IdP(ID 공급자)로 PingOne을 사용하여 모든 웹앱에 대한 조건부 액세스 앱 제어 온보딩 및 배포

  • 아티클
  • 읽는 데 12분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Microsoft Defender for Cloud Apps 모든 웹앱 및 비 Microsoft IdP에서 작동하도록 세션 컨트롤을 구성할 수 있습니다. 이 문서에서는 실시간 세션 제어를 위해 앱 세션을 PingOne에서 클라우드용 Defender 앱으로 라우팅하는 방법을 설명합니다.

이 문서에서는 클라우드용 Defender 앱 세션 컨트롤을 사용하도록 구성된 웹앱의 예로 Salesforce 앱을 사용합니다. 다른 앱을 구성하려면 요구 사항에 따라 동일한 단계를 수행합니다.

필수 구성 요소

  • 조직에서 조건부 액세스 앱 제어를 사용하려면 다음 라이선스가 있어야 합니다.

    • 관련 PingOne 라이선스(Single Sign-On에 필요)
    • Microsoft Defender for Cloud 앱

  • SAML 2.0 인증 프로토콜을 사용하는 앱에 대한 기존 PingOne Single Sign-On 구성

PingOne을 IdP로 사용하여 앱에 대한 세션 컨트롤을 구성하려면

다음 단계를 사용하여 PingOne에서 클라우드용 Defender 앱으로 웹앱 세션을 라우팅합니다. Azure AD 구성 단계는 Azure Active Directory 사용하여 사용자 지정 앱에 대한 조건부 액세스 앱 제어 온보딩 및 배포를 참조하세요.

참고

다음 방법 중 하나를 사용하여 PingOne에서 제공하는 앱의 SAML Single Sign-On 정보를 구성할 수 있습니다.

  • 옵션 1: 앱의 SAML 메타데이터 파일 업로드
  • 옵션 2: 앱의 SAML 데이터를 수동으로 제공합니다.

다음 단계에서는 옵션 2를 사용합니다.

1단계: 앱의 SAML Single Sign-On 설정 가져오기

2단계: 앱의 SAML 정보를 사용하여 클라우드용 Defender 앱 구성

3단계: PingOne에서 사용자 지정 앱 만들기

4단계: PingOne 앱의 정보를 사용하여 클라우드용 Defender 앱 구성

5단계: PingOne에서 사용자 지정 앱 완료

6단계: 클라우드용 Defender 앱에서 앱 변경 내용 가져오기

7단계: 앱 변경 완료

8단계: 클라우드용 Defender 앱에서 구성 완료

1단계: 앱의 SAML Single Sign-On 설정 가져오기

  1. Salesforce Setup>설정>Identity>Single Sign-On 설정 찾습니다.

  2. Single Sign-On 설정 기존 SAML 2.0 구성의 이름을 선택합니다.

    Select Salesforce SSO settings.

  3. SAML 단일 Sign-On 설정 페이지에서 Salesforce 로그인 URL을 기록해 둡다. 이 필드는 나중에 필요합니다.

    참고

    앱에서 SAML 인증서를 제공하는 경우 인증서 파일을 다운로드합니다.

    Select Salesforce SSO login URL.

2단계: 앱의 SAML 정보를 사용하여 클라우드용 Defender 앱 구성

  1. 클라우드용 Defender 앱에서연결된 앱조건부 액세스 앱> 제어 앱을 조사>합니다.

  2. 더하기 기호(+)를 선택하고 팝업에서 배포하려는 앱을 선택한 다음 , 시작 마법사를 선택합니다.

  3. APP INFORMATION 페이지에서 수동으로 데이터 채우기를 선택하고, 어설션 소비자 서비스 URL에서 앞에서 적어 두던 Salesforce 로그인 URL을 입력한 다음, 다음을 선택합니다.

    참고

    앱에서 SAML 인증서를 제공하는 경우 app_name> SAML 인증서 사용을 < 선택하고 인증서 파일을 업로드합니다.

    Manually fill in Salesforce SAML information.

3단계: PingOne에서 사용자 지정 앱 만들기

계속하기 전에 다음 단계를 사용하여 기존 Salesforce 앱에서 정보를 가져옵니다.

  1. PingOne에서 기존 Salesforce 앱을 편집합니다.

  2. SSO 특성 매핑 페이지에서 SAML_SUBJECT 특성 및 값을 기록한 다음 서명 인증서SAML 메타데이터 파일을 다운로드합니다.

    Note existing Salesforce app's attributes.

  3. SAML 메타데이터 파일을 열고 PingOne SingleSignOnService 위치를 기록해 둡니다. 이 필드는 나중에 필요합니다.

    Note existing Salesforce app's SSO service location.

  4. 그룹 액세스 페이지에서 할당된 그룹을 기록해 둡니다.

    Note existing Salesforce app's assigned groups.

그런 다음 ID 공급자를 사용하여 SAML 애플리케이션 추가 페이지의 지침을 사용하여 IdP 포털에서 사용자 지정 앱을 구성합니다.

