuración") y seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación y mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que incorporarán la aplicación y, a continuación, haga clic en Guardar.

    Captura de pantalla de la configuración de incorporación y mantenimiento de aplicaciones.

Paso 3: Configuración de la aplicación que va a implementar

Vaya a la aplicación que va a implementar. La página que vea dependerá de si se reconoce la aplicación. Realice una de las siguientes acciones:

Estado de la aplicación Descripción Pasos
No reconocido Verá una página de aplicación no reconocida en la que se le pedirá que configure la aplicación. 1. Agregue la aplicación para Control de aplicaciones de acceso condicional.
2. Agregue los dominios de la aplicación y,a continuación, vuelva a la aplicación y actualice la página.
3. Instale los certificados de la aplicación.
Recognized Verá una página de incorporación en la que se le pedirá que continúe con el proceso de configuración de la aplicación. - Instale los certificados de la aplicación.

Nota: Asegúrese de que la aplicación está configurada con todos los dominios necesarios para que la aplicación funcione correctamente. Para configurar dominios adicionales, vaya a Agregar los dominios de laaplicación y, a continuación, vuelva a la página de la aplicación.

Para agregar una nueva aplicación

  1. En la barra de menús, haga clic en el icono de configuración del engranaje de configuración.y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. En el banner, haga clic en Ver nuevas aplicaciones.

    Vista de nuevas aplicaciones de control de aplicaciones de acceso condicional.

  3. En la lista de nuevas aplicaciones, para cada aplicación que se va a incorporar, haga clic en el signo y, a + continuación, haga clic en Agregar.

    Nota

    Si una aplicación no aparece en el catálogo de aplicaciones de Cloud App Security, aparecerá en la sección Aplicación no identificada del cuadro de diálogo junto con la dirección URL de inicio de sesión. Al hacer clic en el signo + en estas aplicaciones, puede incorporarlas como aplicación personalizada.

    Control de aplicaciones de acceso condicional detectado Azure AD aplicaciones.

<a name="to-add-domains-for-an-app">Para agregar dominios para una aplicación

La asociación de los dominios correctos a una aplicación Cloud App Security aplicar directivas y actividades de auditoría.

Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloquearán las descargas de archivos por parte de la aplicación de ese dominio. Sin embargo, las descargas de archivos de la aplicación desde dominios no asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.

Nota

Cloud App Security agrega un sufijo a los dominios no asociados a la aplicación para garantizar una experiencia de usuario sin problemas.

  1. Desde dentro de la aplicación, en la barra de herramientas Cloud App Security administrador, haga clic en Dominios detectados.

    Nota

    La barra de herramientas de administración solo es visible para los usuarios con permisos para incorporar o mantener aplicaciones.

  2. En el panel Dominios detectados, anote los nombres de dominio o exporte la lista como un .csv de dominio.

    Nota

    El panel muestra una lista de dominios detectados que no están asociados en la aplicación. Los nombres de dominio son completos.

  3. Vaya a Cloud App Security, en la barra de menús, haga clic en el icono de configuración del ![engranaje de configuración.](media/settings-icon.png "icono de configuración") y seleccione Control de aplicaciones de acceso condicional.
  4. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, en DETALLES DE LA APLICACIÓN, elija Editar.

    Sugerencia

    Para ver la lista de dominios configurados en la aplicación, haga clic en Ver dominios de aplicación.

  5. En Dominios definidos por el usuario, escriba todos los dominios que quiera asociar a esta aplicación y, a continuación, haga clic en Guardar.

    Nota

    Puede usar el carácter comodín * como marcador de posición para cualquier carácter. Al agregar dominios, decida si desea agregar dominios específicos ( sub1.contoso.com , ) o varios dominios ( sub2.contoso.com *.contoso.com ).

Para instalar certificados raíz

  1. Repita los pasos siguientes para instalar los certificados raíz autofirmados de ca actual y siguiente ca.

    1. Seleccione el certificado.
    2. Haga clic en Abrir y, cuando se le solicite, haga clic en Abrir de nuevo.
    3. Haga clic en Instalar certificado.
    4. Elija Usuario actual o Equipo local.
    5. Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en Examinar.
    6. Seleccione Entidades de certificación raíz de confianza y, a continuación, haga clic en Aceptar.
    7. Haga clic en Finalizar

    Nota

    Para que se reconozcan los certificados, una vez que haya instalado el certificado, debe reiniciar el explorador y ir a la misma página.

  2. Haga clic en Continue.

Paso 4: Comprobar que la aplicación funciona correctamente

  1. Compruebe que el flujo de inicio de sesión funciona correctamente.
  2. Una vez que se encuentra en la aplicación, realice las siguientes comprobaciones:
    1. Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de los usuarios y compruebe que las páginas se representan correctamente.
    2. Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente mediante la realización de acciones comunes como descargar y cargar archivos.
    3. Revise la lista de dominios asociados a la aplicación. Para obtener más información, vea Agregar los dominios de la aplicación.

Paso 5: Habilitar la aplicación para su uso en su organización

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de su organización, siga estos pasos.

  1. En Cloud App Security, haga clic en el icono de configuración del engranaje  de configuración. y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.

  3. Seleccione Usar con Control de aplicaciones de acceso condicional haga clic en Guardar.

    Habilitar el menú emergente de controles de sesión.

Paso 6: Actualizar la directiva Azure AD (solo Azure AD)

  1. En Azure AD, en Seguridad , haga clic en Acceso condicional.
  2. Actualice la directiva que creó anteriormente para incluir los usuarios, grupos y controles pertinentes que necesite.
  3. En Session > Use Control de aplicaciones de acceso condicional, si seleccionó Usar directiva personalizada, vaya a Cloud App Security y cree una directiva de sesión correspondiente. Para obtener más información, consulte Directivas de sesión.

Pasos siguientes

Vea también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.