使用 Okta 作為辨識提供者的任何 Web 應用程式部署條件式存取應用程式控制 (IdP)
您可以在 適用於雲端的 Microsoft Defender Apps 中設定工作階段控制項,以使用任何 Web 應用程式和任何非 Microsoft IdP。 本文說明如何將應用程式會話從Okta路由傳送至 適用於雲端的 Defender Apps以進行即時會話控件。
在本文中,我們將使用 Salesforce 應用程式作為 Web 應用程式的範例,以使用 適用於雲端的 Defender Apps 會話控件。
必要條件
您的組織必須具有下列授權,才能使用條件式存取應用程控:
- 預先設定的Okta租使用者。
- Microsoft Defender for Cloud Apps
使用 SAML 2.0 驗證通訊協定的應用程式現有的 Okta 單一登錄組態
若要使用Okta作為IdP來設定應用程式的會話控件
使用下列步驟,將 Web 應用程式會話從 Okta 路由傳送至 適用於雲端的 Defender Apps。 如需 Microsoft Entra 設定步驟,請參閱 使用 Microsoft Entra 識別碼將自定義應用程式的條件式存取應用程控上線和部署。
注意
您可以使用下列其中一種方法,設定Okta所提供的應用程式 SAML 單一登入資訊:
- 選項 1:上傳應用程式的 SAML 元資料檔案。
- 選項 2:手動提供應用程式的 SAML 資料。
在下列步驟中,我們將使用選項 2。
步驟 1: 取得您應用程式的 SAML 單一登入設定
步驟 2:使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式
步驟 3: 建立新的 Okta 自定義應用程式和應用程式單一登入設定
步驟 4:使用 Okta 應用程式的資訊設定 適用於雲端的 Defender 應用程式
步驟 5: 完成 Okta 自定義應用程式的設定
步驟 6:在 適用於雲端的 Defender Apps 中取得應用程式變更
步驟 7: 完成應用程式變更
步驟 8:完成 適用於雲端的 Defender Apps 中的設定
步驟 1:取得您應用程式的 SAML 單一登入設定
在 Salesforce 中,流覽至安裝程式> 設定> Identity>單一登錄 設定。
在 [單一登錄] 設定 下,按下您現有Okta組態的名稱。
在 [ SAML 單一登錄設定 ] 頁面上,記下 Salesforce 登入 URL。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此數據。
注意
如果您的應用程式提供 SAML 憑證,請下載憑證檔案。
步驟 2:使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
在 [連線 的應用程式] 下,選取 [條件式存取應用程控應用程式]。
選取 [+新增],然後在快顯中選取您要部署的應用程式,然後選取 [ 啟動精靈]。
在 [APP 資訊] 頁面上,選取 [手動填入數據],在 [判斷提示取用者服務 URL] 中輸入您先前注意到的 Salesforce 登入 URL,然後按 [下一步]。
注意
如果您的應用程式提供 SAML 憑證,請選取 [ 使用 <app_name> SAML 憑證 並上傳憑證檔案。
步驟 3:建立新的 Okta 自定義應用程式和應用程式單一登入設定
注意
若要限制終端使用者停機時間並保留您現有的已知良好設定,建議您建立新的自定義應用程式和單一登錄組態。 如果無法這樣做,請略過相關步驟。 例如,如果您要設定的應用程式不支援建立多個 單一登錄設定,請略過建立新的單一登錄步驟。
在Okta 管理員主控台的 [應用程式] 下,檢視您應用程式現有組態的屬性,並記下設定。
按兩下 [ 新增應用程式],然後按兩下 [ 建立新應用程式]。 除了必須是唯一名稱的物件 URI (SP 實體識別元) 值之外,請使用您稍早記下的設定來設定新的應用程式。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此應用程式。
流覽至 [應用程式]、檢視現有的Okta設定,然後在 [登入] 索引標籤上,選取 [檢視設定指示]。
記下 識別提供者單一登錄 URL ,並下載識別提供者的簽署憑證 (X.509)。 您稍後會用到此程式。
