Eseguire l'onboarding e la distribuzione del controllo app per l'accesso condizionale per qualsiasi app Web usando Active Directory Federation Services (AD FS) come provider di identità (IDP)

Nota

• Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

• Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile configurare i controlli sessione in Microsoft Defender for Cloud Apps per usare qualsiasi app Web e qualsiasi IDP non Microosoft. Questo articolo descrive come instradare le sessioni dell'app da AD FS a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso dei controlli sessione di app Defender per il cloud.

Prerequisiti

• L'organizzazione deve disporre delle licenze seguenti per l'uso del controllo app di accesso condizionale:

  • Ambiente AD FS preconfigurato
  • Microsoft Defender for Cloud Apps

• Configurazione dell'accesso Single Sign-On di AD FS esistente per l'app usando il protocollo di autenticazione SAML 2.0

Nota

I passaggi seguenti si applicano a tutte le versioni di AD FS eseguite nella versione supportata di Windows Server.

Per configurare i controlli sessione per l'app usando AD FS come IDP

Seguire questa procedura per instradare le sessioni dell'app Web da AD FS a app Defender per il cloud. Per i passaggi di configurazione di Azure AD, vedere Eseguire l'onboarding e distribuire il controllo app per l'accesso condizionale per le app personalizzate usando Azure Active Directory.

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da AD FS usando uno dei metodi seguenti:

• Opzione 1: Caricamento del file di metadati SAML dell'app.
• Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni dell'accesso Single Sign-On SAML dell'app

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare una nuova configurazione di trust e Sign-On single Sign-On di Ad FS Relying Party

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app AD FS

Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione in app Defender per il cloud

Passaggio 1: Ottenere le impostazioni dell'accesso Single Sign-On SAML dell'app

1. In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni.

2. In Single Sign-On Impostazioni fare clic sul nome della configurazione di AD FS esistente.

   

3. Nella pagina Impostazione single Sign-On SAML prendere nota dell'URL di accesso Salesforce. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app di Defender per il cloud.

   Nota

   Se l'app fornisce un certificato SAML, scaricare il file di certificato.

   

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

1. In app Defender per il cloud passare a Esaminare>le app connessecontrollo app> di accesso condizionale.

2. Fare clic sul segno più e nella finestra popup selezionare l'app da distribuire e quindi fare clic su Avvia procedura guidata.

3. Nella pagina INFORMAZIONI APP selezionare Inserisci dati manualmente, nell'URL del servizio consumer asserzione immettere l'URL di accesso Salesforce annotato in precedenza e quindi fare clic su Avanti.

   Nota

   Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file di certificato.

   

Passaggio 3: Creare una nuova configurazione di trust e Sign-On di ad FS Relying Party

Nota

Per limitare il tempo di inattività dell'utente finale e mantenere la configurazione valida esistente, è consigliabile creare una nuova configurazione di trust di Relying Party e Single Sign-On. Se non è possibile, ignorare i passaggi pertinenti. Ad esempio, se l'app configurata non supporta la creazione di più configurazioni di Sign-On single Sign-On, ignorare il passaggio crea nuovo accesso Single Sign-On.

1. Nella console di gestione di AD FS , in Trust di Relying Party, visualizzare le proprietà dell'attendibilità della relying party esistente per l'app e prendere nota delle impostazioni.

2. In azioni, fare clic su Aggiungi attendibilità. Oltre al valore identificatore che deve essere un nome univoco, configurare il nuovo trust usando le impostazioni indicate in precedenza. Questa attendibilità sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

3. Aprire il file di metadati della federazione e prendere nota del percorso SingleSignOnService di AD FS. che sarà necessario più avanti.

   Nota

   È possibile usare l'endpoint seguente per accedere al file di metadati federativo: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. Scaricare il certificato di firma del provider di identità. che sarà necessario più avanti.

   1. In Certificati dei servizi> fare clic con il pulsante destro del mouse sul certificato di firma di AD FS e quindi scegliere Visualizza certificato.

      

   2. Nella scheda dettagli del certificato fare clic su Copia in file e seguire la procedura descritta nella Procedura guidata Esportazione certificati per esportare il certificato come base-64 codificato X.509 (. File CER.

