Incorporación e implementación de Control de aplicaciones de acceso condicional para cualquier aplicación web mediante Servicios de federación de Active Directory (AD FS) (AD FS) como proveedor de identidades (IdP)

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

Puede configurar controles de sesión en Microsoft Defender para Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP de terceros. En este artículo se describe cómo enrutar sesiones de aplicaciones de AD FS a Defender for Cloud Apps para controles de sesión en tiempo real.

En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se está configurando para usar controles de sesión de Defender para Cloud Apps.

Prerrequisitos

  • Su organización debe tener las siguientes licencias para usar Control de aplicaciones de acceso condicional:

    • Un entorno de AD FS configurado previamente
    • Microsoft Defender for Cloud Apps
  • Una configuración AD FS de inicio de sesión único existente para la aplicación mediante el protocolo de autenticación SAML 2.0

Nota

Los pasos siguientes se aplican a todas las versiones de AD FS que se ejecutan en la versión compatible de Windows Server.

Para configurar controles de sesión para la aplicación mediante AD FS como IdP

Siga estos pasos para enrutar las sesiones de la aplicación web AD FS a Defender para Cloud Apps. Para Azure AD de configuración, consulte Configuración de la integración con Azure AD.

Nota

Puede configurar la información de inicio de sesión único de SAML de la aplicación AD FS uno de los métodos siguientes:

  • Opción 1:Carga del archivo de metadatos saml de la aplicación.
  • Opción 2:proporcionar manualmente los datos SAML de la aplicación.

En los pasos siguientes, usaremos la opción 2.

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

Paso 2: Configuración de Defender para Cloud Apps con la información de SAML de la aplicación

Paso 3: Crear una nueva configuración AD FS usuario de confianza para usuario Sign-On usuario Sign-On usuario de confianza

Paso 4: Configuración de Defender para Cloud Apps con la AD FS de la aplicación

Paso 5: Completar la configuración de la relación de confianza AD FS usuario de confianza

Paso 6: Obtener los cambios de la aplicación en Defender para Cloud Apps

Paso 7: Completar los cambios de la aplicación

Paso 8: Completar la configuración en Defender para Cloud Apps

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

  1. En Salesforce, vaya a SetupConfiguraciónIdentitySingle Sign-On Configuración.

  2. En Single Sign-On Configuración,haga clic en el nombre de la configuración de AD FS existente.

    Seleccione Configuración del inicio de sesión único de Salesforce.

  3. En la página Saml Single Sign-On Setting (Configuración de inicio de sesión único de SAML), tome nota de la dirección URL de inicio de sesión deSalesforce . Lo necesitará más adelante al configurar Defender para Cloud Apps.

    Nota

    Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.

    Seleccione Dirección URL de inicio de sesión de Salesforce SSO.

Paso 2: Configuración de Defender para Cloud Apps con la información de SAML de la aplicación

  1. En Defender para Aplicaciones en la nube, vaya a Investigaraplicaciones conectadasControl de aplicaciones de acceso condicional aplicaciones .

  2. Haga clic en el signo más y, en el menú emergente, seleccione la aplicación que desea implementar y, a continuación, haga clic en Asistente para inicio.

  3. En la página INFORMACIÓN DE LA APLICACIÓN, seleccione Rellenar datos manualmente,en la dirección URL del servicio de consumidor de aserciones, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, haga clic en Siguiente.

    Nota

    Si la aplicación proporciona un certificado SAML, seleccione Usar app_name certificado > SAML y cargue el archivo de certificado.

    Rellene manualmente la información de Salesforce SAML.

Paso 3: Crear una nueva configuración AD FS usuario de confianza para usuario Sign-On usuario Sign-On usuario de confianza

Nota

Para limitar el tiempo de inactividad del usuario final y conservar la configuración buena conocida existente, se recomienda crear una nueva configuración de confianza para usuario autenticado Sign-On usuario único. Cuando esto no sea posible, omita los pasos pertinentes. Por ejemplo, si la aplicación que está configurando no admite la creación de varias configuraciones de single Sign-On, omita el paso create new single sign-on (Crear nuevo inicio de sesión único).

  1. En la consola AD FS Management, en Confianzaspara usuario de confianza, vea las propiedades de la relación de confianza para usuario de confianza existente para la aplicación y tome nota de la configuración.

  2. En Acciones, haga clic en Agregar relación de confianza para usuario de confianza. Además del valor identificador que debe ser un nombre único, configure la nueva confianza con la configuración que anotó anteriormente. Necesitará esta confianza más adelante al configurar Defender para Cloud Apps.

  3. Abra el archivo de metadatos de federación y tome nota de la AD FS Ubicación de SingleSignOnService. Lo necesitará más adelante.

    Nota

    Puede usar el siguiente punto de conexión para acceder al archivo de metadatos de federación: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Tenga en cuenta la ubicación del servicio SSO de la aplicación Salesforce existente.

  4. Descargue el certificado de firma del proveedor de identidades. Lo necesitará más adelante.

    1. En Certificadosde servicios , haga clic con el botón derecho en AD FS certificado de firma y, a continuación, seleccione Ver certificado.

      Ver las propiedades del certificado de firma de IdP.

    2. En la pestaña de detalles del certificado, haga clic en Copiar en archivo y siga los pasos del Asistente para exportación de certificados para exportar el certificado como X.509 codificado en Base 64 (. CER).

