Integrar e implantar o Controle de Aplicativos de Acesso Condicional em qualquer aplicativo

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão mudando. Leia mais sobre essa e outras atualizações aqui. Em breve, atualizaremos os nomes nos produtos e nos documentos.

Os controles de sessão Microsoft Cloud App Security podem ser configurados para funcionar com qualquer aplicativo Web. Este artigo descreve como integração e implantação de aplicativos de linha de negócios personalizados, aplicativos SaaS não em destaque e aplicativos locais hospedados por meio do Azure Active Directory (Azure AD) Proxy de Aplicativo com controles de sessão.

Para ver uma lista de aplicativos que são em destaque pelo Cloud App Security para funcionar de forma completa, consulte Proteger aplicativos com Cloud App Security Controle de Aplicativos de Acesso Condicional .

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar Controle de Aplicativos de Acesso Condicional:

  • Os aplicativos devem ser configurados com o login único

  • Os aplicativos devem usar um dos seguintes protocolos de autenticação:

    IdP Protocolos
    Azure AD SAML 2.0 ou OpenID Connect
    Outros SAML 2.0

Para implantar qualquer aplicativo

Siga estas etapas para configurar qualquer aplicativo a ser controlado por Cloud App Security Controle de Aplicativos de Acesso Condicional.

Etapa 1: Configurar seu IdP para trabalhar com Cloud App Security

Etapa 2: Configurar os usuários que implantarão o aplicativo

Etapa 3: Configurar o aplicativo que você está implantando

Etapa 4: Verificar se o aplicativo está funcionando corretamente

Etapa 5: Habilitar o aplicativo para uso em sua organização

Etapa 6: Atualizar a política do Azure AD

Observação

Para implantar Controle de Aplicativos de Acesso Condicional aplicativos do Azure AD, você precisa de uma licença válida para Azure Active Directory Premium P1 ou superior, bem como uma Cloud App Security licença.

Etapa 1: Configurar seu IdP para trabalhar com Cloud App Security

Configurar a integração com o Azure AD

Observação

Ao configurar um aplicativo com SSO no Azure AD ou outros provedores de identidade, um campo que pode ser listado como opcional é a configuração de URL de logor. Observe que esse campo pode ser necessário para que Controle de Aplicativos de Acesso Condicional funcione.

Use as etapas a seguir para criar uma política de Acesso Condicional do Azure AD que encaminha sessões de aplicativo para Cloud App Security. Para outras soluções de IdP, consulte Configurar a integração com outras soluções de IdP.

  1. No Azure AD, navegue até Acesso Condicional > de Segurança.

  2. No painel Acesso Condicional, na barra de ferramentas na parte superior, clique em Nova política.

  3. No painel Novo, na caixa de texto Nome, insira o nome da política.

  4. Em Atribuições, clique em Usuários e grupos , atribua os usuários que serão integração (logout inicial e verificação) ao aplicativo e clique em Feito.

  5. Em Atribuições, clique em Aplicativos de nuvem, atribua os aplicativos que deseja controlar com Controle de Aplicativos de Acesso Condicional e clique em Pronto.

  6. Em Controles de acesso , clique em Sessão , selecione Usar Controle de Aplicativos de Acesso Condicional e escolha uma política interna ( Monitorar somente ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Cloud App Security e clique em Selecionar.

    Acesso condicional do Azure AD.

  7. Opcionalmente, adicione condições e conceda controles conforme necessário.

  8. De definir Habilitar política como Ativado e clique em Criar.

Configurar a integração com outras soluções de IdP

Use as etapas a seguir para rotear sessões de aplicativo de outras soluções de IdP para Cloud App Security. Para o Azure AD, confira Configurar a integração com o Azure AD.

Observação

Para ver exemplos de como configurar soluções de IdP, confira:

  1. No Cloud App Security, navegue até Investigar > aplicativos conectados > Controle de Aplicativos de Acesso Condicional aplicativos.

  2. Clique no sinal de a mais ( ) e, no pop-up, selecione o aplicativo que você deseja implantar e + clique em Assistente para Iniciar.

  3. Na página INFORMAÇÕES DO APLICATIVO, preencha o formulário usando as informações da página de configuração de logor único do aplicativo e clique em Próximo.

    • Se o IdP fornece um arquivo de metadados de login único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
    • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
      • URL do serviço de consumidor de declaração
      • Se seu aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.

    Captura de tela mostrando a página de informações do aplicativo.

  4. Na página PROVEDOR DE IDENTIDADE, use as etapas fornecidas para configurar um novo aplicativo no portal do IdP e clique em Próximo.

    1. Acesse o portal do IdP e crie um novo aplicativo SAML personalizado.
    2. Copie a configuração de login único do aplicativo <app_name> existente para o novo aplicativo personalizado.
    3. Atribua usuários ao novo aplicativo personalizado.
    4. Copie as informações de configuração de logor único dos aplicativos, você precisará dela na próxima etapa.

