使用 Active Directory 同盟服務 (AD FS) 作為識別提供者 (IdP) 為任何 Web 應用程式部署條件式存取應用程控
您可以在 適用於雲端的 Microsoft Defender Apps 中設定工作階段控制項,以使用任何 Web 應用程式和任何非 Microsoft IdP。 本文說明如何將應用程式會話從AD FS路由傳送至 適用於雲端的 Defender Apps以進行即時會話控件。
在本文中,我們將使用 Salesforce 應用程式作為 Web 應用程式的範例,以使用 適用於雲端的 Defender Apps 會話控件。
必要條件
您的組織必須具有下列授權,才能使用條件式存取應用程控:
- 預先設定的AD FS環境
- Microsoft Defender for Cloud Apps
使用 SAML 2.0 驗證通訊協定的應用程式現有的 AD FS 單一登入設定
注意
此處的步驟適用於在支援的 Windows Server 版本上執行的所有 AD FS 版本。
若要使用AD FS做為IdP來設定應用程式的會話控件
使用下列步驟,將 Web 應用程式會話從 AD FS 路由傳送至 適用於雲端的 Defender Apps。 如需 Microsoft Entra 設定步驟,請參閱 使用 Microsoft Entra 識別碼將自定義應用程式的條件式存取應用程控上線和部署。
注意
您可以使用下列其中一種方法,設定 AD FS 所提供的應用程式 SAML 單一登入資訊:
- 選項 1:上傳應用程式的 SAML 元資料檔案。
- 選項 2:手動提供應用程式的 SAML 資料。
在下列步驟中,我們將使用選項 2。
步驟 1: 取得您應用程式的 SAML 單一登入設定
步驟 2:使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式
步驟 3: 建立新的 AD FS 信賴憑證者信任和應用程式單一登錄設定
步驟 4:使用 AD FS 應用程式的資訊設定 適用於雲端的 Defender 應用程式
步驟 5: 完成 AD FS 信賴憑證者信任的設定
步驟 6:在 適用於雲端的 Defender Apps 中取得應用程式變更
步驟 7: 完成應用程式變更
步驟 8:完成 適用於雲端的 Defender Apps 中的設定
步驟 1:取得您應用程式的 SAML 單一登入設定
在 Salesforce 中,流覽至安裝程式> 設定> Identity>單一登錄 設定。
在 [單一登錄] 設定 下,按兩下現有AD FS組態的名稱。
在 [ SAML 單一登錄設定 ] 頁面上,記下 Salesforce 登入 URL。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此資訊。
注意
如果您的應用程式提供 SAML 憑證,請下載憑證檔案。
步驟 2:使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
選取 [+新增],然後在快顯中選取您要部署的應用程式,然後選取 [ 啟動精靈]。
在 [APP 資訊] 頁面上,選取 [手動填入數據],在 [判斷提示取用者服務 URL] 中輸入您先前注意到的 Salesforce 登入 URL,然後按 [下一步]。
注意
如果您的應用程式提供 SAML 憑證,請選取 [ 使用 <app_name> SAML 憑證 並上傳憑證檔案。
步驟 3:建立新的 AD FS 信賴憑證者信任和應用程式單一登錄設定
注意
若要限制終端使用者停機時間並保留您現有的已知良好設定,建議您建立新的 信賴憑證者信任 和 單一登錄設定。 如果無法這樣做,請略過相關步驟。 例如,如果您要設定的應用程式不支援建立多個 單一登錄設定,請略過建立新的單一登錄步驟。
在AD FS管理主控台的 [信賴憑證者信任] 下,檢視您應用程式現有信賴憑證者信任的屬性,並記下設定。
在 [動作] 底下 ,按一下 [新增信賴憑證者信任]。 除了必須是唯一名稱的 標識碼 值之外,請使用您稍早記下的設定來設定新的信任。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此信任。
開啟同盟元數據檔案,並記下 AD FS SingleSignOnService 位置。 您稍後會用到此程式。
注意
您可以使用下列端點來存取同盟元資料檔案:
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
下載識別提供者的簽署憑證。 您稍後會用到此程式。
在 [服務>憑證] 底下,以滑鼠右鍵按兩下AD FS簽署憑證,然後選取 [檢視憑證]。
