A bordo e implementar o Controlo de Aplicações de Acesso Condicional para qualquer aplicação web utilizando os Serviços da Federação de Diretório Ativo (AD FS) como fornecedor de identidade (IdP)
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Pode configurar os controlos de sessão no Microsoft Cloud App Security para trabalhar com qualquer aplicação web e qualquer IdP de terceiros. Este artigo descreve como encaminhar sessões de aplicações de AD FS para Cloud App Security para controlos de sessão em tempo real.
Para este artigo, usaremos a aplicação Salesforce como um exemplo de uma aplicação web configurada para usar controlos de sessão de Cloud App Security.
Pré-requisitos
A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:
- Um ambiente AD FS pré-configurado
- Microsoft Cloud App Security
Uma configuração de sinalização única AD FS para a aplicação utilizando o protocolo de autenticação SAML 2.0
Nota
Os passos aqui aplicam-se a todas as versões de AD FS que funcionam na versão suportada do Windows Server.
Para configurar os controlos de sessão para a sua aplicação usando AD FS como idP
Use os seguintes passos para encaminhar as suas sessões de aplicações web de AD FS para Cloud App Security. Para passos de configuração AD Azure, consulte a integração do Configure com a Azure AD.
Nota
Pode configurar as informações únicas de sinstrução saml da aplicação fornecidas pela AD FS utilizando um dos seguintes métodos:
- Opção 1: Carregar o ficheiro de metadados SAML da aplicação.
- Opção 2: Fornecer manualmente os dados SAML da aplicação.
Nos passos seguintes, usaremos a opção 2.
Passo 1: Obtenha as definições de sinalização única saml única da sua aplicação
Passo 2: Configurar a Cloud App Security com as informações SAML da sua aplicação
Passo 3: Criar uma nova configuração de AD FS Relying Party Trust e App Single Sign-On
Passo 4: Configurar a Segurança da Aplicação Cloud com as informações da app AD FS
Passo 5: Complete a configuração do AD FS Relying Party Trust
Passo 6: Obtenha as alterações da aplicação na Cloud App Security
Passo 7: Complete as alterações da aplicação
Passo 8: Complete a configuração em Cloud App Security
Passo 1: Obtenha as definições de sinalização única saml única da sua aplicação
No Salesforce, navegue para > configurar definições > de identidade única Sign-On > Definições.
Em Definições Sign-On única, clique no nome da sua configuração AD FS existente.

Na página de Definição de Sign-On Único SAML, tome nota do URL de Login da Salesforce . Vai precisar disto mais tarde ao configurar a Cloud App Security.
Nota
Se a sua aplicação fornecer um certificado SAML, descarregue o ficheiro de certificado.

Passo 2: Configurar a Cloud App Security com as informações SAML da sua aplicação
Na Cloud App Security, navegue para investigar > aplicações conectadas > de acesso às aplicações.
Clique no sinal de mais e no pop-up, selecione a aplicação que pretende implementar e, em seguida, clique em Iniciar o Assistente.
Na página INFORMAÇÃO DA APP, selecione Preencha os dados manualmente, no URL do serviço de apoio ao consumidor afirmação introduza o URL de Login salesforce que anotado anteriormente e, em seguida, clique em Seguinte.
Nota
Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

Passo 3: Criar uma nova configuração de AD FS Relying Party Trust e App Single Sign-On
Nota
Para limitar o tempo de inatividade do utilizador final e preservar a sua boa configuração conhecida, recomendamos a criação de uma nova configuração de Confiança do Partido De Confiança e Sign-On . Quando isso não for possível, ignore os passos relevantes. Por exemplo, se a aplicação que está a configurar não suporta a criação de várias configurações de Sign-On únicas, então ignore o novo passo de entrada única.
Na consola AD FS Management, no âmbito do Relying Party Trusts, veja as propriedades da confiança do seu partido existente para a sua aplicação e tome nota das definições.
Em ações, clique em Adicionar confiança da entidade Confiadora. Além do valor do Identifier que deve ser um nome único, configufique a nova confiança utilizando as configurações que observou anteriormente. Você vai precisar desta confiança mais tarde ao configurar a Cloud App Security.
Abra o ficheiro de metadados da federação e tome nota da Localização singleSignOnService da AD FS . Precisará do mesmo mais tarde.
Nota
Pode utilizar o seguinte ponto final para aceder ao ficheiro metadados da federação:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
Descarregue o Certificado de Assinatura do fornecedor de identidade. Precisará do mesmo mais tarde.
Certificados de > Serviços, clique à direita no certificado de assinatura AD FS e, em seguida, selecione Ver Certificado.