    Captura de tela mostrando a página coletar informações do provedor de identidade.

    Observação

    Essas etapas podem ser ligeiramente diferentes, dependendo do provedor de identidade. Esta etapa é recomendada pelos seguintes motivos:

    • Alguns provedores de identidade não permitem que você altere os atributos SAML ou as propriedades de URL de um aplicativo da galeria
    • Configurar um aplicativo personalizado permite que você teste esse aplicativo com controles de acesso e sessão sem alterar o comportamento existente para sua organização.
  5. Na próxima página, preencha o formulário usando as informações da página de configuração de logor único do aplicativo e clique em Próximo.

    • Se o IdP fornece um arquivo de metadados de login único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
    • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
      • URL do serviço de consumidor de declaração
      • Se seu aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.

    Captura de tela mostrando a página inserir informações do provedor de identidade.

  6. Na próxima página, copie as informações a seguir e clique em Próximo. Você precisará das informações na próxima etapa.

    • URL de login único
    • Atributos e valores

    Captura de tela mostrando a página coletar informações samL de provedores de identidade.

  7. No portal do IdP, faça o seguinte:

    Observação

    As configurações normalmente são encontradas na página de configurações de aplicativo personalizadas do portal IdP

    1. [Recomendado] Crie um backup das configurações atuais.

    2. Substitua o valor do campo URL de logor único pela URL Cloud App Security logor único do SAML que você anotou anteriormente.

      Observação

      Alguns provedores podem se referir à URL de logor único como a URL de Resposta.

    3. Adicione os atributos e os valores anotados anteriormente às propriedades do aplicativo.

      Observação

      • Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.
      • Ao criar um novo aplicativo SAML, o Provedor de Identidade okta limita os atributos a 1024 caracteres. Para atenuar essa limitação, primeiro crie o aplicativo sem os atributos relevantes. Depois de criar o aplicativo, edite-o e adicione os atributos relevantes.
    4. Verifique se o identificador de nome está no formato de endereço de email.

    5. Salve suas configurações.

  8. Na página ALTERAÇÕES DO APLICATIVO, faça o seguinte e clique em Próximo. Você precisará das informações na próxima etapa.

    • Copiar a URL de login único
    • Baixar o certificado CLOUD APP SECURITY SAML

    Captura de tela mostrando a Cloud App Security informações SAML.

  9. No portal do aplicativo, nas configurações de logor único, faça o seguinte:

    1. [Recomendado] Crie um backup das configurações atuais.
    2. No campo URL de logor único, insira Cloud App Security URL de logor único que você anoou anteriormente.
    3. Carregue o Cloud App Security SAML baixado anteriormente.

    Observação

    • Depois de salvar suas configurações, todas as solicitações de logon associadas a esse aplicativo serão roteados por meio Controle de Aplicativos de Acesso Condicional.
    • O Cloud App Security certificado SAML é válido por um ano. Depois de expirar, será necessário gerar um novo certificado.

<a name="step-2-configure-the-users-that-will-deploy-the-app">Etapa 2: configurar os usuários que implantarão o aplicativo

  1. No Cloud App Security, na barra de menus, clique no ícone configurações ![configurações](media/settings-icon.png "Ícone de configurações") de engrenagem. e selecione configurações.

  2. Em controle de aplicativos de acesso condicional, selecione integração do aplicativo/manutenção.

  3. Insira o nome principal do usuário ou o email para os usuários que estarão integrando o aplicativo e clique em salvar.

    Captura de tela de configurações para integração de aplicativos e manutenção.

Etapa 3: configurar o aplicativo que você está implantando

Vá para o aplicativo que você está implantando. A página que você vê depende se o aplicativo é reconhecido. Realize um dos seguintes procedimentos:

Status do aplicativo Descrição Etapas
Não reconhecido Você verá uma página aplicativo não reconhecido solicitando que você configure seu aplicativo. 1. adicione o aplicativo ao controle de aplicativos de acesso condicional.
2. adicione os domínios para o aplicativoe, em seguida, retorne ao aplicativo e atualize a página.
3. Instale os certificados para o aplicativo.
Reconhecido Você verá uma página de integração solicitando que você continue o processo de configuração do aplicativo. - Instale os certificados para o aplicativo.

Observação: Verifique se o aplicativo está configurado com todos os domínios necessários para que o aplicativo funcione corretamente. Para configurar domínios adicionais, vá para adicionar os domínios do aplicativoe, em seguida, retorne à página do aplicativo.

Para adicionar um novo aplicativo

  1. Na barra de menus, clique no ícone configurações engrenagem configurações.e, em seguida, selecione controle de aplicativos de acesso condicional.

  2. Na faixa, clique em Exibir novos aplicativos.

    Controle de aplicativo de acesso condicional exibir novos aplicativos.

