A bordo e implementar o Controlo de Aplicações de Acesso Condicional para qualquer aplicação web utilizando os Serviços da Federação de Diretório Ativo (AD FS) como fornecedor de identidade (IdP)

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Pode configurar os controlos de sessão no Microsoft Cloud App Security para trabalhar com qualquer aplicação web e qualquer IdP de terceiros. Este artigo descreve como encaminhar sessões de aplicações de AD FS para Cloud App Security para controlos de sessão em tempo real.

Para este artigo, usaremos a aplicação Salesforce como um exemplo de uma aplicação web configurada para usar controlos de sessão de Cloud App Security.

Pré-requisitos

  • A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:

    • Um ambiente AD FS pré-configurado
    • Microsoft Cloud App Security
  • Uma configuração de sinalização única AD FS para a aplicação utilizando o protocolo de autenticação SAML 2.0

Nota

Os passos aqui aplicam-se a todas as versões de AD FS que funcionam na versão suportada do Windows Server.

Para configurar os controlos de sessão para a sua aplicação usando AD FS como idP

Use os seguintes passos para encaminhar as suas sessões de aplicações web de AD FS para Cloud App Security. Para passos de configuração AD Azure, consulte a integração do Configure com a Azure AD.

Nota

Pode configurar as informações únicas de sinstrução saml da aplicação fornecidas pela AD FS utilizando um dos seguintes métodos:

  • Opção 1: Carregar o ficheiro de metadados SAML da aplicação.
  • Opção 2: Fornecer manualmente os dados SAML da aplicação.

Nos passos seguintes, usaremos a opção 2.

Passo 1: Obtenha as definições de sinalização única saml única da sua aplicação

Passo 2: Configurar a Cloud App Security com as informações SAML da sua aplicação

Passo 3: Criar uma nova configuração de AD FS Relying Party Trust e App Single Sign-On

Passo 4: Configurar a Segurança da Aplicação Cloud com as informações da app AD FS

Passo 5: Complete a configuração do AD FS Relying Party Trust

Passo 6: Obtenha as alterações da aplicação na Cloud App Security

Passo 7: Complete as alterações da aplicação

Passo 8: Complete a configuração em Cloud App Security

Passo 1: Obtenha as definições de sinalização única saml única da sua aplicação

  1. No Salesforce, navegue para > configurar definições > de identidade única Sign-On > Definições.

  2. Em Definições Sign-On única, clique no nome da sua configuração AD FS existente.

    Selecione as definições SSO da Salesforce.

  3. Na página de Definição de Sign-On Único SAML, tome nota do URL de Login da Salesforce . Vai precisar disto mais tarde ao configurar a Cloud App Security.

    Nota

    Se a sua aplicação fornecer um certificado SAML, descarregue o ficheiro de certificado.

    Selecione O URL de login SSO da Salesforce.

Passo 2: Configurar a Cloud App Security com as informações SAML da sua aplicação

  1. Na Cloud App Security, navegue para investigar > aplicações conectadas > de acesso às aplicações.

  2. Clique no sinal de mais e no pop-up, selecione a aplicação que pretende implementar e, em seguida, clique em Iniciar o Assistente.

  3. Na página INFORMAÇÃO DA APP, selecione Preencha os dados manualmente, no URL do serviço de apoio ao consumidor afirmação introduza o URL de Login salesforce que anotado anteriormente e, em seguida, clique em Seguinte.

    Nota

    Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

    Preencha manualmente as informações da Salesforce SAML.

Passo 3: Criar uma nova configuração de AD FS Relying Party Trust e App Single Sign-On

Nota

Para limitar o tempo de inatividade do utilizador final e preservar a sua boa configuração conhecida, recomendamos a criação de uma nova configuração de Confiança do Partido De Confiança e Sign-On . Quando isso não for possível, ignore os passos relevantes. Por exemplo, se a aplicação que está a configurar não suporta a criação de várias configurações de Sign-On únicas, então ignore o novo passo de entrada única.

  1. Na consola AD FS Management, no âmbito do Relying Party Trusts, veja as propriedades da confiança do seu partido existente para a sua aplicação e tome nota das definições.

  2. Em ações, clique em Adicionar confiança da entidade Confiadora. Além do valor do Identifier que deve ser um nome único, configufique a nova confiança utilizando as configurações que observou anteriormente. Você vai precisar desta confiança mais tarde ao configurar a Cloud App Security.

  3. Abra o ficheiro de metadados da federação e tome nota da Localização singleSignOnService da AD FS . Precisará do mesmo mais tarde.

    Nota

    Pode utilizar o seguinte ponto final para aceder ao ficheiro metadados da federação: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Note a localização do serviço SSO da aplicação Salesforce.

  4. Descarregue o Certificado de Assinatura do fornecedor de identidade. Precisará do mesmo mais tarde.

    1. Certificados de > Serviços, clique à direita no certificado de assinatura AD FS e, em seguida, selecione Ver Certificado.

      Ver propriedades de certificado de assinatura IdP.

    2. No separador de detalhes do certificado, clique em Copiar para Arquivar e siga os passos do Assistente de Exportação de Certificados para exportar o seu certificado como Um X.509 codificado base-64 (. ARQUIVO CER).

