Eseguire l'onboarding e distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando PingOne come provider di identità (IdP)

  • Articolo
  • 6 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in un'unica posizione. In questo modo si semplificano i flussi di lavoro e si aggiungeranno le funzionalità degli altri servizi Microsoft 365 Defender. Microsoft 365 Defender sarà la sede principale per il monitoraggio e la gestione della sicurezza tra identità, dati, dispositivi, app e infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

È possibile configurare i controlli sessione in Microsoft Defender for Cloud Apps per l'uso con qualsiasi app Web e con qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da PingOne a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di controlli sessione Defender per il cloud Apps. Per configurare altre app, eseguire gli stessi passaggi in base ai requisiti.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:

    • Una licenza PingOne pertinente (necessaria per l'accesso Single Sign-On)
    • Microsoft Defender for Cloud Apps

  • Configurazione dell'accesso Single Sign-On pingOne esistente per l'app usando il protocollo di autenticazione SAML 2.0

Per configurare i controlli sessione per l'app usando PingOne come IdP

Usare la procedura seguente per instradare le sessioni dell'app Web da PingOne a Defender per il cloud App. Per i passaggi di configurazione di Azure AD, vedere Onboarding and deploy Conditional Access App Control for custom apps using Azure Active Directory (Eseguire l'onboarding e la distribuzione di Controllo app per l'accesso condizionale per le app personalizzate usando Azure Active Directory).

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da PingOne usando uno dei metodi seguenti:

  • Opzione 1: caricamento del file di metadati SAML dell'app.
  • Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare un'app personalizzata in PingOne

Passaggio 4: Configurare app Defender per il cloud con le informazioni dell'app PingOne

Passaggio 5: Completare l'app personalizzata in PingOne

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione in app Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

  1. In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni.

  2. In Single Sign-On Impostazioni (Single Sign-On Impostazioni) selezionare il nome della configurazione SAML 2.0 esistente.

    Select Salesforce SSO settings.

  3. Nella pagina SAML Single Sign-On Setting (Impostazione single Sign-On SAML) prendere nota dell'URL di accesso Salesforce. che sarà necessario più avanti.

    Nota

    Se l'app fornisce un certificato SAML, scaricare il file del certificato.

    Select Salesforce SSO login URL.

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

  1. In Defender per il cloud App passare a Esaminare>le app> connesse App di controllo app perl'accesso condizionale.

  2. Selezionare segno più (+) e nella finestra popup selezionare l'app che si vuole distribuire e quindi selezionare Avvia procedura guidata.

  3. Nella pagina INFORMAZIONI APP selezionare Compila manualmente i dati, nell'URL del servizio consumer di asserzione immettere il Salesforce URL di accesso annotato in precedenza e quindi selezionare Avanti.

    Nota

    Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Manually fill in Salesforce SAML information.

Passaggio 3: Creare un'app personalizzata in PingOne

Prima di procedere, seguire questa procedura per ottenere informazioni dall'app Salesforce esistente.

  1. In PingOne modificare l'app Salesforce esistente.

  2. Nella pagina Mapping attributi SSO prendere nota dell'attributo e del valore SAML_SUBJECT e quindi scaricare i file certificato di firma e metadati SAML .

    Note existing Salesforce app's attributes.

  3. Aprire il file di metadati SAML e prendere nota del percorso PingOne SingleSignOnService. che sarà necessario più avanti.

    Note existing Salesforce app's SSO service location.

  4. Nella pagina Accesso al gruppo prendere nota dei gruppi assegnati.

    Note existing Salesforce app's assigned groups.

Usare quindi le istruzioni della pagina Aggiungi un'applicazione SAML con il provider di identità per configurare un'app personalizzata nel portale di IdP.

Add SAML app with your identity provider.

Nota

La configurazione di un'app personalizzata consente di testare l'app esistente con controlli di accesso e sessione senza modificare il comportamento corrente per l'organizzazione.

  1. Creare una nuova applicazione SAML.

    In PingOne, create new custom Salesforce app.

  2. Nella pagina Dettagli applicazione compilare il modulo e quindi selezionare Continua al passaggio successivo.

    Suggerimento

    Usare un nome dell'app che consente di distinguere tra l'app personalizzata e l'app Salesforce esistente.

    Fill out the custom app details.

  3. Nella pagina Configurazione applicazione eseguire le operazioni seguenti e quindi selezionare Continua al passaggio successivo.

    • Nel campo URL servizio Single Sign-On immettere l'URL di accesso Salesforce annotato in precedenza.
    • Nel campo Entity ID (ID entità ) immettere un ID univoco a partire da https://. Assicurarsi che questa operazione sia diversa dalla Salesforce configurazione dell'app PingOne.
    • Prendere nota dell'ID entità. che sarà necessario più avanti.

    Configure custom app with Salesforce SAML details.

  4. Nella pagina Mapping attributi SSO aggiungere l'attributo SAML_SUBJECT dell'app Salesforce esistente e il valore annotati in precedenza e quindi selezionare Continua al passaggio successivo.

    Add attributes to custom Salesforce app.

  5. Nella pagina Accesso al gruppo aggiungere i gruppi dell'app Salesforce esistenti annotati in precedenza e completare la configurazione.

    Assign groups to custom Salesforce app.

Passaggio 4: Configurare app Defender per il cloud con le informazioni dell'app PingOne

  1. Nella pagina Defender per il cloud Provider di identità delle app selezionare Avanti per continuare.

  2. Nella pagina successiva selezionare Compilare manualmente i dati, eseguire le operazioni seguenti e quindi selezionare Avanti.

    • Per URL del servizio consumer di asserzione immettere il Salesforce URL di accesso annotato in precedenza.
    • Selezionare Upload certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

    Add SSO service URL and SAML certificate.

  3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie in un secondo momento.

    • URL single sign-on di Defender per il cloud Apps
    • attributi e valori di app Defender per il cloud

    In Defender for Cloud Apps, note SSO URL and attributes.

Passaggio 5: Completare l'app personalizzata in PingOne

  1. In PingOne individuare e modificare l'app di Salesforce personalizzata.

    Locate and edit custom Salesforce app.

  2. Nel campo Assertion Consumer Service (ACS) sostituire l'URL con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi selezionare Avanti.

    Replace ACS in custom Salesforce app.

  3. Aggiungere gli attributi e i valori Defender per il cloud Apps annotati in precedenza alle proprietà dell'app.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Salvare le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Nella pagina MODIFICHE APP Defender per il cloud app eseguire le operazioni seguenti, ma non selezionare Fine. Le informazioni saranno necessarie in un secondo momento.

  • Copiare l'URL single sign-on SAML di app Defender per il cloud
  • Scaricare il certificato SAML delle app Defender per il cloud

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Setup>Impostazioni>Identity>Single Sign-On Impostazioni e seguire questa procedura:

  1. Consigliato: creare un backup delle impostazioni correnti.

  2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

  3. Upload il certificato SAML Defender per il cloud App scaricato in precedenza.

  4. Sostituire il valore del campo Entity ID (ID entità ) con l'ID entità dell'app personalizzata PingOne annotato in precedenza.

  5. Selezionare Salva.

    Nota

    Il certificato SAML Defender per il cloud Apps è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Passaggio 8: Completare la configurazione in app Defender per il cloud

  • Nella pagina Defender per il cloud App APP CHANGES (MODIFICHE APP app) selezionare Finish (Fine). Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.

Passaggi successivi

« PREVIOUS: Deploy Conditional Access App Control for any apps

Vedere anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi dei controlli di accesso e di sessione

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.