在憑證的詳細數據索引標籤上,按兩下 [複製到檔案],然後遵循 [憑證導出精靈] 中的步驟,將您的憑證導出為Base-64編碼的 X.509 (。CER) 檔案。
回到 Salesforce,在現有的 AD FS 單一登入設定頁面上,記下所有設定。
建立新的 SAML 單一登入設定。 除了必須符合信賴憑證者信任標識符的實體標識碼值之外,請使用您先前記下的設定來設定單一登錄。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此數據。
步驟 4:使用 AD FS 應用程式的資訊設定 適用於雲端的 Defender 應用程式
回到 [適用於雲端的 Defender 應用程式識別提供者] 頁面中,按 [下一步] 繼續進行。
在下一個頁面上,選取 [手動填入數據],執行下列動作,然後按 [下一步]。
- 針對 [單一登錄服務 URL],輸入您稍早記下的 Salesforce 登入 URL。
- 選取 [上傳識別提供者的 SAML 憑證 ],然後上傳您稍早下載的憑證檔案。
在下一個頁面上,記下下列資訊,然後按 [下一步]。 您稍後會需要此資訊。
- 適用於雲端的 Defender Apps 單一登入 URL
- 適用於雲端的 Defender Apps 屬性和值
注意
如果您看到上傳識別提供者 適用於雲端的 Defender 應用程式 SAML 憑證的選項,請按兩下連結以下載憑證檔案。 您稍後會用到此程式。
步驟 5:完成 AD FS 信賴憑證者信任的設定
回到AD FS管理主控台,以滑鼠右鍵按下您稍早建立的信賴憑證者信任,然後選取 [編輯宣告發行原則]。
在 [編輯宣告發行原則] 對話方塊的 [發行轉換規則] 底下,使用下表中提供的資訊來完成建立自定義規則的步驟。
宣告規則名稱 自訂規則 McasSigningCert => issue(type="McasSigningCert", value="<value>");其中<value>是您稍早注意到 適用於雲端的 Defender Apps 精靈中的 McasSigningCert 值McasAppId => issue(type="McasAppId", value="<value>");是您稍早注意到的 適用於雲端的 Defender Apps 精靈中的 McasAppId 值- 按兩下 [新增規則],在 [宣告規則] 範本底下,選取 [使用自訂規則傳送宣告],然後按 [下一步]。
- 在 [設定規則] 頁面上,輸入個別的宣告規則名稱和提供的自定義規則。
注意
這些規則除了您正在設定的應用程式所需的任何宣告規則或屬性之外。
回到 [ 信賴憑證者信任 ] 頁面,以滑鼠右鍵按下您稍早建立的信賴憑證者信任,然後選取 [ 屬性]。
在 [端點] 索引標籤上,選取 [SAML 判斷提示取用者端點],按兩下 [編輯],並將 [受信任的 URL] 取代為您稍早記下的 [適用於雲端的 Defender Apps 單一登錄 URL],然後單擊 [確定]。
如果您已為識別提供者下載 適用於雲端的 Defender 應用程式 SAML 憑證,請在 [簽章] 索引標籤上,按兩下 [新增] 並上傳憑證檔案,然後按兩下 [確定]。
儲存您的設定。
步驟 6:在 適用於雲端的 Defender Apps 中取得應用程式變更
回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面中,執行下列動作,但不要按兩下 [完成]。 您稍後會需要此資訊。
- 複製 適用於雲端的 Defender 應用程式 SAML 單一登入 URL
- 下載 適用於雲端的 Defender 應用程式 SAML 憑證
步驟 7:完成應用程式變更
在 Salesforce 中,流覽至 Setup> 設定> Identity>單一登錄 設定,然後執行下列動作:
建議:建立目前設定的備份。
將 [識別提供者登入 URL] 字段值取代為您稍早記下 適用於雲端的 Defender Apps SAML 單一登錄 URL。
上傳您稍早下載 適用於雲端的 Defender 應用程式 SAML 憑證。
按一下 [儲存]。
注意
適用於雲端的 Defender Apps SAML 憑證的有效期限為一年。 到期之後,必須產生新的憑證。
步驟 8:完成 適用於雲端的 Defender Apps 中的設定
- 回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面中,按兩下 [完成]。 完成精靈之後,此應用程式的所有相關聯登入要求都會透過條件式存取應用程控路由傳送。
下一步
另請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。