      Guarde el archivo de certificado de firma de IdP.

  5. De vuelta en Salesforce, en la página AD FS configuración de inicio de sesión único existente, tome nota de toda la configuración.

  6. Cree una nueva configuración de inicio de sesión único de SAML. Además del valor de Id. de entidad que debe coincidir con el identificador de confianza para usuario autenticado, configure el inicio de sesión único con la configuración que anotó anteriormente. Lo necesitará más adelante al configurar Defender para Cloud Apps.

Paso 4: Configuración de Defender para Cloud Apps con la AD FS de la aplicación

  1. De nuevo en la página Proveedor de identidades de Defender for Cloud Apps, haga clic en Siguiente para continuar.

  2. En la página siguiente, seleccione Rellenar datos manualmente,haga lo siguiente y, a continuación, haga clic en Siguiente.

    • En Dirección URL del servicio de inicio de sesiónúnico, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • Seleccione Upload certificado SAML del proveedor de identidades y cargue el archivo de certificado que descargó anteriormente.

    Agregue la dirección URL del servicio SSO y el certificado SAML.

  3. En la página siguiente, tome nota de la siguiente información y, a continuación, haga clic en Siguiente. Necesitará la información más adelante.

    • Dirección URL de inicio de sesión único de Defender for Cloud Apps
    • Atributos y valores de Defender para Cloud Apps

    Nota

    Si ve una opción para cargar el certificado SAML de Defender para Cloud Appspara el proveedor de identidades, haga clic en el vínculo para descargar el archivo de certificado. Lo necesitará más adelante.

    En Defender para Cloud Apps, tenga en cuenta la dirección URL y los atributos de SSO.

Paso 5: Completar la configuración de la relación de confianza AD FS usuario de confianza

  1. De nuevo en la consola AD FS Management, haga clic con el botón derecho en la relación de confianza para usuario de confianza que creó anteriormente y, a continuación, seleccione Editar directiva de emisión de notificación.

    Busque y edite la emisión de notificación de confianza de confianza.

  2. En el cuadro de diálogo Editar directiva de emisión de notificación, en Reglasde transformación de emisión , use la información proporcionada en la tabla siguiente para completar los pasos para crear reglas personalizadas.

    Nombre de la regla de notificación Regla personalizada
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); donde <value> es el valor => issue(type="McasSigningCert", value="<value>"); del asistente defender para aplicaciones en la nube que anotó anteriormente
    McasAppId => issue(type="McasAppId", value="<value>"); es el => issue(type="McasAppId", value="<value>"); del asistente defender para aplicaciones en la nube que anotó anteriormente.
    1. Haga clic en Agregar regla, en Plantilla de regla de notificación,seleccione Enviar notificaciones mediante una regla personalizaday, a continuación, haga clic en Siguiente.
    2. En la página Configurar regla, escriba el nombre de la regla de notificación correspondiente y la regla personalizada proporcionada.

    Nota

    Estas reglas son adicionales a las reglas o atributos de notificación requeridos por la aplicación que está configurando.

  3. De nuevo en la página Relación de confianza para usuario de confianza, haga clic con el botón derecho en la relación de confianza de usuario de confianza que creó anteriormente y, a continuación, seleccione Propiedades.

  4. En la pestaña Puntos de conexión, seleccione Saml Assertion Consumer Endpoint (Punto de conexión de consumidor de aserciones de SAML),haga clic en Editar y reemplace la dirección URL de confianza por la dirección URL de inicio de sesión único de Defender for Cloud Apps que anotó anteriormente y, a continuación, haga clic en Aceptar.

    Actualice las propiedades del punto de conexión de confianza De confianza Url de confianza.

  5. Si descargó un certificado SAML de Defender for Cloud Appspara el proveedor de identidades , en la pestaña Firma , haga clic en Agregar y cargue el archivo de certificado y, a continuación, haga clic en Aceptar.

    Actualice las propiedades de firma de confianza certificado SAML.

  6. Guarde la configuración.

Paso 6: Obtener los cambios de la aplicación en Defender para Cloud Apps

De nuevo en la página Cambios en la aplicación de Defender para Cloud Apps, haga lo siguiente, pero no haga clic en Finalizar. Necesitará la información más adelante.

  • Copia de la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps
  • Descarga del certificado SAML de Defender para Cloud Apps

Anote la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps y descargue el certificado.

Paso 7: Completar los cambios de la aplicación

En Salesforce, vaya a SetupConfiguraciónIdentitySingle Sign-On Configuracióny haga lo siguiente:

  1. Recomendado: cree una copia de seguridad de la configuración actual.

  2. Reemplace el valor del campo Identity Provider Login URL (Dirección URL de inicio de sesión del proveedor de identidades) por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que anotó anteriormente.

  3. Upload certificado SAML de Defender para Cloud Apps que descargó anteriormente.

  4. Haga clic en Save(Guardar).

    Nota

    El certificado SAML de Defender para Cloud Apps es válido durante un año. Una vez que expire, deberá generarse un nuevo certificado.

Paso 8: Completar la configuración en Defender para Cloud Apps

  • De nuevo en la página Cambios en la aplicación de Defender para Cloud Apps, haga clic en Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través Control de aplicaciones de acceso condicional.

Pasos siguientes

Consulte también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.