Eseguire l'onboarding e distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando Okta come provider di identità (IdP)

  • Articolo
  • 7 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile configurare i controlli sessione in Microsoft Defender for Cloud Apps per l'uso con qualsiasi app Web e con qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da Okta a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di controlli sessione Defender per il cloud Apps.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:

    • Un tenant Okta preconfigurato.
    • Microsoft Defender for Cloud Apps

  • Una configurazione di Single Sign-On Okta esistente per l'app usando il protocollo di autenticazione SAML 2.0

Per configurare i controlli sessione per l'app usando Okta come IdP

Usare la procedura seguente per instradare le sessioni dell'app Web da Okta a app Defender per il cloud. Per i passaggi di configurazione di Azure AD, vedere Onboarding and deploy Conditional Access App Control for custom apps using Azure Active Directory (Eseguire l'onboarding e la distribuzione di Controllo app per l'accesso condizionale per le app personalizzate usando Azure Active Directory).

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da Okta usando uno dei metodi seguenti:

  • Opzione 1: caricamento del file di metadati SAML dell'app.
  • Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare una nuova configurazione di Okta applicazione personalizzata e app singola Sign-On

Passaggio 4: Configurare le app di Defender per il cloud con le informazioni dell'app Okta

Passaggio 5: Completare la configurazione dell'applicazione personalizzata Okta

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione in app Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

  1. In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni.

  2. In Single Sign-On Impostazioni (Single Sign-On Impostazioni) fare clic sul nome della configurazione di Okta esistente.

    Select Salesforce SSO settings.

  3. Nella pagina SAML Single Sign-On Setting (Impostazione single Sign-On SAML) prendere nota dell'URL di accesso Salesforce. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

    Nota

    Se l'app fornisce un certificato SAML, scaricare il file del certificato.

    Select Salesforce SSO login URL.

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

  1. In Defender per il cloud App passare a Esaminare>le app> connesse App di controllo app perl'accesso condizionale.

  2. Fare clic sul segno più e nella finestra popup selezionare l'app da distribuire e quindi fare clic su Avvia procedura guidata.

  3. Nella pagina INFORMAZIONI APP selezionare Compila manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso Salesforce annotato in precedenza e quindi fare clic su Avanti.

    Nota

    Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Manually fill in Salesforce SAML information.

Passaggio 3: Creare una nuova configurazione di Okta applicazione personalizzata e Sign-On singola app

Nota

Per limitare il tempo di inattività dell'utente finale e mantenere la configurazione valida nota esistente, è consigliabile creare una nuova configurazione di applicazione personalizzata e single Sign-On. Se non è possibile, ignorare i passaggi pertinenti. Ad esempio, se l'app che si sta configurando non supporta la creazione di più configurazioni single Sign-On, ignorare il passaggio Crea nuovo accesso Single Sign-On.

  1. Nella console Okta Amministrazione, in Applicazioni visualizzare le proprietà della configurazione esistente per l'app e prendere nota delle impostazioni.

  2. Fare clic su Aggiungi applicazione e quindi su Crea nuova app. Oltre al valore URI gruppo di destinatari (ID entità SP) che deve essere un nome univoco, configurare la nuova applicazione usando le impostazioni annotate in precedenza. Questa applicazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

  3. Passare ad Applicazioni, visualizzare la configurazione di Okta esistente e nella scheda Accesso selezionare Visualizza istruzioni di installazione.

    Note existing Salesforce app's SSO service location.

  4. Prendere nota dell'URL single Sign-On del provider di identità e scaricare il certificato di firma del provider di identità (X.509). che sarà necessario più avanti.

  5. Tornare Salesforce, nella pagina delle impostazioni di Single Sign-On Okta esistente prendere nota di tutte le impostazioni.