      Guarde o ficheiro do certificado de assinatura IdP.

  5. De volta à Salesforce, na página de definições únicas de inscrição AD FS, tome nota de todas as definições.

  6. Crie uma nova configuração de inscrição única DA SAML. Para além do valor de ID da Entidade que deve corresponder ao identificador de confiança da parte, configufique o único sinal de inscrição utilizando as definições que observou anteriormente. Vai precisar disto mais tarde ao configurar a Cloud App Security.

Passo 4: Configurar a Segurança da Aplicação Cloud com as informações da app AD FS

  1. De volta à página de FORNECEDOR de Identidade de Segurança da Aplicação cloud, clique em Seguinte para proceder.

  2. Na página seguinte, selecione Preencha os dados manualmente, faça o seguinte e, em seguida, clique em Seguinte.

    • Para o URL de serviço de inscrição única, insira o URL de login salesforce que observou anteriormente.
    • Selecione o certificado SAML do fornecedor de identidade upload e carreve o ficheiro de certificado que descarregou anteriormente.

    Adicione URL de serviço SSO e certificado SAML.

  3. Na página seguinte, tome nota das seguintes informações e, em seguida, clique em Seguinte. Vai precisar da informação mais tarde.

    • Cloud App Security um único URL de sinal de inscrição
    • Atributos e valores de Segurança da Aplicação cloud

    Nota

    Se vir uma opção para fazer o upload do certificado SAML de Segurança da Cloud App para o fornecedor de identidade, clique no link para descarregar o ficheiro do certificado. Precisará do mesmo mais tarde.

    Na Cloud App Security, note URL SSO e atributos.

Passo 5: Complete a configuração do AD FS Relying Party Trust

  1. De volta à consola de Gestão de FS AD, clique à direita na confiança do partido que criou anteriormente e, em seguida, selecione Edite Claim Issuance Policy.

    Localize e edite a emissão de reclamação de confiança.

  2. Na caixa de diálogo de política de emissão de reclamação de edição, ao abrigo das Regras de Transformação de Emissão, utilize as informações fornecidas na tabela seguinte para completar os passos para criar regras personalizadas.

    Nome da regra de reclamação Regra personalizada
    McasSigningCert => issue(type="McasSigningCert&quot;, value=&quot;<value>"); onde <value> está o valor McAsSigningCert do assistente de Segurança da App cloud que observou anteriormente
    McAsAppId => issue(type="McasAppId", value="<value>"); é o valor McasAppId do assistente de Segurança da App cloud que observou anteriormente
    1. Clique em 'Adicionar Regra' ( 'Adicionar Regra' ('S claim' s no modelo de regra de reclamação, selecione Enviar Reclamações Usando uma Regra Personalizada e, em seguida, clique em Seguinte.
    2. Na página Regra de Configuração, insira o respetivo nome de regra de reclamação e a regra personalizada fornecida.

    Nota

    Estas regras são além de quaisquer regras de reclamação ou atributos exigidos pela app que está configurando.

  3. De volta à página Do Trust do Partido De Confiança, clique à direita na confiança do partido que criou anteriormente e, em seguida, selecione Propriedades.

  4. No separador Endpoints, selecione SAML Assertion Consumer Endpoint, clique em Editar e substitua o URL Trusted pelo URL de sinalização de segurança de aplicação de nuvem que anotado anteriormente e, em seguida, clique em OK.

    Atualização confiando propriedades de ponto final fidedigno URL.

  5. Se descarregou um certificado SAML de Segurança cloud app para o fornecedor de identidade, no separador Signature, clique em Adicionar e carregar o ficheiro de certificado e, em seguida, clique em OK.

    Atualizar com recurso a propriedades de assinatura de confiança certificado SAML.

  6. Guarde as suas definições.

Passo 6: Obtenha as alterações da aplicação na Cloud App Security

De volta à página Cloud App Security APP CHANGES, faça o seguinte, mas não clique em Terminar. Vai precisar da informação mais tarde.

  • Copie o URL de assinatura única de segurança da app cloud SAML
  • Descarregue o certificado SAML de Segurança da Cloud App

Note o CLOUD App Security SAML SSO URL e descarregue o certificado.

Passo 7: Complete as alterações da aplicação

Na Salesforce, navegue para > configurar definições > de identidade única Sign-On > Definições, e faça o seguinte:

  1. Recomendado: Crie uma cópia de segurança das definições atuais.

  2. Substitua o valor do campo URL do Fornecedor de Identidade por um URL de assinatura único de segurança da cloud que notou anteriormente.

  3. Faça o upload do certificado SAML de Segurança da Cloud App que descarregou anteriormente.

  4. Clique em Guardar.

    Nota

    O certificado SAML de Segurança cloud app é válido por um ano. Depois de expirar, um novo certificado terá de ser gerado.

Passo 8: Complete a configuração em Cloud App Security

  • De volta à página Cloud App Security APP CHANGES, clique em Terminar. Após completar o assistente, todos os pedidos de login associados a esta aplicação serão encaminhados através do Controlo de Aplicações de Acesso Condicional.

Passos seguintes

Ver também

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.