Implantar o Controle de aplicativos de acesso condicional para qualquer aplicativo Web usando o provedor de identidade (IdP)

  • Artigo

Você pode configurar controles de sessão no Microsoft Defender para Aplicativos de Nuvem para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativos do PingOne para o Defender para Aplicativos de Nuvem com o objetivo de fornecer controles de sessão em tempo real.

Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender para Aplicativos de Nuvem. Para configurar outros aplicativos, execute as mesmas etapas de acordo com seus requisitos.

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

    • Uma licença PingOne relevante (necessária para logon único)
    • Microsoft Defender for Cloud Apps

  • Uma configuração de logon único PingOne existente para o aplicativo usando o protocolo de autenticação SAML 2.0

Para configurar controles de sessão para o aplicativo usando PingOne como IdP

Use as etapas a seguir para rotear suas sessões de aplicativos Web do PingOne para o Defender para Aplicativos de Nuvem. Para conhecer as etapas de configuração do Microsoft Entra, consulte Integrar e implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados usando o Microsoft Entra ID.

Observação

Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo PingOne usando um destes métodos:

  • Opção 1: upload do arquivo de metadados SAML do aplicativo.
  • Opção 2: fornecimento manual dos dados SAML do aplicativo.

Nas próximas etapas, usaremos a opção 2.

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações SAML do seu aplicativo

Etapa 3: Criar um aplicativo personalizado no PingOne

Etapa 4: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo PingOne

Etapa 5: Concluir o aplicativo personalizado no PingOne

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

Etapa 7: concluir as alterações no aplicativo

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

  1. No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único.

  2. Em Configurações de logon único, selecione o nome da configuração existente do SAML 2.0.

    Select Salesforce SSO settings.

  3. Na página Configuração de logon único do SAML, anote a URL do logon do Salesforce. Você precisará dessas informações posteriormente.

    Observação

    Se o aplicativo fornecer um certificado SAML, faça o download do arquivo do certificado.

    Select Salesforce SSO login URL.

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo SAML

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

  3. Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.

  4. Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço do consumidor de declaração, insira a URL do logon do Salesforce que anotada anteriormente e selecione Avançar.

    Observação

    Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

    Manually fill in Salesforce SAML information.

Etapa 3: Criar um aplicativo personalizado no PingOne

Antes de continuar, use as etapas a seguir para obter informações do seu aplicativo Salesforce existente.

  1. No PingOne, edite seu aplicativo Salesforce existente.

  2. Na página Mapeamento de Atributos SSO, anote o atributo e o valor SAML_SUBJECT e baixe os arquivos de Certificado de autenticação e Metadados SAML.

    Note existing Salesforce app's attributes.

  3. Abra o arquivo de metadados SAML e anote a localização do Serviço de logon único do PingOne. Você precisará dessas informações posteriormente.

    Note existing Salesforce app's SSO service location.

  4. Na página Acesso ao Grupo, anote os grupos atribuídos.

    Note existing Salesforce app's assigned groups.

Em seguida, use as instruções da página Adicionar um aplicativo SAML com seu provedor de identidade para configurar um aplicativo personalizado no portal do IdP.

Add SAML app with your identity provider.

Observação

A configuração de um aplicativo personalizado permite testar o aplicativo existente com controles de acesso e sessão sem alterar o comportamento existente para a organização.

  1. Crie um Novo aplicativo SAML

    In PingOne, create new custom Salesforce app.

  2. Na página Detalhes do Aplicativo, preencha o formulário e selecione Continuar para a próxima etapa.

    Dica

    Use um nome de aplicativo que o ajudará a diferenciar entre o aplicativo personalizado e o aplicativo Salesforce existente.

    Fill out the custom app details.

  3. Na página Configuração do Aplicativo, siga as etapas a seguir e selecione Continuar para a Próxima Etapa.

    • No campo Serviço do consumidor de declaração (ACS), insira o URL de login do Salesforce que você anotou anteriormente.
    • No campo ID da entidade, insira uma ID exclusiva começando com https://. Verifique se isso é diferente da configuração do aplicativo Salesforce PingOne que está saindo.
    • Anote a ID da entidade. Você precisará dessas informações posteriormente.

    Configure custom app with Salesforce SAML details.

  4. Na página Mapeamento de Atributos SSO, adicione o atributo SAML_SUBJECT e o valor do aplicativo Salesforce existente que você anotou anteriormente e selecione Continuar para a próxima etapa.

    Add attributes to custom Salesforce app.

  5. Na página Acesso ao Grupo, adicione os grupos existentes do aplicativo Salesforce que você anotou anteriormente e conclua a configuração.

    Assign groups to custom Salesforce app.

Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo PingOne

  1. De volta à página PROVEDOR DE IDENTIDADE do Defender para Aplicativos de Nuvem, selecione Avançar para continuar.

  2. Na próxima página, selecione Preencher dados manualmente, siga as etapas a seguir e clique em Avançar.

    • Em URL do Serviço do Consumidor de Declaração, insira o URL de login do Salesforce que você anotou anteriormente.
    • Selecione Carregar Certificado SAML do provedor de identidade e selecione o arquivo de certificado baixado anteriormente.

    Add SSO service URL and SAML certificate.

  3. Na próxima página, anote as informações a seguir e selecione Avançar. Você precisará das informações posteriormente.

    • URL de logon único do Defender para Aplicativos de Nuvem
    • Atributos e valores do Defender para Aplicativos de Nuvem

    In Defender for Cloud Apps, note SSO URL and attributes.

Etapa 5: Concluir o aplicativo personalizado no PingOne

  1. No PingOne, localize e edite o aplicativo Salesforce personalizado.

    Locate and edit custom Salesforce app.

  2. No campo Serviço do consumidor de declaração (ACS), substitua a URL pela URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente e selecione Avançar.

    Replace ACS in custom Salesforce app.

  3. Adicione os atributos e valores do Defender para Aplicativos de Nuvem que você anotou anteriormente às propriedades do aplicativo.

    Add Defender for Cloud Apps attributes to custom Salesforce app.

  4. Salve suas configurações.

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, faça o seguinte, mas não selecione Concluir. Você precisará das informações posteriormente.

  • Copiar a URL de logon único SAML do Defender para Aplicativos de Nuvem
  • Baixe o certificado SAML do Defender para Aplicativos de Nuvem

Note the Defender for Cloud Apps SAML SSO URL and download the certificate.

Etapa 7: concluir as alterações no aplicativo

No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único e faça o seguinte:

  1. Recomendado: crie um backup das configurações atuais.

  2. Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.

  3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.

  4. Substitua o valor do campo ID da Entidade pela ID da Entidade do aplicativo personalizado PingOne que você anotou anteriormente.

  5. Selecione Salvar.

    Observação

    O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

    Update custom Salesforce app with Defender for Cloud Apps SAML details.

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

  • De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, selecione Concluir. Depois de concluir o assistente, todas as solicitações de logon associadas a este aplicativo serão roteadas por meio do Controle de aplicativos de acesso condicional.

Próximas etapas

« ANTERIOR: Implantar o Controle de Aplicativo de Acesso Condicional

Confira também

Introdução ao Controle de Aplicativos de Acesso Condicional

Solução de problemas de controles de acesso e sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.