Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése bármely webalkalmazáshoz a PingOne identitásszolgáltatóként (IDP)

  • Cikk

Az Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással és nem Microsoft-identitásszolgáltatóval működjenek. Ez a cikk azt ismerteti, hogyan irányíthatja át az alkalmazás munkameneteit a PingOne-ból Felhőhöz készült Defender Alkalmazások valós idejű munkamenet-vezérlőkhöz.

Ebben a cikkben a Salesforce alkalmazást használjuk példaként arra, hogy egy webalkalmazást konfigurálunk Felhőhöz készült Defender Alkalmazások munkamenet-vezérlőinek használatára. Más alkalmazások konfigurálásához hajtsa végre ugyanazokat a lépéseket a követelményeknek megfelelően.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Megfelelő PingOne-licenc (az egyszeri bejelentkezéshez szükséges)
    • Microsoft Defender for Cloud Apps

  • Meglévő PingOne egyszeri bejelentkezési konfiguráció az alkalmazáshoz az SAML 2.0 hitelesítési protokoll használatával

Az alkalmazás munkamenet-vezérlőinek konfigurálása PingOne-nal idP-ként

Az alábbi lépésekkel átirányíthatja a webalkalmazás-munkameneteket a PingOne-ból a Felhőhöz készült Defender-alkalmazásokba. A Microsoft Entra konfigurációs lépéseit a Feltételes hozzáférésű alkalmazásvezérlő előkészítése és üzembe helyezése egyéni alkalmazásokhoz a Microsoft Entra ID azonosítójával című témakörben találja.

Feljegyzés

Az alkalmazás SAML egyszeri bejelentkezési adatait a PingOne az alábbi módszerek egyikével konfigurálhatja:

  • 1. lehetőség: Az alkalmazás SAML-metaadatfájljának feltöltése.
  • 2. lehetőség: Az alkalmazás SAML-adatainak manuális megadása.

A következő lépésekben a 2. lehetőséget fogjuk használni.

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

3. lépés: Egyéni alkalmazás létrehozása a PingOne-ban

4. lépés: Az Felhőhöz készült Defender-alkalmazások konfigurálása a PingOne alkalmazás adataival

5. lépés: Az egyéni alkalmazás befejezése a PingOne-ban

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

7. lépés: Az alkalmazás módosításainak végrehajtása

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

1. lépés: Az alkalmazás SAML egyszeri bejelentkezési beállításainak lekérése

  1. A Salesforce-ban keresse meg a Beállítás> Gépház> Adentitás>egyszeri bejelentkezés Gépház.

  2. Az egyszeri bejelentkezés Gépház területen válassza ki a meglévő SAML 2.0-konfiguráció nevét.

    Select Salesforce SSO settings.

  3. Az SAML egyszeri bejelentkezés beállítási lapján jegyezze fel a Salesforce bejelentkezési URL-címét. Később szüksége lesz rá.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, töltse le a tanúsítványfájlt.

    Select Salesforce SSO login URL.

2. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása az alkalmazás SAML-adataival

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.

  4. Az ALKALMAZÁSINFORMÁCIÓk lapon válassza az Adatok manuális kitöltése lehetőséget, az Assertion fogyasztói szolgáltatás URL-címében adja meg a korábban feljegyzett Salesforce bejelentkezési URL-címet, majd válassza a Tovább gombot.

    Feljegyzés

    Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Manually fill in Salesforce SAML information.

3. lépés: Egyéni alkalmazás létrehozása a PingOne-ban

A folytatás előtt az alábbi lépésekkel szerezhet be információkat a meglévő Salesforce-alkalmazásból.

  1. A PingOne-ban szerkessze a meglévő Salesforce-alkalmazást.

  2. Az SSO attribútumleképezés oldalán jegyezze fel a SAML_SUBJECT attribútumot és értéket, majd töltse le az aláíró tanúsítványt és az SAML metaadatfájlokat.

    Note existing Salesforce app's attributes.

  3. Nyissa meg az SAML metaadatfájlt, és jegyezze fel a PingOne SingleSignOnService helyét. Később szüksége lesz rá.

    Note existing Salesforce app's SSO service location.

  4. A Csoporthozzáférés lapon jegyezze fel a hozzárendelt csoportokat.

    Note existing Salesforce app's assigned groups.

Ezután a SAML-alkalmazás hozzáadása identitásszolgáltatói oldallal való használatához konfiguráljon egy egyéni alkalmazást az identitásszolgáltató portálján.

Add SAML app with your identity provider.

Feljegyzés

Az egyéni alkalmazások konfigurálása lehetővé teszi a meglévő alkalmazás tesztelését hozzáférés- és munkamenet-vezérlőkkel anélkül, hogy módosítaná a szervezet jelenlegi viselkedését.

  1. Hozzon létre egy új SAML-alkalmazást.

    In PingOne, create new custom Salesforce app.

