Intégrer et déployer des contrôle d’application par accès conditionnel pour n’importe quelle application Web utilisant services de fédération Active Directory (AD FS) (AD FS) en tant que fournisseur d’identité (IdP)

S’applique à : Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour. Nous allons très prochainement mettre à jour les noms des produits et des documents.

Vous pouvez configurer des contrôles de session dans Microsoft Cloud App Security pour fonctionner avec n’importe quelle application Web et n’importe quel fournisseur tiers. Cet article explique comment acheminer des sessions d’application à partir de AD FS vers Cloud App Security pour les contrôles de session en temps réel.

Pour cet article, nous allons utiliser l’application Salesforce comme exemple d’application Web configurée pour utiliser des contrôles de session Cloud App Security.

Prérequis

  • Votre organisation doit disposer des licences suivantes pour utiliser contrôle d’application par accès conditionnel :

    • Un environnement préconfiguré AD FS
    • Microsoft Cloud App Security
  • Une configuration d’authentification unique AD FS existante pour l’application à l’aide du protocole d’authentification SAML 2,0

Pour configurer des contrôles de session pour votre application à l’aide de AD FS comme IdP

Suivez les étapes ci-dessous pour acheminer vos sessions d’application Web de AD FS vers Cloud App Security. Pour Azure AD étapes de configuration, consultez configurer l’intégration avec Azure ad.

Notes

Vous pouvez configurer les informations d’authentification unique SAML de l’application fournies par AD FS à l’aide de l’une des méthodes suivantes :

  • Option 1: chargement du fichier de métadonnées SAML de l’application.
  • Option 2: fourniture manuelle des données SAML de l’application.

Dans les étapes suivantes, nous allons utiliser l’option 2.

Étape 1 : obtenir les paramètres d’authentification unique SAML de votre application

Étape 2 : configurer Cloud App Security avec les informations SAML de votre application

Étape 3 : créer une nouvelle AD FS approbation de partie de confiance et une configuration d’application Sign-On unique

Étape 4 : configurer Cloud App Security avec les informations de l’application AD FS

Étape 5 : terminer la configuration de l’approbation de la partie de confiance AD FS

Étape 6 : obtenir les modifications apportées à l’application dans Cloud App Security

Étape 7 : terminer les modifications de l’application

Étape 8 : terminer la configuration dans Cloud App Security

Étape 1 : obtenir les paramètres d’authentification unique SAML de votre application

  1. Dans Salesforce, accédez à > paramètres paramètres > identité > unique Sign-On paramètres.

  2. Sous paramètres d' Sign-On unique, cliquez sur le nom de votre configuration de AD FS existante.

    Sélectionner les paramètres d’authentification unique Salesforce

  3. Sur la page du paramètre de Sign-On unique SAML , notez l’URL de connexion Salesforce. Vous en aurez besoin plus tard lors de la configuration de Cloud App Security.

    Notes

    Si votre application fournit un certificat SAML, téléchargez le fichier de certificat.

    Sélectionner l’URL de connexion d’authentification unique Salesforce

Étape 2 : configurer Cloud App Security avec les informations SAML de votre application

  1. Dans Cloud App Security, accédez à examiner > applications connectées > contrôle d’application par accès conditionnel applications.

  2. Cliquez sur le signe plus, puis dans la fenêtre contextuelle, sélectionnez l’application que vous souhaitez déployer, puis cliquez sur Démarrer l’Assistant.

  3. Dans la page informations sur l’application, sélectionnez remplir les données manuellement, dans l’URL du service consommateur d’assertion , entrez l’URL de connexion Salesforce que vous avez notée précédemment, puis cliquez sur suivant.

    Notes

    Si votre application fournit un certificat SAML, sélectionnez utiliser <app_name> certificat SAML et chargez le fichier de certificat.

    Renseignez manuellement les informations SAML Salesforce

Étape 3 : créer une nouvelle AD FS approbation de partie de confiance et une configuration d’application Sign-On unique

Notes

Pour limiter les temps d’arrêt de l’utilisateur final et conserver votre configuration existante connue, nous vous recommandons de créer une nouvelle approbation de partie de confiance et une seule configuration de Sign-On. Si ce n’est pas possible, ignorez les étapes pertinentes. Par exemple, si l’application que vous configurez ne prend pas en charge la création de plusieurs configurations de Sign-On unique, ignorez l’étape créer une nouvelle authentification unique.

  1. Dans la console de gestion AD FS , sous approbations de partie de confiance, affichez les propriétés de votre approbation de partie de confiance existante pour votre application et notez les paramètres.

  2. Sous actions, cliquez sur Ajouter une approbation de partie de confiance. En dehors de la valeur d' identificateur qui doit être un nom unique, configurez la nouvelle approbation à l’aide des paramètres que vous avez notés précédemment. Vous aurez besoin de cette approbation plus tard lors de la configuration de Cloud App Security.

  3. Ouvrez le fichier de métadonnées de Fédération et prenez note de l’emplacement de l’AD FS connexion. Vous en aurez besoin plus tard.

    Notes

    Vous pouvez utiliser le point de terminaison suivant pour accéder à votre fichier de métadonnées de Fédération : https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Notez l’emplacement du service SSO de l’application Salesforce existante

  4. Téléchargez le certificat de signature du fournisseur d’identité. Vous en aurez besoin plus tard.

    1. Sous > certificats de services, cliquez avec le bouton droit sur le certificat de signature AD FS, puis sélectionnez afficher le certificat.

