Implementación del control de aplicaciones de acceso condicional para cualquier aplicación web que utilice los servicios de federación de Active Directory (AD FS) como proveedor de identidades (IdP).

Puede configurar controles de sesión en Microsoft Defender for Cloud Apps para que funcionen con cualquier aplicación web y cualquier IdP que no sea de Microsoft. En este artículo se describe cómo enrutar las sesiones de aplicaciones de AD FS a Defender for Cloud Apps para controles de sesión en tiempo real.

En este artículo, usaremos la aplicación Salesforce como ejemplo de una aplicación web que se configura para usar los controles de sesión de Defender for Cloud Apps.

Requisitos previos

  • La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

    • Un entorno de AD FS preconfigurado
    • Microsoft Defender for Cloud Apps
  • Una configuración de inicio de sesión único de AD FS existente para la aplicación mediante el protocolo de autenticación SAML 2.0

Nota:

Estos pasos se aplican a todas las versiones de AD FS que se ejecutan en la versión compatible de Windows Server.

Para configurar controles de sesión para la aplicación mediante AD FS como IdP

Siga estos pasos para enrutar las sesiones de la aplicación web de AD FS a Defender for Cloud Apps.

Nota:

Puede configurar la información de inicio de sesión único de SAML de la aplicación proporcionada por AD FS mediante uno de los métodos siguientes:

  • Opción 1: Cargar el archivo de metadatos SAML de la aplicación.
  • Opción 2: Proporcionar manualmente los datos SAML de la aplicación.

En los pasos siguientes, usaremos la opción 2.

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

Paso 2: Configurar Defender for Cloud Apps con la información de SAML de la aplicación

Paso 3: Crear una nueva configuración de relación de confianza para usuario autenticado de AD FS e inicio de sesión único de la aplicación.

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación de AD FS

Paso 5: Completar la configuración de la confianza de usuario autenticado de AD FS

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

Paso 7: Completar los cambios de la aplicación

Paso 8: Completar la configuración en Defender for Cloud Apps

Paso 1: Obtener la configuración de inicio de sesión único de SAML de la aplicación

  1. En Salesforce, vaya a Configuración> Configuración> Identidad>Configuración del inicio de sesión único.

  2. En Configuración de inicio de sesión único, haga clic en el nombre de la configuración de AD FS existente.

    Seleccione Configuración de SSO de Salesforce.

  3. En la página Configuración de inicio de sesión único SAML, anote la dirección URL de inicio de sesión de Salesforce. Lo necesitará más adelante al configurar Defender for Cloud Apps.

    Nota:

    Si la aplicación proporciona un certificado SAML, descargue el archivo de certificado.

    Seleccione Dirección URL de inicio de sesión de SSO de Salesforce.

Paso 2: configure Defender for Cloud Apps con la información SAML de la aplicación.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. Seleccione + Agregar y, en el menú emergente, seleccione la aplicación que quiere implementar y, a continuación, seleccione Iniciar el asistente.

  4. En la página INFORMACIÓN DE LA APLICACIÓN, seleccione Rellenar datos manualmente, en la URL del servicio de consumidor de aserciones escriba la URL de inicio de sesión de Salesforce que anotó anteriormente y, a continuación, haga clic en Siguiente.

    Nota:

    Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Rellene manualmente la información de Salesforce SAML.

Paso 3: Crear una nueva configuración de confianza de usuario autenticado de AD FS e inicio de sesión único de la aplicación

Nota:

Para limitar el tiempo de inactividad del usuario final y conservar la configuración correcta conocida existente, se recomienda crear una nueva Relación de confianza para usuario autenticado y una Configuración de inicio de sesión único. Si esto no es posible, omita los pasos pertinentes. Por ejemplo, si la aplicación que está configurando no admite la creación de varias configuraciones de inicio de sesión único, omita el paso crear nuevo inicio de sesión único.

  1. En la consola de administración de AD FS, en Relaciones de confianza para usuario autenticado, vea las propiedades de la relación de confianza para usuario autenticado existente para la aplicación y anote la configuración.

  2. En Acciones, haga clic en Agregar veracidad del usuario de confianza. Aparte del valor Identificador que debe ser un nombre único, configure la nueva confianza con la configuración que anotó anteriormente. Necesitará esta confianza más adelante al configurar Defender for Cloud Apps.

  3. Abra el archivo de metadatos de federación y anote la ubicación SingleSignOnService de AD FS. Lo necesitará más adelante.

    Nota:

    Puede usar el siguiente punto de conexión para acceder al archivo de metadatos de federación: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

    Tenga en cuenta la ubicación del servicio SSO de la aplicación Salesforce existente.

  4. Descargue el certificado de firma del proveedor de identidades. Lo necesitará más adelante.

    1. En Servicios>Certificados, haga clic con el botón derecho en el certificado de firma AD FS y, a continuación, seleccione Ver certificado.

      Consulte las propiedades del certificado de firma de IdP.

    2. En la pestaña detalles del certificado, haga clic en Copiar en archivo y siga los pasos del Asistente para exportación de certificados para exportar el certificado como un archivo X.509 (.CER) codificado en Base-64.

      Guarde el archivo de certificado de firma de IdP.

  5. De nuevo en Salesforce, en la página de configuración de inicio de sesión único de AD FS existente, tome nota de toda la configuración.