  2. Az Alkalmazás részletei lapon töltse ki az űrlapot, majd válassza a Tovább a következő lépésre lehetőséget.

    Tipp.

    Használjon egy alkalmazásnevet, amely segít megkülönböztetni az egyéni alkalmazást és a meglévő Salesforce-alkalmazást.

    Fill out the custom app details.

  3. Az Alkalmazáskonfiguráció lapon tegye a következőket, majd válassza a Tovább a következő lépésre lehetőséget.

    • Az Assertion Consumer Service (ACS) mezőbe írja be a Korábban feljegyzett Salesforce bejelentkezési URL-címet.
    • Az Entitásazonosító mezőben adjon meg egy egyedi azonosítót a következővel kezdődőenhttps://: Győződjön meg arról, hogy ez eltér a Salesforce PingOne alkalmazás konfigurációjától.
    • Jegyezze fel az entitásazonosítót. Később szüksége lesz rá.

    Configure custom app with Salesforce SAML details.

  4. Az SSO attribútumleképezés lapján adja hozzá a meglévő Salesforce-alkalmazás SAML_SUBJECT korábban feljegyzett attribútumát és értékét, majd válassza a Folytatás a következő lépéshez lehetőséget.

    Add attributes to custom Salesforce app.

  5. A Csoporthozzáférés lapon adja hozzá a korábban feljegyzett Meglévő Salesforce-alkalmazáscsoportokat, és fejezze be a konfigurációt.

    Assign groups to custom Salesforce app.

4. lépés: Felhőhöz készült Defender-alkalmazások konfigurálása a PingOne alkalmazás adataival

  1. A folytatáshoz válassza a Tovább gombot az Felhőhöz készült Defender Alkalmazások IDENTITÁSSZOLGÁLTATÓja lapon.

  2. A következő lapon válassza az Adatok manuális kitöltése lehetőséget, végezze el a következőt, majd válassza a Tovább gombot.

    • Az Assertion fogyasztói szolgáltatás URL-címeként adja meg a Korábban feljegyzett Salesforce bejelentkezési URL-címet.
    • Válassza az Identitásszolgáltató SAML-tanúsítványának feltöltése lehetőséget, és töltse fel a korábban letöltött tanúsítványfájlt.

    Add SSO service URL and SAML certificate.

  3. A következő lapon jegyezze fel a következő információkat, majd válassza a Tovább gombot. Később szüksége lesz az információkra.

    • Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címe
    • Felhőhöz készült Defender Alkalmazások attribútumai és értékei

    In Defender for Cloud Apps, note SSO URL and attributes.

5. lépés: Az egyéni alkalmazás befejezése a PingOne-ban

  1. A PingOne-ban keresse meg és szerkessze az egyéni Salesforce alkalmazást.

    Locate and edit custom Salesforce app.

  2. Az Assertion Consumer Service (ACS) mezőben cserélje le az URL-címet a korábban feljegyzett Felhőhöz készült Defender Apps egyszeri bejelentkezési URL-címre, majd válassza a Tovább gombot.

    Replace ACS in custom Salesforce app.

  3. Adja hozzá a korábban feljegyzett Felhőhöz készült Defender Apps attribútumokat és értékeket az alkalmazás tulajdonságaihoz.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Mentse el a beállításokat.

6. lépés: Az alkalmazás módosításainak lekérése az Felhőhöz készült Defender-alkalmazásokban

Az Felhőhöz készült Defender Apps APP CHANGES lapján tegye a következőket, de ne válassza a Befejezés lehetőséget. Később szüksége lesz az információkra.

  • A Felhőhöz készült Defender Apps SAML egyszeri bejelentkezési URL-címének másolása
  • Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

7. lépés: Az alkalmazás módosításainak végrehajtása

A Salesforce-ban keresse meg a Telepítő> Gépház> Adentitás>egyszeri bejelentkezés Gépház, és tegye a következőket:

  1. Ajánlott: Készítsen biztonsági másolatot az aktuális beállításokról.

  2. Cserélje le az identitásszolgáltató bejelentkezési URL-címének értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.

  3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.

  4. Cserélje le az Entitásazonosító mező értékét a Korábban feljegyzett PingOne egyéni alkalmazás entitásazonosítóra.

  5. Válassza a Mentés parancsot.

    Feljegyzés

    A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

8. lépés: A konfiguráció befejezése az Felhőhöz készült Defender Appsben

  • Az Felhőhöz készült Defender Apps APP CHANGES lapján válassza a Befejezés lehetőséget. A varázsló befejezése után az alkalmazáshoz társított összes bejelentkezési kérés a feltételes hozzáférésű alkalmazásvezérlőn keresztül lesz átirányítva.

Következő lépések

« ELŐZŐ: Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése bármely alkalmazáshoz

Lásd még

Bevezetés a feltételes hozzáférésű alkalmazásvezérlésbe

Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.