Distribuire il controllo app per l'accesso condizionale per qualsiasi app Web usando PingOne come provider di identità (IdP)

  • Articolo

È possibile configurare i controlli sessione in Microsoft Defender per il cloud App per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da PingOne a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di Defender per il cloud controlli sessione delle app. Per configurare altre app, eseguire gli stessi passaggi in base ai requisiti.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per l'uso del controllo app per l'accesso condizionale:

    • Una licenza PingOne pertinente (necessaria per l'accesso Single Sign-On)
    • Microsoft Defender for Cloud Apps

  • Configurazione dell'accesso Single Sign-On di PingOne esistente per l'app tramite il protocollo di autenticazione SAML 2.0

Per configurare i controlli sessione per l'app usando PingOne come IdP

Seguire questa procedura per instradare le sessioni dell'app Web da PingOne alle app Defender per il cloud. Per i passaggi di configurazione di Microsoft Entra, vedere Onboard and deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Onboard and deploy Conditional Access App Control for custom apps using Microsoft Entra ID).

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da PingOne usando uno dei metodi seguenti:

  • Opzione 1: Caricamento del file di metadati SAML dell'app.
  • Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare un'app personalizzata in PingOne

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne

Passaggio 5: Completare l'app personalizzata in PingOne

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

  1. In Salesforce passare a Setup> Impostazioni> Identity>Single Sign-On Impostazioni.

  2. In Single Sign-On Impostazioni selezionare il nome della configurazione SAML 2.0 esistente.

    Select Salesforce SSO settings.

  3. Nella pagina SAML Single Sign-On Setting (Impostazione single sign-on SAML) prendere nota dell'URL di accesso di Salesforce. che sarà necessario più avanti.

    Nota

    Se l'app fornisce un certificato SAML, scaricare il file del certificato.

    Select Salesforce SSO login URL.

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In app Connessione ed selezionare App di controllo app per l'accesso condizionale.

  3. Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.

  4. Nella pagina INFORMAZIONI SULL'APP selezionare Compilare manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza e quindi selezionare Avanti.

    Nota

    Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Manually fill in Salesforce SAML information.

Passaggio 3: Creare un'app personalizzata in PingOne

Prima di procedere, seguire questa procedura per ottenere informazioni dall'app Salesforce esistente.

  1. In PingOne modificare l'app Salesforce esistente.

  2. Nella pagina Mapping attributi SSO prendere nota dell'attributo e del valore SAML_SUBJECT e quindi scaricare i file certificato di firma e metadati SAML.

    Note existing Salesforce app's attributes.

  3. Aprire il file di metadati SAML e prendere nota del percorso PingOne SingleSignOnService. che sarà necessario più avanti.

    Note existing Salesforce app's SSO service location.

  4. Nella pagina Accesso al gruppo prendere nota dei gruppi assegnati.

    Note existing Salesforce app's assigned groups.

Usare quindi le istruzioni della pagina Aggiungi un'applicazione SAML con il provider di identità per configurare un'app personalizzata nel portale di IdP.

Add SAML app with your identity provider.

Nota

La configurazione di un'app personalizzata consente di testare l'app esistente con controlli di accesso e sessione senza modificare il comportamento corrente per l'organizzazione.

  1. Creare una nuova applicazione SAML.

    In PingOne, create new custom Salesforce app.

  2. Nella pagina Dettagli applicazione compilare il modulo e quindi selezionare Continua al passaggio successivo.

    Suggerimento

    Usare un nome dell'app che consente di distinguere tra l'app personalizzata e l'app Salesforce esistente.

    Fill out the custom app details.

  3. Nella pagina Configurazione applicazione eseguire le operazioni seguenti e quindi selezionare Continua al passaggio successivo.

    • Nel campo Asserzione Consumer Service (ACS) immettere l'URL di accesso di Salesforce annotato in precedenza.
    • Nel campo Entity ID (ID entità) immettere un ID univoco a partire da https://. Assicurarsi che sia diverso dalla configurazione dell'app Salesforce PingOne in uscita.
    • Prendere nota dell'ID entità. che sarà necessario più avanti.

    Configure custom app with Salesforce SAML details.

  4. Nella pagina Mapping attributi SSO aggiungere l'attributo e il valore dell'app Salesforce SAML_SUBJECT esistenti annotati in precedenza e quindi selezionare Continua al passaggio successivo.

    Add attributes to custom Salesforce app.

  5. Nella pagina Accesso al gruppo aggiungere i gruppi dell'app Salesforce esistenti annotati in precedenza e completare la configurazione.

    Assign groups to custom Salesforce app.

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne

  1. Nella pagina Defender per il cloud Provider di identità delle app selezionare Avanti per continuare.

  2. Nella pagina successiva selezionare Compilare manualmente i dati, eseguire le operazioni seguenti e quindi selezionare Avanti.

    • Per URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza.
    • Selezionare Carica certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

    Add SSO service URL and SAML certificate.

  3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie in un secondo momento.

    • URL single sign-on di Defender per il cloud Apps
    • Defender per il cloud Attributi e valori delle app

    In Defender for Cloud Apps, note SSO URL and attributes.

Passaggio 5: Completare l'app personalizzata in PingOne

  1. In PingOne individuare e modificare l'app Salesforce personalizzata.

    Locate and edit custom Salesforce app.

  2. Nel campo Assertion Consumer Service (ACS) sostituire l'URL con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi selezionare Avanti.

    Replace ACS in custom Salesforce app.

  3. Aggiungere gli attributi e i valori delle app Defender per il cloud annotati in precedenza alle proprietà dell'app.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Salva le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Tornare alla pagina modifiche app Defender per il cloud app, eseguire le operazioni seguenti, ma non selezionare Fine. Le informazioni saranno necessarie in un secondo momento.

  • Copiare l'URL single sign-on SAML di app Defender per il cloud
  • Scaricare il certificato SAML delle app Defender per il cloud

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Setup> Impostazioni> Identity>Single Sign-On Impostazioni e seguire questa procedura:

  1. Consigliato: creare un backup delle impostazioni correnti.

  2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

  3. Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.

  4. Sostituire il valore del campo Id entità con l'ID entità dell'app personalizzata PingOne annotato in precedenza.

  5. Seleziona Salva.

    Nota

    Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

  • Nella pagina MODIFICHE APP Defender per il cloud app selezionare Fine. Dopo aver completato la procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.

Passaggi successivi

« PREVIOUS: Deploy Conditional Access App Control for any apps

Vedi anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi relativi ai controlli di accesso e sessione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.