No separador de detalhes do certificado, clique em Copiar para Arquivar e siga os passos do Assistente de Exportação de Certificados para exportar o seu certificado como Um X.509 codificado base-64 (. ARQUIVO CER).

De volta à Salesforce, na página de definições únicas de inscrição AD FS, tome nota de todas as definições.
Crie uma nova configuração de inscrição única DA SAML. Para além do valor de ID da Entidade que deve corresponder ao identificador de confiança da parte, configufique o único sinal de inscrição utilizando as definições que observou anteriormente. Vai precisar disto mais tarde ao configurar a Cloud App Security.
Passo 4: Configurar a Segurança da Aplicação Cloud com as informações da app AD FS
De volta à página de FORNECEDOR de Identidade de Segurança da Aplicação cloud, clique em Seguinte para proceder.
Na página seguinte, selecione Preencha os dados manualmente, faça o seguinte e, em seguida, clique em Seguinte.
- Para o URL de serviço de inscrição única, insira o URL de login salesforce que observou anteriormente.
- Selecione o certificado SAML do fornecedor de identidade upload e carreve o ficheiro de certificado que descarregou anteriormente.

Na página seguinte, tome nota das seguintes informações e, em seguida, clique em Seguinte. Vai precisar da informação mais tarde.
- Cloud App Security um único URL de sinal de inscrição
- Atributos e valores de Segurança da Aplicação cloud
Nota
Se vir uma opção para fazer o upload do certificado SAML de Segurança da Cloud App para o fornecedor de identidade, clique no link para descarregar o ficheiro do certificado. Precisará do mesmo mais tarde.

Passo 5: Complete a configuração do AD FS Relying Party Trust
De volta à consola de Gestão de FS AD, clique à direita na confiança do partido que criou anteriormente e, em seguida, selecione Edite Claim Issuance Policy.

Na caixa de diálogo de política de emissão de reclamação de edição, ao abrigo das Regras de Transformação de Emissão, utilize as informações fornecidas na tabela seguinte para completar os passos para criar regras personalizadas.
Nome da regra de reclamação Regra personalizada McasSigningCert => issue(type="McasSigningCert", value="<value>");onde<value>está o valor McAsSigningCert do assistente de Segurança da App cloud que observou anteriormenteMcAsAppId => issue(type="McasAppId", value="<value>");é o valor McasAppId do assistente de Segurança da App cloud que observou anteriormente- Clique em 'Adicionar Regra' ( 'Adicionar Regra' ('S claim' s no modelo de regra de reclamação, selecione Enviar Reclamações Usando uma Regra Personalizada e, em seguida, clique em Seguinte.
- Na página Regra de Configuração, insira o respetivo nome de regra de reclamação e a regra personalizada fornecida.
Nota
Estas regras são além de quaisquer regras de reclamação ou atributos exigidos pela app que está configurando.
De volta à página Do Trust do Partido De Confiança, clique à direita na confiança do partido que criou anteriormente e, em seguida, selecione Propriedades.
No separador Endpoints, selecione SAML Assertion Consumer Endpoint, clique em Editar e substitua o URL Trusted pelo URL de sinalização de segurança de aplicação de nuvem que anotado anteriormente e, em seguida, clique em OK.

Se descarregou um certificado SAML de Segurança cloud app para o fornecedor de identidade, no separador Signature, clique em Adicionar e carregar o ficheiro de certificado e, em seguida, clique em OK.

Guarde as suas definições.
Passo 6: Obtenha as alterações da aplicação na Cloud App Security
De volta à página Cloud App Security APP CHANGES, faça o seguinte, mas não clique em Terminar. Vai precisar da informação mais tarde.
- Copie o URL de assinatura única de segurança da app cloud SAML
- Descarregue o certificado SAML de Segurança da Cloud App

Passo 7: Complete as alterações da aplicação
Na Salesforce, navegue para > configurar definições > de identidade única Sign-On > Definições, e faça o seguinte:
Recomendado: Crie uma cópia de segurança das definições atuais.
Substitua o valor do campo URL do Fornecedor de Identidade por um URL de assinatura único de segurança da cloud que notou anteriormente.
Faça o upload do certificado SAML de Segurança da Cloud App que descarregou anteriormente.
Clique em Guardar.
Nota
O certificado SAML de Segurança cloud app é válido por um ano. Depois de expirar, um novo certificado terá de ser gerado.
Passo 8: Complete a configuração em Cloud App Security
- De volta à página Cloud App Security APP CHANGES, clique em Terminar. Após completar o assistente, todos os pedidos de login associados a esta aplicação serão encaminhados através do Controlo de Aplicações de Acesso Condicional.
Passos seguintes
Ver também
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.