回到 Salesforce,在現有的 Okta 單一登入設定頁面上,記下所有設定。
建立新的 SAML 單一登入設定。 除了必須符合自定義應用程式物件 URI(SP 實體識別元)的實體識別碼值之外,請使用您先前記下的設定來設定單一登錄。 稍後設定 適用於雲端的 Defender Apps 時,您將需要此資訊。
儲存新的應用程式之後,流覽至 [指派] 頁面,並指派需要存取應用程式的 人員 或群組。
步驟 4:使用 Okta 應用程式的資訊設定 適用於雲端的 Defender 應用程式
回到 [適用於雲端的 Defender 應用程式識別提供者] 頁面中,按 [下一步] 繼續進行。
在下一個頁面上,選取 [手動填入數據],執行下列動作,然後按 [下一步]。
- 針對 [單一登錄服務 URL],輸入您稍早記下的 Salesforce 登入 URL。
- 選取 [上傳識別提供者的 SAML 憑證 ],然後上傳您稍早下載的憑證檔案。
在下一個頁面上,記下下列資訊,然後按 [下一步]。 您稍後會需要此資訊。
- 適用於雲端的 Defender Apps 單一登入 URL
- 適用於雲端的 Defender Apps 屬性和值
注意
如果您看到上傳識別提供者 適用於雲端的 Defender 應用程式 SAML 憑證的選項,請按兩下按兩下以下載憑證檔案。 您稍後會用到此程式。
步驟 5:完成 Okta 自定義應用程式的設定
回到Okta 管理員控制台的 [應用程式] 底下,選取您稍早建立的自定義應用程式,然後在 [一般>SAML 設定] 底下,按兩下 [編輯]。
在 [單一登入 URL] 字段中,將 URL 取代為您稍早記下 適用於雲端的 Defender Apps 單一登錄 URL,然後儲存您的設定。
在 [目錄] 底下,選取 [配置檔編輯器],選取您稍早建立的自定義應用程式,然後按兩下 [配置檔]。 使用下列資訊新增屬性。
Display name 變數名稱 資料類型 屬性類型 McasSigningCert McasSigningCert string 自訂 McasAppId McasAppId string 自訂 
回到 [配置文件編輯器] 頁面上,選取您稍早建立的自定義應用程式,按兩下 [對應],然後選取 [Okta User to {custom_app_name}]。 將 McasSigningCert 和 McasAppId 屬性對應至您稍早注意到的 適用於雲端的 Defender Apps 屬性值。
注意
- 請務必以雙引弧括住值(“)
- Okta 會將屬性限制為1024個字元。 若要減輕這項限制,請使用 配置文件編輯器 新增屬性,如所述。
儲存您的設定。
步驟 6:在 適用於雲端的 Defender Apps 中取得應用程式變更
回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面,執行下列動作,但不要按兩下 [完成]。 您稍後會需要此資訊。
- 複製 適用於雲端的 Defender Apps SAML 單一登錄 URL
- 下載 適用於雲端的 Defender 應用程式 SAML 憑證
步驟 7:完成應用程式變更
在 Salesforce 中,流覽至安裝程式> 設定> Identity>單一登錄 設定,然後執行下列動作:
[建議]建立目前設定的備份。
將 [識別提供者登入 URL] 字段值取代為您稍早記下 適用於雲端的 Defender Apps SAML 單一登錄 URL。
上傳您稍早下載的 適用於雲端的 Defender Apps SAML 憑證。
按一下 [儲存]。
注意
- 儲存您的設定之後,所有與此應用程式的相關聯登入要求都會透過條件式存取應用程控路由傳送。
- 適用於雲端的 Defender Apps SAML 憑證的有效期限為一年。 到期之後,必須產生新的憑證。
步驟 8:完成 適用於雲端的 Defender Apps 中的設定
- 回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面中,按兩下 [完成]。 完成精靈之後,此應用程式的所有相關聯登入要求都會透過條件式存取應用程控路由傳送。
下一步
另請參閱
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。