Add SAML app with your identity provider.

참고

사용자 지정 앱을 구성하면 조직의 현재 동작을 변경하지 않고도 액세스 및 세션 제어를 사용하여 기존 앱을 테스트할 수 있습니다.

  1. 새 SAML 애플리케이션을 만듭니다.

    In PingOne, create new custom Salesforce app.

  2. 애플리케이션 세부 정보 페이지에서 양식을 입력한 다음 다음 단계로 계속을 선택합니다.

    사용자 지정 앱과 기존 Salesforce 앱을 구분하는 데 도움이 되는 앱 이름을 사용합니다.

    Fill out the custom app details.

  3. 애플리케이션 구성 페이지에서 다음을 수행한 다음, 다음 단계로 계속을 선택합니다.

    • Single Sign-On 서비스 URL 필드에 앞에서 적어 둔 Salesforce 로그인 URL을 입력합니다.
    • 엔터티 ID 필드에 https:// 시작하는 고유 ID를 입력합니다. 종료 Salesforce PingOne 앱의 구성과 다른지 확인합니다.
    • 엔터티 ID를 기록해 둡니다. 이 필드는 나중에 필요합니다.

    Configure custom app with Salesforce SAML details.

  4. SSO 특성 매핑 페이지에서 앞에서 적어두던 기존 Salesforce 앱의 SAML_SUBJECT 특성 및 값을 추가한 다음, 다음 단계로 계속을 선택합니다.

    Add attributes to custom Salesforce app.

  5. 그룹 액세스 페이지에서 앞에서 적어 두던 기존 Salesforce 앱 그룹을 추가하고 구성을 완료합니다.

    Assign groups to custom Salesforce app.

4단계: PingOne 앱의 정보를 사용하여 클라우드용 Defender 앱 구성

  1. 클라우드용 Defender 앱 ID 공급자 페이지로 돌아가서 다음을 선택하여 계속 진행합니다.

  2. 다음 페이지에서 수동으로 데이터 채우기를 선택하고 다음을 수행하고 다음을 선택합니다.

    • 어설션 소비자 서비스 URL의 경우 앞에서 적어 두던 Salesforce 로그인 URL을 입력합니다.
    • 업로드 ID 공급자의 SAML 인증서를 선택하고 이전에 다운로드한 인증서 파일을 업로드합니다.

    Add SSO service URL and SAML certificate.

  3. 다음 페이지에서 다음 정보를 적어 두고 다음을 선택합니다. 나중에 정보가 필요합니다.

    • 클라우드용 Defender Apps Single Sign-On URL
    • 클라우드용 Defender 앱 특성 및 값

    In Defender for Cloud Apps, note SSO URL and attributes.

5단계: PingOne에서 사용자 지정 앱 완료

  1. PingOne에서 사용자 지정 Salesforce 앱을 찾아 편집합니다.

    Locate and edit custom Salesforce app.

  2. ACS(Assertion Consumer Service) 필드에서 URL을 앞에서 적어 둔 클라우드용 Defender Apps Single Sign-On URL로 바꾼 다음, 다음을 선택합니다.

    Replace ACS in custom Salesforce app.

  3. 앞에서 설명한 클라우드용 Defender 앱 특성 및 값을 앱의 속성에 추가합니다.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. 설정을 저장합니다.

6단계: 클라우드용 Defender 앱에서 앱 변경 내용 가져오기

클라우드용 Defender 앱 앱 변경 페이지로 돌아가서 다음을 수행하지만 마침을 선택하지 마세요. 나중에 정보가 필요합니다.

  • 클라우드용 Defender 앱 SAML Single Sign-On URL 복사
  • 클라우드용 Defender 앱 SAML 인증서 다운로드

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

7단계: 앱 변경 완료

Salesforce Setup>설정>Identity>Single Sign-On 설정 찾아서 다음을 수행합니다.

  1. 권장: 현재 설정의 백업을 만듭니다.

  2. ID 공급자 로그인 URL 필드 값을 앞에서 적어 둔 클라우드용 Defender Apps SAML Single Sign-On URL로 바꿉니다.

  3. 이전에 다운로드한 클라우드용 Defender 앱 SAML 인증서를 업로드.

  4. 엔터티 ID 필드 값을 앞에서 적어 두던 PingOne 사용자 지정 앱 엔터티 ID로 바꿉니다.

  5. 저장을 선택합니다.

    참고

    클라우드용 Defender 앱 SAML 인증서는 1년 동안 유효합니다. 만료되면 새 인증서를 생성해야 합니다.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

8단계: 클라우드용 Defender 앱에서 구성 완료

  • 클라우드용 Defender 앱 앱 변경 페이지로 돌아가서 마침을 선택합니다. 마법사를 완료하면 이 앱에 연결된 모든 로그인 요청이 조건부 액세스 앱 제어를 통해 라우팅됩니다.

다음 단계

« 이전: 모든 앱에 대한 조건부 액세스 앱 제어 배포

참고 항목

조건부 액세스 앱 제어 소개

액세스 및 세션 제어 문제 해결

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.