Incorporación e implementación de Control de aplicaciones de acceso condicional para cualquier aplicación web mediante PingOne como proveedor de identidades (IdP)

Nota

Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

Puede configurar controles de sesión en Microsoft Defender para Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP de terceros. En este artículo se describe cómo enrutar sesiones de aplicación de PingOne a Defender para Cloud Apps para controles de sesión en tiempo real.

En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se está configurando para usar controles de sesión de Defender para Cloud Apps. Para configurar otras aplicaciones, realice los mismos pasos según sus requisitos.

Prerrequisitos

  • Su organización debe tener las siguientes licencias para usar Control de aplicaciones de acceso condicional:

    • Una licencia de PingOne pertinente (necesaria para el inicio de sesión único)
    • Microsoft Defender for Cloud Apps
  • Una configuración de inicio de sesión único de PingOne existente para la aplicación mediante el protocolo de autenticación SAML 2.0

Para configurar controles de sesión para la aplicación mediante PingOne como IdP

Siga estos pasos para enrutar las sesiones de aplicación web de PingOne a Defender para Cloud Apps. Para Azure AD de configuración, consulte Configuración de la integración con Azure AD.

Nota

Puede configurar la información de inicio de sesión único de SAML de la aplicación proporcionada por PingOne mediante uno de los métodos siguientes:

  • Opción 1:Carga del archivo de metadatos saml de la aplicación.
  • Opción 2:proporcionar manualmente los datos SAML de la aplicación.

En los pasos siguientes, usaremos la opción 2.

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

Paso 2: Configuración de Defender para Cloud Apps con la información de SAML de la aplicación

Paso 3: Creación de una aplicación personalizada en PingOne

Paso 4: Configuración de Defender para Cloud Apps con la información de la aplicación PingOne

Paso 5: Completar la aplicación personalizada en PingOne

Paso 6: Obtener los cambios de la aplicación en Defender para Cloud Apps

Paso 7: Completar los cambios de la aplicación

Paso 8: Completar la configuración en Defender para Cloud Apps

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

  1. En Salesforce, vaya a SetupConfiguraciónIdentitySingle Sign-On Configuración.

  2. En Single Sign-On Configuración,seleccione el nombre de la configuración de SAML 2.0 existente.

    Seleccione Configuración del inicio de sesión único de Salesforce.

  3. En la página Saml Single Sign-On Setting (Configuración de inicio de sesión único de SAML), tome nota de la dirección URL de inicio de sesión deSalesforce . Lo necesitará más adelante.

    Nota

    Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.

    Seleccione Dirección URL de inicio de sesión de Salesforce SSO.

Paso 2: Configuración de Defender para Cloud Apps con la información de SAML de la aplicación

  1. En Defender para Aplicaciones en la nube, vaya a Investigaraplicaciones conectadasControl de aplicaciones de acceso condicional aplicaciones .

  2. Seleccione el signo más ( ) y, en el menú emergente, seleccione la aplicación que desea implementar y, a + continuación, seleccione Asistente para +

  3. En la página INFORMACIÓN DE LA APLICACIÓN, seleccione Rellenar datos manualmente,en la dirección URL del servicio de consumidor de aserciones, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, seleccione Siguiente.

    Nota

    Si la aplicación proporciona un certificado SAML, seleccione Usar app_name certificado > SAML y cargue el archivo de certificado.

    Rellene manualmente la información de Salesforce SAML.

Paso 3: Creación de una aplicación personalizada en PingOne

Antes de continuar, siga estos pasos para obtener información de la aplicación Salesforce existente.

  1. En PingOne, edite la aplicación Salesforce existente.

  2. En la página Asignación de atributos sso, tome nota del atributo y el valor de SAML_SUBJECT y, a continuación, descargue los archivos de certificado de firma y metadatos de SAML.

    Tenga en cuenta los atributos de la aplicación Salesforce existente.

  3. Abra el archivo de metadatos de SAML y anote la ubicación de PingOne SingleSignOnService. Lo necesitará más adelante.

    Tenga en cuenta la ubicación del servicio SSO de la aplicación Salesforce existente.

  4. En la página Acceso a grupos, tome nota de los grupos asignados.

    Tenga en cuenta los grupos asignados de la aplicación Salesforce existentes.

A continuación, siga las instrucciones de la página Agregar una aplicación SAML con el proveedor de identidades para configurar una aplicación personalizada en el portal del IdP.

Agregue la aplicación SAML con el proveedor de identidades.

Nota

La configuración de una aplicación personalizada le permite probar la aplicación existente con controles de acceso y sesión sin cambiar el comportamiento actual de su organización.

  1. Cree una nueva aplicación SAML.

    En PingOne, cree una nueva aplicación de Salesforce personalizada.