      Afficher les propriétés du certificat de signature IdP

    2. Dans l’onglet Détails du certificat, cliquez sur copier dans un fichier et suivez les étapes de l' Assistant exportation de certificat pour exporter votre certificat sous la forme d’un X. 509 encodé en base 64 (. CER) .

      Enregistrer le fichier de certificat de signature IdP

  5. De retour dans Salesforce, dans la page AD FS des paramètres d’authentification unique existants, prenez note de tous les paramètres.

  6. Créez une nouvelle configuration de l’authentification unique SAML. En dehors de la valeur d' ID d’entité qui doit correspondre à l' identificateur d’approbation de la partie de confiance, configurez l’authentification unique à l’aide des paramètres que vous avez notés précédemment. Vous en aurez besoin plus tard lors de la configuration de Cloud App Security.

Étape 4 : configurer Cloud App Security avec les informations de l’application AD FS

  1. De retour dans la page Cloud App Security fournisseur d’identité , cliquez sur suivant pour continuer.

  2. Sur la page suivante, sélectionnez remplir les données manuellement, effectuez les opérations suivantes, puis cliquez sur suivant.

    • Pour l' URL du service d’authentification unique, entrez l' URL de connexion Salesforce que vous avez notée précédemment.
    • Sélectionnez Télécharger le certificat SAML du fournisseur d’identité et téléchargez le fichier de certificat que vous avez téléchargé précédemment.

    Ajouter l’URL du service SSO et le certificat SAML

  3. Sur la page suivante, prenez note des informations suivantes, puis cliquez sur suivant. Vous aurez besoin des informations ultérieurement.

    • URL d’authentification unique Cloud App Security
    • Attributs et valeurs de Cloud App Security

    Notes

    Si vous voyez une option permettant de télécharger le certificat SAML Cloud App Security pour le fournisseur d’identité, cliquez sur le lien pour télécharger le fichier de certificat. Vous en aurez besoin plus tard.

    Dans Cloud App Security, notez les attributs et URL SSO

Étape 5 : terminer la configuration de l’approbation de la partie de confiance AD FS

  1. Dans la console de gestion de AD FS , cliquez avec le bouton droit sur l’approbation de la partie de confiance que vous avez créée précédemment, puis sélectionnez Modifier la stratégie d’émission de revendication.

    Rechercher et modifier l’émission de la revendication d’approbation de confiance

  2. Dans la boîte de dialogue modifier la stratégie d’émission de revendication , sous règles de transformation d' émission, utilisez les informations fournies dans le tableau suivant pour effectuer les étapes de création de règles personnalisées.

    Nom de la règle de revendication Règle personnalisée
    McasSigningCert => issue(type="McasSigningCert", value="<value>");<value> est la valeur McasSigningCert de l’Assistant Cloud App Security que vous avez notée précédemment
    McasAppId => issue(type="McasAppId", value="<value>"); est la valeur McasAppId de l’Assistant Cloud App Security que vous avez notée précédemment
    1. Cliquez sur Ajouter une règle, sous modèle de règle de revendication , sélectionnez Envoyer des revendications à l’aide d’une règle personnalisée, puis cliquez sur suivant.
    2. Dans la page configurer la règle , entrez le nom de la règle de revendication respective et la règle personnalisée fournie.

    Notes

    Ces règles s’ajoutent aux règles de revendication ou aux attributs requis par l’application que vous configurez.

  3. De retour sur la page approbation de la partie de confiance , cliquez avec le bouton droit sur l’approbation de la partie de confiance que vous avez créée précédemment, puis sélectionnez Propriétés.

  4. Sous l’onglet points de terminaison , sélectionnez point de terminaison consommateur d’assertion SAML, cliquez sur modifier et remplacez l' URL approuvée par la Cloud App Security URL d’authentification unique que vous avez notée précédemment, puis cliquez sur OK.

    Mettre à jour les propriétés du point de terminaison d’approbation de confiance URL approuvée

  5. Si vous avez téléchargé un certificat SAML Cloud App Security pour le fournisseur d’identité, sous l’onglet signature , cliquez sur Ajouter et chargez le fichier de certificat, puis cliquez sur OK.

    Mettre à jour les propriétés de la signature d’approbation de confiance certificat SAML

  6. Enregistrez vos paramètres.

Étape 6 : obtenir les modifications apportées à l’application dans Cloud App Security

De retour dans la page modifications de l' application Cloud App Security, procédez comme suit, mais ne cliquez pas sur Terminer. Vous aurez besoin des informations ultérieurement.

  • Copier l’URL d’authentification unique SAML Cloud App Security
  • Télécharger le certificat SAML Cloud App Security

Notez le Cloud App Security URL SSO SAML et téléchargez le certificat

Étape 7 : terminer les modifications de l’application

Dans Salesforce, accédez à > paramètres paramètres > identité > unique Sign-On paramètres, puis procédez comme suit :

  1. Recommandé : créez une sauvegarde de vos paramètres actuels.

  2. Remplacez la valeur du champ URL de connexion du fournisseur d’identité par la Cloud App Security URL d’authentification unique SAML que vous avez notée précédemment.

  3. Téléchargez le certificat SAML Cloud App Security que vous avez téléchargé précédemment.

  4. Cliquez sur Enregistrer.

    Notes

    Le certificat SAML Cloud App Security est valide pendant un an. Après son expiration, un nouveau certificat doit être généré.

Étape 8 : terminer la configuration dans Cloud App Security

  • De retour dans la page modifications de l' application Cloud App Security, cliquez sur Terminer. Une fois l’Assistant terminé, toutes les demandes de connexion associées à cette application sont acheminées via contrôle d’application par accès conditionnel.

Étapes suivantes

Voir aussi

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.