使用 PingOne 作為辨識提供者的任何 Web 應用程式部署條件式存取應用程式控制 （IdP）

您可以在 適用於雲端的 Microsoft Defender Apps 中設定工作階段控制項，以使用任何 Web 應用程式和任何非 Microsoft IdP。 本文說明如何將應用程式會話從 PingOne 路由傳送至 適用於雲端的 Defender Apps 以進行即時會話控件。

在本文中，我們將使用 Salesforce 應用程式作為 Web 應用程式的範例，以使用 適用於雲端的 Defender Apps 會話控件。 若要設定其他應用程式，請根據其需求執行相同的步驟。

必要條件

• 您的組織必須具有下列授權，才能使用條件式存取應用程控：

  • 相關的 PingOne 授權（單一登入所需）
  • Microsoft Defender for Cloud Apps

• 使用 SAML 2.0 驗證通訊協定之應用程式的現有 PingOne 單一登入設定

若要使用 PingOne 作為 IdP 來設定應用程式的作業階段控制件

使用下列步驟，將 Web 應用程式會話從 PingOne 路由傳送至 適用於雲端的 Defender Apps。 如需 Microsoft Entra 設定步驟，請參閱 使用 Microsoft Entra 識別碼將自定義應用程式的條件式存取應用程控上線和部署。

注意

您可以使用下列其中一種方法，設定 PingOne 所提供的應用程式 SAML 單一登入資訊：

• 選項 1：上傳應用程式的 SAML 元資料檔案。
• 選項 2：手動提供應用程式的 SAML 資料。

在下列步驟中，我們將使用選項 2。

步驟 1： 取得您應用程式的 SAML 單一登入設定

步驟 2：使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式

步驟 3： 在 PingOne 中建立自定義應用程式

步驟 4：使用 PingOne 應用程式的資訊設定 適用於雲端的 Defender 應用程式

步驟 5： 在 PingOne 中完成自定義應用程式

步驟 6：在 適用於雲端的 Defender Apps 中取得應用程式變更

步驟 7： 完成應用程式變更

步驟 8：完成 適用於雲端的 Defender Apps 中的設定

步驟 1：取得您應用程式的 SAML 單一登入設定

1. 在 Salesforce 中，流覽至安裝程式> 設定> Identity>單一登錄 設定。

2. 在 [單一登錄 設定 下，選取您現有 SAML 2.0 組態的名稱。

   

3. 在 [ SAML 單一登錄設定 ] 頁面上，記下 Salesforce 登入 URL。 您稍後會用到此程式。

   注意

   如果您的應用程式提供 SAML 憑證，請下載憑證檔案。

   

步驟 2：使用您應用程式的 SAML 資訊設定 適用於雲端的 Defender 應用程式

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [ 雲端應用程式]。

2. 在 連線 應用程式下，選取 [條件式存取應用程控應用程式]。

3. 選取 [+新增]，然後在快顯中選取您要部署的應用程式，然後選取 [ 啟動精靈]。

4. 在 [APP 資訊] 頁面上，選取 [手動填入數據]，在 [判斷提示取用者服務 URL] 中輸入您先前注意到的 Salesforce 登入 URL，然後選取 [下一步]。

   注意

   如果您的應用程式提供 SAML 憑證，請選取 [ 使用 <app_name> SAML 憑證 並上傳憑證檔案。

   

步驟 3：在 PingOne 中建立自定義應用程式

繼續進行之前，請使用下列步驟從現有的 Salesforce 應用程式取得資訊。

1. 在 PingOne 中，編輯您現有的 Salesforce 應用程式。

2. 在 [ SSO 屬性對應 ] 頁面上，記下SAML_SUBJECT屬性和值，然後下載簽署 憑證 和 SAML 元數據 檔案。

   

3. 開啟 SAML 元數據檔案，並記下 PingOne SingleSignOnService 位置。 您稍後會用到此程式。

   

4. 在 [ 群組存取 ] 頁面上，記下指派的群組。

   

然後使用 [新增 SAML 應用程式與識別提供者] 頁面的指示，在 IdP 的入口網站中設定自定義應用程式。

注意

設定自定義應用程式可讓您使用存取權和會話控件來測試現有的應用程式，而不需要變更您組織的目前行為。

1. 建立 新的 SAML 應用程式。

   