  2. En la página Detalles de la aplicación, rellene el formulario y, a continuación, seleccione Continue to Next Step (Continuar hasta el paso siguiente).

    Sugerencia

    Use un nombre de aplicación que le ayude a diferenciar entre la aplicación personalizada y la aplicación salesforce existente.

    Rellene los detalles de la aplicación personalizada.

  3. En la página Configuración de la aplicación, haga lo siguiente y, a continuación, seleccione Continue to Next Step (Continuar hasta el paso siguiente).

    • En el campo Dirección URL del servicio de inicio de sesión único, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • En el campo Id. de entidad, escriba un identificador único que empiece por https://. Asegúrese de que esto es diferente de la configuración de la aplicación PingOne de Salesforce que sale.
    • Anote el identificador de entidad. Lo necesitará más adelante.

    Configuración de una aplicación personalizada con detalles de Salesforce SAML.

  4. En la página Asignación de atributos de SSO, agregue el atributo SAML_SUBJECT y el valor de la aplicación Salesforce existente que anotó anteriormente y, a continuación, seleccione Continue to Next Step (Continuar hasta el paso siguiente).

    Agregue atributos a una aplicación de Salesforce personalizada.

  5. En la página Acceso a grupos, agregue los grupos de la aplicación Salesforce existentes que anotó anteriormente y complete la configuración.

    Asigne grupos a una aplicación de Salesforce personalizada.

Paso 4: Configuración de Defender para Cloud Apps con la información de la aplicación PingOne

  1. De nuevo en la página Proveedor de identidades de Defender for Cloud Apps, seleccione Siguiente para continuar.

  2. En la página siguiente, seleccione Rellenar datos manualmente,haga lo siguiente y, a continuación, seleccione Siguiente.

    • En Assertion consumer service URL (Dirección URLdel servicio de consumidor de aserciones), escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • Seleccione Upload saml del proveedor de identidades y cargue el archivo de certificado que descargó anteriormente.

    Agregue la dirección URL del servicio SSO y el certificado SAML.

  3. En la página siguiente, tome nota de la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información más adelante.

    • Dirección URL de inicio de sesión único de Defender for Cloud Apps
    • Atributos y valores de Defender para Cloud Apps

    En Defender para Cloud Apps, tenga en cuenta la dirección URL y los atributos de SSO.

Paso 5: Completar la aplicación personalizada en PingOne

  1. En PingOne, busque y edite la aplicación salesforce personalizada.

    Busque y edite una aplicación de Salesforce personalizada.

  2. En el campo Assertion Consumer Service (ACS) (Servicio de consumidor de aserciones [ACS]), reemplace la dirección URL por la dirección URL de inicio de sesión único de Defender for Cloud Apps que anotó anteriormente y, a continuación, seleccione Siguiente.

    Reemplace ACS en una aplicación de Salesforce personalizada.

  3. Agregue los atributos y valores de Defender para Cloud Apps que anotó anteriormente a las propiedades de la aplicación.

    Agregue atributos de Defender para Cloud Apps a una aplicación de Salesforce personalizada.

  4. Guarde la configuración.

Paso 6: Obtener los cambios de la aplicación en Defender para Cloud Apps

De nuevo en la página Cambios en la aplicación de Defender para Cloud Apps, haga lo siguiente, pero no seleccione Finalizar. Necesitará la información más adelante.

  • Copia de la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps
  • Descarga del certificado SAML de Defender para Cloud Apps

Anote la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps y descargue el certificado.

Paso 7: Completar los cambios de la aplicación

En Salesforce, vaya a SetupConfiguraciónIdentitySingle Sign-On Configuracióny haga lo siguiente:

  1. Recomendado: cree una copia de seguridad de la configuración actual.

  2. Reemplace el valor del campo Identity Provider Login URL (Dirección URL de inicio de sesión del proveedor de identidades) por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que anotó anteriormente.

  3. Upload certificado SAML de Defender para Cloud Apps que descargó anteriormente.

  4. Reemplace el valor del campo Id. de entidad por el identificador de entidad de la aplicación personalizada PingOne que anotó anteriormente.

  5. Seleccione Guardar.

    Nota

    El certificado SAML de Defender para Cloud Apps es válido durante un año. Una vez que expire, deberá generarse un nuevo certificado.

    Actualice la aplicación salesforce personalizada con los detalles de SAML de Defender for Cloud Apps.

Paso 8: Completar la configuración en Defender para Cloud Apps

  • De nuevo en la página Cambios en la aplicación de Defender para Cloud Apps, seleccione Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través de Control de aplicaciones de acceso condicional.

Pasos siguientes

Consulte también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.