  3. Na lista de novos aplicativos, para cada aplicativo que você está integrando, clique no + sinal e, em seguida, clique em Adicionar.

    Observação

    Se um aplicativo não for exibido no catálogo de aplicativos do Cloud App Security, ele será exibido na caixa de diálogo nos aplicativos não identificados juntamente com a URL de logon. Ao clicar no sinal + desses aplicativos, você pode integrar o aplicativo como um aplicativo personalizado.

    Controle de aplicativo de acesso condicional descobriu aplicativos do Azure AD.

<a name="to-add-domains-for-an-app">Para adicionar domínios a um aplicativo

A Associação dos domínios corretos a um aplicativo permite que Cloud App Security imponha políticas e atividades de auditoria.

Por exemplo, se você tiver configurado uma política que bloqueia o download de arquivos para um domínio associado, os downloads de arquivo do aplicativo desse domínio serão bloqueados. No entanto, os downloads de arquivo pelo aplicativo de domínios não associados ao aplicativo não serão bloqueados e a ação não será auditada no log de atividades.

Observação

Cloud App Security ainda adiciona um sufixo aos domínios não associados ao aplicativo para garantir uma experiência de usuário tranqüila.

  1. De dentro do aplicativo, na barra de ferramentas Cloud App Security admin, clique em domínios descobertos.

    Observação

    A barra de ferramentas de administração só é visível para os usuários com permissões para aplicativos integrados ou de manutenção.

  2. No painel domínios descobertos, anote os nomes de domínio ou exporte a lista como um arquivo .csv.

    Observação

    O painel exibe uma lista de domínios descobertos que não estão associados no aplicativo. Os nomes de domínio são totalmente qualificados.

  3. Vá para Cloud App Security, na barra de menus, clique no ícone configurações ![configurações](media/settings-icon.png "Ícone de configurações") de engrenagem. e selecione controle de aplicativos de acesso condicional.
  4. Na lista de aplicativos, na linha na qual o aplicativo que você está implantando aparece, escolha os três pontos no final da linha e, em detalhes do aplicativo, escolha Editar.

    Dica

    Para exibir a lista de domínios configurados no aplicativo, clique em Exibir domínios de aplicativo.

  5. Em domínios definidos pelo usuário, insira todos os domínios que você deseja associar a esse aplicativo e, em seguida, clique em salvar.

    Observação

    Você pode usar o caractere curinga * como um espaço reservado para qualquer caractere. Ao adicionar domínios, decida se deseja adicionar domínios específicos ( sub1.contoso.com , sub2.contoso.com ) ou vários domínios ( *.contoso.com ).

Para instalar certificados raiz

  1. Repita as etapas a seguir para instalar a autoridade de certificação atual e os próximos certificados raiz autoassinados da CA .

    1. Selecione o certificado.
    2. Clique em abrir e, quando solicitado, clique em abrir novamente.
    3. Clique em Instalar certificado.
    4. Escolha o usuário atual ou o computador local.
    5. Selecione Coloque todos os certificados no repositório a seguir e clique em procurar.
    6. Selecione autoridades de certificação raiz confiáveis e clique em OK.
    7. Clique em Concluir.

    Observação

    Para que os certificados sejam reconhecidos, depois de instalar o certificado, você deve reiniciar o navegador e ir para a mesma página.

  2. Clique em Continuar.

Etapa 4: verificar se o aplicativo está funcionando corretamente

  1. Verifique se o fluxo de entrada funciona corretamente.
  2. Quando você estiver no aplicativo, execute as seguintes verificações:
    1. Visite todas as páginas dentro do aplicativo que fazem parte do processo de trabalho de um usuário e verifique se as páginas são renderizadas corretamente.
    2. Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente executando ações comuns, como baixar e carregar arquivos.
    3. Examine a lista de domínios associados ao aplicativo. Para obter mais informações, consulte adicionar os domínios para o aplicativo.

Etapa 5: habilitar o aplicativo para uso em sua organização

Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção de sua organização, execute as etapas a seguir.

  1. Em Cloud App Security, clique no ícone configurações engrenagem  configurações. e, em seguida, selecione controle de aplicativos de acesso condicional.

  2. Na lista de aplicativos, na linha na qual o aplicativo que você está implantando aparece, escolha os três pontos no final da linha e escolha Editar aplicativo.

  3. Selecione usar com controle de aplicativos de acesso condicional e, em seguida, clique em salvar.

    Habilitar pop-up de controles de sessão.

Etapa 6: atualizar a política do Azure AD (somente Azure AD)

  1. No Azure AD, em segurança, clique em acesso condicional.
  2. Atualize a política criada anteriormente para incluir os usuários, grupos e controles relevantes necessários.
  3. Em uso da sessão > controle de aplicativos de acesso condicional, se você selecionou usar política personalizada, vá para Cloud app Security e crie uma política de sessão correspondente. Para mais informações, confira Políticas da sessão.

Próximas etapas

Confira também

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.