      

5. Tornare in Salesforce, nella pagina delle impostazioni di Accesso Single Sign-On di AD FS esistente prendere nota di tutte le impostazioni.

6. Creare una nuova configurazione dell'accesso Single Sign-On SAML. Oltre al valore Entity ID che deve corrispondere all'identificatore di attendibilità della relying party, configurare l'accesso Single Sign-On usando le impostazioni indicate in precedenza. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app di Defender per il cloud.

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app AD FS

1. Nella pagina Defender per il cloud Apps IDENTITY PROVIDER fare clic su Avanti per procedere.

2. Nella pagina successiva selezionare Inserisci dati manualmente, eseguire le operazioni seguenti e quindi fare clic su Avanti.

   • Per l'URL del servizio Single Sign-On immettere l'URL di accesso Salesforce annotato in precedenza.
   • Selezionare Upload certificato SAML del provider di identità e caricare il file di certificato scaricato in precedenza.

   

3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi fare clic su Avanti. Saranno necessarie le informazioni in un secondo momento.

   • URL di accesso Single Sign-On di app Defender per il cloud
   • Defender per il cloud Attributi e valori delle app

   Nota

   Se viene visualizzata un'opzione per caricare il certificato SAML delle app Defender per il cloud per il provider di identità, fare clic sul collegamento per scaricare il file del certificato. che sarà necessario più avanti.

   

Passaggio 5: Completare la configurazione dell'attendibilità della relying party di AD FS

1. Nella console di gestione di AD FS fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi scegliere Modifica criterio di rilascio attestazioni.

   

2. Nella finestra di dialogo Modifica criteri di rilascio attestazioni usare le informazioni fornite nella tabella seguente per completare i passaggi per creare regole personalizzate.

   Nome regola attestazione	Regola personalizzata
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>");dove <value> è il valore McasSigningCert dalla procedura guidata app di Defender per il cloud annotata in precedenza
   McasAppId	=> issue(type="McasAppId", value="<value>");è il valore McasAppId dalla procedura guidata app di Defender per il cloud annotata in precedenza

   1. Fare clic su Aggiungi regola, in Modello regolaattestazione selezionare Invia attestazioni usando una regola personalizzata e quindi fare clic su Avanti.
   2. Nella pagina Configura regola immettere il rispettivo nome della regola attestazione e la regola personalizzata specificata.

   Nota

   Queste regole sono oltre a tutte le regole o gli attributi attestazioni richiesti dall'app che si sta configurando.

3. Nella pagina Trust relying party fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata in precedenza e quindi selezionare Proprietà.

4. Nella scheda Endpoint selezionare SAML Assertion Consumer Endpoint (Endpoint consumer di asserzione SAML), fare clic su Modifica e sostituire l'URL attendibile con l'URL single sign-on Defender per il cloud Apps annotato in precedenza e quindi fare clic su OK.

   

5. Se è stato scaricato un certificato SAML delle app di Defender per il cloud per il provider di identità, nella scheda Firma fare clic su Aggiungi e caricare il file del certificato e quindi fare clic su OK.

   

6. Salvare le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Nella pagina MODIFICHE APP Defender per il cloud app eseguire le operazioni seguenti, ma non fare clic su Fine. Le informazioni saranno necessarie in un secondo momento.

• Copiare l'URL single sign-on SAML di app Defender per il cloud
• Scaricare il certificato SAML delle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni e seguire questa procedura:

1. Consigliato: creare un backup delle impostazioni correnti.

2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

3. Upload il certificato SAML Defender per il cloud App scaricato in precedenza.

4. Fare clic su Salva.

   Nota

   Il certificato SAML Defender per il cloud Apps è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

Passaggio 8: Completare la configurazione in app Defender per il cloud

• Nella pagina MODIFICHE APP app Defender per il cloud fare clic su Fine. Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.

Passaggi successivi

« PREVIOUS: Deploy Conditional Access App Control for any apps

Vedere anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi dei controlli di accesso e di sessione

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.