Implantar o Controle de Aplicativo de Acesso Condicional para qualquer aplicativo Web usando o PingOne como provedor de identidade (IdP)
Você pode configurar controles de sessão no Microsoft Defender for Cloud Apps para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativos do PingOne para o Defender for Cloud Apps para controles de sessão em tempo real.
Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender for Cloud Apps. Para configurar outros aplicativos, execute as mesmas etapas de acordo com suas necessidades.
Pré-requisitos
Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativo de Acesso Condicional:
- Uma licença PingOne relevante (necessária para logon único)
- Microsoft Defender for Cloud Apps
Uma configuração de logon único existente do PingOne para o aplicativo usando o protocolo de autenticação SAML 2.0
Para configurar controles de sessão para seu aplicativo usando o PingOne como IdP
Use as etapas a seguir para rotear suas sessões de aplicativos Web do PingOne para o Defender for Cloud Apps. Para conhecer as etapas de configuração do Microsoft Entra, consulte Integrar e implantar o Controle de Aplicativo de Acesso Condicional para aplicativos personalizados usando a ID do Microsoft Entra.
Nota
Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo PingOne usando um dos seguintes métodos:
- Opção 1: Carregar o ficheiro de metadados SAML da aplicação.
- Opção 2: Fornecer manualmente os dados SAML do aplicativo.
Nas etapas a seguir, usaremos a opção 2.
Etapa 1: obter as configurações de logon único SAML do seu aplicativo
Etapa 2: Configurar o Defender for Cloud Apps com as informações SAML do seu aplicativo
Etapa 3: Criar um aplicativo personalizado no PingOne
Etapa 4: Configurar o Defender for Cloud Apps com as informações do aplicativo PingOne
Etapa 5: concluir o aplicativo personalizado no PingOne
Etapa 6: obter as alterações do aplicativo no Defender for Cloud Apps
Etapa 7: concluir as alterações do aplicativo
Etapa 8: concluir a configuração no Defender for Cloud Apps
Etapa 1: obter as configurações de logon único SAML do seu aplicativo
No Salesforce, navegue até Configurações de configuração Configurações de logon único de>> identidade.>
Em Configurações de Logon Único, selecione o nome da configuração existente do SAML 2.0.
Na página Configuração de logon único do SAML, anote a URL de login do Salesforce. Precisará do mesmo mais tarde.
Nota
Se seu aplicativo fornecer um certificado SAML, baixe o arquivo de certificado.
Etapa 2: Configurar o Defender for Cloud Apps com as informações SAML do seu aplicativo
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
Selecione +Adicionar e, no pop-up, selecione a aplicação que pretende implementar e, em seguida, selecione Iniciar Assistente.
Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço ao consumidor Assertion, insira a URL de login do Salesforce que você anotou anteriormente e selecione Avançar.
Nota
Se seu aplicativo fornecer um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado .
Etapa 3: Criar um aplicativo personalizado no PingOne
Antes de continuar, use as etapas a seguir para obter informações do seu aplicativo Salesforce existente.
No PingOne, edite seu aplicativo Salesforce existente.
Na página Mapeamento de Atributos SSO, anote o atributo e o valor SAML_SUBJECT e baixe os arquivos de Certificado de Assinatura e Metadados SAML.
Abra o arquivo de metadados SAML e anote o local PingOne SingleSignOnService. Precisará do mesmo mais tarde.
Na página Acesso a Grupos, anote os grupos atribuídos.
Em seguida, use as instruções da página Adicionar um aplicativo SAML com seu provedor de identidade para configurar um aplicativo personalizado no portal do seu IdP.
Nota
Configurar um aplicativo personalizado permite que você teste o aplicativo existente com controles de acesso e sessão sem alterar o comportamento atual da sua organização.
Crie um novo aplicativo SAML.
Na página Detalhes do Aplicativo, preencha o formulário e selecione Continuar para a próxima etapa.
Gorjeta
Use um nome de aplicativo que o ajudará a diferenciar entre o aplicativo personalizado e o aplicativo Salesforce existente.
Na página Configuração do Aplicativo, faça o seguinte e selecione Continuar para a próxima etapa.
- No campo Assertion Consumer Service (ACS), insira o URL de login do Salesforce que você anotou anteriormente.
- No campo ID da entidade, insira uma ID exclusiva começando com
https://. Verifique se isso é diferente da configuração do aplicativo Salesforce PingOne que está saindo. - Anote o ID da entidade. Precisará do mesmo mais tarde.
Na página Mapeamento de atributos SSO, adicione o atributo e o valor SAML_SUBJECT do aplicativo Salesforce existente que você anotou anteriormente e selecione Continuar para a próxima etapa.
Na página Acesso a grupos, adicione os grupos existentes do aplicativo Salesforce que você anotou anteriormente e conclua a configuração.
Etapa 4: Configurar o Defender for Cloud Apps com as informações do aplicativo PingOne
De volta à página IDENTITY PROVIDER do Defender for Cloud Apps, selecione Avançar para continuar.
Na página seguinte, selecione Preencher dados manualmente, faça o seguinte e, em seguida, selecione Avançar.
- Para a URL do serviço ao consumidor Assertion, insira a URL de login do Salesforce que você anotou anteriormente.
- Selecione Carregar certificado SAML do provedor de identidade e carregue o arquivo de certificado baixado anteriormente.
Na página seguinte, anote as seguintes informações e selecione Avançar. Você precisará das informações mais tarde.
- URL de início de sessão único do Defender for Cloud Apps
- Atributos e valores do Defender for Cloud Apps
Etapa 5: concluir o aplicativo personalizado no PingOne
No PingOne, localize e edite o aplicativo Salesforce personalizado.
No campo Assertion Consumer Service (ACS), substitua a URL pela URL de logon único do Defender for Cloud Apps que você anotou anteriormente e selecione Avançar.
Adicione os atributos e valores do Defender for Cloud Apps que você anotou anteriormente às propriedades do aplicativo.
Guarde as definições.
Etapa 6: obter as alterações do aplicativo no Defender for Cloud Apps
De volta à página APP CHANGES do Defender for Cloud Apps, faça o seguinte, mas não selecione Concluir. Você precisará das informações mais tarde.
- Copie a URL de logon único SAML do Defender for Cloud Apps
- Baixe o certificado SAML do Defender for Cloud Apps
Etapa 7: concluir as alterações do aplicativo
No Salesforce, navegue até Configurações de configuração Configurações de logon único de>>identidade>e faça o seguinte:
Recomendado: crie um backup de suas configurações atuais.
Substitua o valor do campo URL de Login do Provedor de Identidade pelo URL de logon único SAML do Defender for Cloud Apps que você anotou anteriormente.
Carregue o certificado SAML do Defender for Cloud Apps que você baixou anteriormente.
Substitua o valor do campo ID da entidade pelo ID da entidade do aplicativo personalizado do PingOne que você anotou anteriormente.
Selecione Guardar.
Nota
O certificado SAML do Defender for Cloud Apps é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.
Etapa 8: concluir a configuração no Defender for Cloud Apps
- De volta à página APP CHANGES do Defender for Cloud Apps, selecione Concluir. Depois de concluir o assistente, todas as solicitações de login associadas a este aplicativo serão roteadas por meio do Controle de Aplicativo de Acesso Condicional.
Próximos passos
Consulte também
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.