  6. Creare una nuova configurazione di Single Sign-On SAML. Oltre al valore entity ID che deve corrispondere all'URI destinatari dell'applicazione personalizzata (ID entità SP), configurare l'accesso Single Sign-On usando le impostazioni annotate in precedenza. Questa operazione sarà necessaria in un secondo momento durante la configurazione di app Defender per il cloud.

  7. Dopo aver salvato la nuova applicazione, passare alla pagina Assegnazioni e assegnare le persone o i gruppi che richiedono l'accesso all'applicazione.

ׂ

Passaggio 4: Configurare app Defender per il cloud con le informazioni dell'app Okta

  1. Nella pagina Defender per il cloud Provider di identità delle app fare clic su Avanti per continuare.

  2. Nella pagina successiva selezionare Compilare manualmente i dati, eseguire le operazioni seguenti e quindi fare clic su Avanti.

    • Per l'URL del servizio Single Sign-On immettere l'URL di accesso Salesforce annotato in precedenza.
    • Selezionare Upload certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

    Add SSO service URL and SAML certificate.

  3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie in un secondo momento.

    • URL single sign-on di Defender per il cloud Apps
    • attributi e valori di app Defender per il cloud

    Nota

    Se viene visualizzata un'opzione per caricare il certificato SAML delle app Defender per il cloud per il provider di identità, fare clic sul clic per scaricare il file del certificato. che sarà necessario più avanti.

    In Defender for Cloud Apps, note SSO URL and attributes.

Passaggio 5: Completare la configurazione dell'applicazione personalizzata Okta

  1. Nella console di Okta Amministrazione, in Applicazioni selezionare l'applicazione personalizzata creata in precedenza e quindi in Generale>SAML Impostazioni fare clic su Modifica.

    Locate and edit SAML settings.

  2. Nel campo URL Single Sign-On sostituire l'URL con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi salvare le impostazioni.

  3. In Directory selezionare Editor profili, selezionare l'applicazione personalizzata creata in precedenza e quindi fare clic su Profilo. Aggiungere attributi usando le informazioni seguenti.

    Nome visualizzato Nome variabile Tipo di dati Tipo di attributo
    McasSigningCert McasSigningCert string Personalizzato
    McasAppId McasAppId string Personalizzato

    Add profile attributes.

  4. Nella pagina Editor profili selezionare l'applicazione personalizzata creata in precedenza, fare clic su Mapping e quindi selezionare Okta Utente in {custom_app_name}. Eseguire il mapping degli attributi McasSigningCert e McasAppId ai valori degli attributi Defender per il cloud Apps annotati in precedenza.

    Nota

    • Assicurarsi di racchiudere i valori in virgolette doppie (")
    • Okta limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, aggiungere gli attributi usando l'editor di profili come descritto.

    Map profile attributes.

  5. Salvare le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Nella pagina Defender per il cloud App APP CHANGES eseguire le operazioni seguenti, ma non fare clic su Fine. Saranno necessarie le informazioni in un secondo momento.

  • Copiare l'URL di accesso Single Sign-On SAML delle app di Defender per il cloud
  • Scaricare il certificato SAML delle app di Defender per il cloud

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni ed eseguire le operazioni seguenti:

  1. [Consigliato] Creare un backup delle impostazioni correnti.

  2. Sostituire il valore del campo URL di accesso del provider di identità con l'URL di accesso Single Sign-On samL Defender per il cloud annotato in precedenza.

  3. Upload il certificato SAML delle app di Defender per il cloud scaricato in precedenza.

  4. Fare clic su Salva.

    Nota

    • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo app di accesso condizionale.
    • Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, è necessario generare un nuovo certificato.

    Update SSO settings.

Passaggio 8: Completare la configurazione in app di Defender per il cloud

  • Nella pagina DEFENDER PER IL CLOUD APP MODIFICHE APP fare clic su Fine. Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo app di accesso condizionale.

Passaggi successivi

« PREVIOUS: Distribuire il controllo app di accesso condizionale per tutte le app

Vedere anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi dei controlli di accesso e di sessione

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.