2. 在 [ 應用程式詳細數據] 頁面上，填寫窗體，然後選取 [繼續下一步]。

   提示

   使用可協助您區分自定義應用程式與現有 Salesforce 應用程式的應用程式名稱。

   

3. 在 [ 應用程式組態 ] 頁面上，執行下列動作，然後選取 [ 繼續執行下一個步驟]。

   • 在 [ 判斷提示取用者服務 （ACS）] 字段中，輸入您稍早注意到的 Salesforce 登入 URL 。
   • 在 [ 實體標識符 ] 字段中，輸入以 開頭 https://的唯一標識符。 請確定這與結束的 Salesforce PingOne 應用程式組態不同。
   • 記下 實體標識碼。 您稍後會用到此程式。

   

4. 在 [ SSO 屬性對應 ] 頁面上，新增現有 Salesforce 應用程式的 SAML_SUBJECT 屬性和您稍早注意到的值，然後選取 [ 繼續下一步]。

   

5. 在 [ 群組存取 ] 頁面上，新增您先前注意到的現有 Salesforce 應用程式群組，並完成設定。

   

步驟 4：使用 PingOne 應用程式的資訊設定 適用於雲端的 Defender 應用程式

1. 回到 [適用於雲端的 Defender 應用程式識別提供者] 頁面中，選取 [下一步] 繼續進行。

2. 在下一個頁面上，選取 [手動填入數據]，執行下列動作，然後選取 [ 下一步]。

   • 針對判斷提示取 用者服務 URL，輸入您稍早注意到的 Salesforce 登入 URL 。
   • 選取 [上傳識別提供者的 SAML 憑證 ]，然後上傳您稍早下載的憑證檔案。

   

3. 在下一個頁面上，記下下列資訊，然後選取 [ 下一步]。 您稍後會需要此資訊。

   • 適用於雲端的 Defender Apps 單一登入 URL
   • 適用於雲端的 Defender Apps 屬性和值

   

步驟 5：在 PingOne 中完成自定義應用程式

1. 在 PingOne 中，找出並編輯自定義 Salesforce 應用程式。

   

2. 在 [判斷提示取用者服務 （ACS）] 字段中，將 URL 取代為您稍早記下的 適用於雲端的 Defender Apps 單一登錄 URL，然後選取 [下一步]。

   

3. 將您先前注意到的 適用於雲端的 Defender Apps 屬性和值新增至應用程式的屬性。

   

4. 儲存您的設定。

步驟 6：在 適用於雲端的 Defender Apps 中取得應用程式變更

回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面中，執行下列動作，但不選取 [完成]。 您稍後會需要此資訊。

• 複製 適用於雲端的 Defender Apps SAML 單一登錄 URL
• 下載 適用於雲端的 Defender 應用程式 SAML 憑證

步驟 7：完成應用程式變更

在 Salesforce 中，流覽至 Setup> 設定> Identity>單一登錄 設定，然後執行下列動作：

1. 建議：建立目前設定的備份。

2. 將 [識別提供者登入 URL] 字段值取代為您稍早記下 適用於雲端的 Defender Apps SAML 單一登錄 URL。

3. 上傳您稍早下載的 適用於雲端的 Defender Apps SAML 憑證。

4. 將 [實體標識符 ] 域值取代為您稍早注意到的 PingOne 自定義應用程式實體識別碼。

5. 選取 [儲存]。

   注意

   適用於雲端的 Defender 應用程式 SAML 憑證的有效期限為一年。 到期之後，必須產生新的憑證。

   

步驟 8：完成 適用於雲端的 Defender Apps 中的設定

• 回到 [適用於雲端的 Defender 應用程式應用程式變更] 頁面中，選取 [完成]。 完成精靈之後，此應用程式的所有相關聯登入要求都會透過條件式存取應用程控路由傳送。

下一步

« PREVIOUS：為任何應用程式部署條件式存取應用程控

另請參閱

條件式存取應用程控簡介

針對存取和會話控件進行疑難解答

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。