  6. Cree una nueva configuración de inicio de sesión único de SAML. Aparte del valor de Id. de entidad que debe coincidir con el identificador de confianza del usuario de confianza, configure el inicio de sesión único con la configuración que anotó anteriormente. Lo necesitará más adelante al configurar Defender for Cloud Apps.

Paso 4: Configurar Defender for Cloud Apps con la información de la aplicación de AD FS

  1. De nuevo en la página PROVEEDOR DE IDENTIDADES de Defender for Cloud Apps, haga clic en Siguiente para continuar.

  2. En la página siguiente, seleccione Rellenar datos manualmente, haga lo siguiente y, a continuación, haga clic en Siguiente.

    • Para la dirección URL del servicio inicio de sesión único, escriba la dirección URL de inicio de sesión de Salesforce que anotó anteriormente.
    • Seleccione Cargar certificado SAML del proveedor de identidad y cargue el archivo del certificado que descargó anteriormente.

    Agregue la dirección URL del servicio SSO y el certificado SAML.

  3. En la página siguiente, anote la siguiente información y, a continuación, haga clic en Siguiente. Necesitará la información más adelante.

    • Dirección URL de inicio de sesión único de Defender for Cloud Apps
    • Atributos y valores de Defender for Cloud Apps

    Nota:

    Si ve una opción para cargar el certificado SAML de Defender for Cloud Apps para el proveedor de identidades, haga clic en el vínculo para descargar el archivo de certificado. Lo necesitará más adelante.

    En Defender for Cloud Apps, tenga en cuenta los atributos y la dirección URL de SSO.

Paso 5: Completar la configuración de la confianza de usuario autenticado de AD FS

  1. De nuevo en la consola de administración de AD FS, haga clic con el botón derecho del ratón en la confianza de la parte de confianza que creó anteriormente y, a continuación, seleccione Editar directiva de emisión de notificaciones.

    Busque y edite la emisión de notificaciones de confianza.

  2. En el cuadro de diálogo Editar directiva de emisión de notificaciones, en Reglas de transformación de emisión, use la información proporcionada en la tabla siguiente para completar los pasos para crear reglas personalizadas.

    Nombre de la regla de notificación Regla personalizada
    McasSigningCert => issue(type="McasSigningCert", value="<value>"); donde <value> es el valor de McasSigningCert del asistente de Defender for Cloud Apps que anotó anteriormente.
    McasAppId => issue(type="McasAppId", value="<value>"); es el valor de McasAppId del asistente de Defender for Cloud Apps que anotó anteriormente.
    1. Haga clic en Agregar regla, en Plantilla de regla de reclamación seleccione Enviar reclamaciones utilizando una regla personalizada y, a continuación, haga clic en Siguiente.
    2. En la página Configurar regla, escriba el nombre de la regla de notificación correspondiente y la regla personalizada proporcionada.

    Nota:

    Estas reglas se agregan a cualquier regla de notificación o atributos requeridos por la aplicación que esté configurando.

  3. De nuevo en la página Relación de confianza para usuario autenticado, haga clic con el botón derecho en la relación de confianza para usuario de confianza que creó anteriormente y, a continuación, seleccione Propiedades.

  4. En la pestaña Puntos de conexión, seleccione Punto de conexión de consumidor de aserciones de SAML, haga clic en Editar y reemplace la dirección URL de confianza por la dirección URL de inicio de sesión único de Defender for Cloud Apps que anotó anteriormente y, a continuación, haga clic en Aceptar.

    Actualice la URL de confianza de las propiedades del punto de conexión de confianza.

  5. Si descargó un certificado SAML de Defender for Cloud Apps para el proveedor de identidades, en la pestaña Firma, haga clic en Agregar y cargar el archivo de certificado y, a continuación, haga clic en Aceptar.

    Actualice el certificado SAML de las propiedades de firma de confianza.

  6. Guarde la configuración.

Paso 6: Obtener los cambios de la aplicación en Defender for Cloud Apps

De nuevo en la página CAMBIOS DE APLICACIÓN de Defender for Cloud Apps, haga lo siguiente, pero no haga clic en Finalizar. Necesitará la información más adelante.

  • Copia de la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps
  • Descarga del certificado SAML de Defender for Cloud Apps

Tenga en cuenta la dirección URL de SSO de SAML de Defender for Cloud Apps y descargue el certificado.

Paso 7: Completar los cambios de la aplicación

En Salesforce, vaya a Configuración>Configuración>Identidad>Configuración de inicio de sesión único y haga lo siguiente:

  1. Se recomienda crear una copia de seguridad de la configuración actual.

  2. Sustituya el valor del campo Dirección URL de inicio de sesión del proveedor de identidad por la dirección URL de inicio de sesión único SAML de Defender for Cloud Apps que anotó anteriormente.

  3. Cargue el certificado SAML de Defender for Cloud Apps que descargó anteriormente.

  4. Haga clic en Save(Guardar).

    Nota:

    El certificado SAML de Defender for Cloud Apps es válido durante un año. Una vez expirado, deberá generarse un nuevo certificado.

Paso 8: Completar la configuración en Defender for Cloud Apps

  • De nuevo en la página CAMBIOS DE APLICACIÓN de Defender for Cloud Apps, haga clic en Finalizar. Después de completar el asistente, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicaciones de acceso condicional.

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.