Déployer le contrôle d'application par accès conditionnel pour toute application web utilisant Okta en tant que fournisseur d’identité (IdP)

Vous pouvez configurer des contrôles de session dans Microsoft Defender for Cloud Apps pour qu’ils fonctionnent avec n’importe quelle application web et n’importe quel fournisseur d’identité non Microsoft. Cet article explique comment router les sessions d’application d’Okta vers Defender for Cloud Apps pour les contrôles de session en temps réel.

Pour cet article, nous allons utiliser l’application Salesforce comme exemple d’application web configurée pour utiliser des contrôles de session Defender for Cloud Apps.

Prérequis

  • Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

    • Un client Okta préconfiguré.
    • Microsoft Defender for Cloud Apps
  • Configuration d’authentification unique Okta existante pour l’application utilisant le protocole d’authentification SAML 2.0

Pour configurer des contrôles de session pour votre application utilisant Okta comme fournisseur d’identité

Procédez comme suit pour router vos sessions d’application web d’Okta vers Defender for Cloud Apps.

Remarque

Vous pouvez configurer les informations d’authentification unique SAML de l’application fournies par Okta à l’aide de l’une des méthodes suivantes :

  • Option 1 : Chargement du fichier de métadonnées SAML de l’application.
  • Option 2 : Fourniture manuelle des données SAML de l’application.

Dans les étapes suivantes, nous allons utiliser l’option 2.

Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application

Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application

Étape 3 : Créer une nouvelle configuration d’authentification unique et d’application personnalisée Okta

Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application Okta

Étape 5 : Terminer la configuration de l’application personnalisée Okta

Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps

Étape 7 : Terminer les modifications apportées à l’application

Étape 8 : Terminer la configuration dans Defender for Cloud Apps

Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application

  1. Dans Salesforce, accédez à Configuration>Paramètres>Identité>Paramètres d’authentification unique.

  2. Sous Paramètres d’authentification unique, cliquez sur le nom de votre configuration Okta existante.

    Sélectionnez les paramètres d’authentification unique Salesforce.

  3. Dans la page Paramètre de l’authentification unique SAML, notez l’URL de connexion Salesforce. Vous en aurez besoin plus tard lors de la configuration de Defender for Cloud Apps.

    Remarque

    Si votre application fournit un certificat SAML, téléchargez le fichier de certificat.

    Sélectionnez l’URL de connexion de l’authentification unique Salesforce.

Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  3. Sélectionnez +Ajouter, puis, dans la fenêtre contextuelle, sélectionnez l’application que vous souhaitez déployer, puis sélectionnez Démarrer l’assistant.

  4. Dans la page INFORMATIONS DE L’APPLICATION, sélectionnez Renseigner les données manuellement, dans l’URL Assertion Consumer Service, entrez l’URL de connexion Salesforce que vous avez notée précédemment, puis cliquez sur Suivant.

    Remarque

    Si votre application fournit un certificat SAML, sélectionnez Utiliser le certificat SAML <app_name> et chargez le fichier de certificat.

    Renseignez manuellement les informations Salesforce SAML.

Étape 3 : Créer une nouvelle configuration d’authentification unique et d’application personnalisée Okta

Remarque

Pour limiter les temps d’arrêt des utilisateurs finaux et préserver votre configuration connue, nous vous recommandons de créer une nouvelle configuration d’application personnalisée et d’authentification unique. Si cela n’est pas possible, ignorez les étapes concernées. Par exemple, si l’application que vous configurez ne prend pas en charge la création de plusieurs configurations d’authentification unique, ignorez l’étape de création d’authentification unique.

  1. Dans la console Administration Okta, sous Applications, affichez les propriétés de votre configuration existante pour votre application et notez les paramètres.

  2. Cliquez sur Ajouter une application, puis sur Créer une application. Outre la valeur URI de participant (ID d’entité SP), valeur qui doit être un nom unique, configurez la nouvelle application à l’aide des paramètres que vous avez notés précédemment. Vous aurez besoin de cette application plus tard lors de la configuration de Defender for Cloud Apps.

  3. Accédez à Applications, affichez votre configuration Okta existante et, sous l’onglet Connexion, sélectionnez Afficher les instructions d’installation.

    Notez l’emplacement du service d’authentification unique de l’application Salesforce existant.

  4. Notez l’URL d’authentification unique du fournisseur d’identité et téléchargez le certificat de signature du fournisseur d’identité (X.509). Vous en aurez besoin plus tard.

  5. De retour dans Salesforce, dans la page des paramètres d’authentification unique Okta existante, notez tous les paramètres.

  6. Créez une configuration d’authentification unique SAML. Outre la valeur d’ID d’entité qui doit correspondre à l’URI de participant de l’application personnalisée (ID d’entité SP) configurez l’authentification unique à l’aide des paramètres que vous avez notés précédemment. Vous en aurez besoin plus tard lors de la configuration de Defender for Cloud Apps.

  7. Après avoir enregistré votre nouvelle application, accédez à la page Affectations et attribuez les personnes ou les groupes qui nécessitent l’accès à l’application.

ׂ

Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application Okta

  1. De retour sur la page FOURNISSEUR D'IDENTITÉ de Defender for Cloud Apps, sélectionnez Suivant pour continuer.

  2. Dans la page suivante, sélectionnez Remplir les données manuellement, procédez comme suit, puis cliquez sur Suivant.

    • Pour l’URL du service d’authentification unique, entrez l’URL de connexion Salesforce que vous avez notée précédemment.
    • Sélectionnez Charger le certificat SAML du fournisseur d’identité et chargez le fichier de certificat que vous avez téléchargé précédemment.

    Ajoutez l’URL du service d'authentification uniquement et le certificat SAML.

  3. Sur la page suivante, notez les informations suivantes, puis cliquez sur Suivant. Vous aurez besoin de ces informations plus tard.

    • URL d’authentification unique Defender for Cloud Apps
    • Attributs et valeurs Defender for Cloud Apps

    Remarque

    Si vous voyez une option permettant de charger le certificat SAML Defender for Cloud Apps du fournisseur d’identité, cliquez pour télécharger le fichier de certificat. Vous en aurez besoin plus tard.

    Dans Defender for Cloud Apps, notez l’URL et les attributs d’authentification unique.

Étape 5 : Terminer la configuration de l’application personnalisée Okta

  1. Dans la console Administration Okta, sous Applications, sélectionnez l’application personnalisée que vous avez créée précédemment, puis, sous Général>Paramètres SAML, cliquez sur Modifier.

    Recherchez et modifiez les paramètres SAML.

  2. Dans le champ URL d’authentification unique, remplacez l’URL par l’URL d’authentification unique Defender for Cloud Apps que vous avez notée précédemment, puis enregistrez vos paramètres.

  3. Sous Annuaire, sélectionnez Éditeur de profil, sélectionnez l’application personnalisée que vous avez créée précédemment, puis cliquez sur Profil. Ajoutez des attributs à l’aide des informations suivantes.

    Nom complet Nom de la variable Type de données Type d'attribut
    McasSigningCert McasSigningCert string Personnalisée
    McasAppId McasAppId string Personnalisée

    Ajoutez des attributs de profil.

  4. Dans la page Éditeur de profil, sélectionnez l’application personnalisée que vous avez créée précédemment, cliquez sur Mappages, puis sélectionnez Utilisateur Okta vers {custom_app_name}. Mappez les attributs McasSigningCert et McasAppId aux valeurs d’attribut Defender for Cloud Apps que vous avez notées précédemment.

    Remarque

    • Veillez à placer les valeurs entre guillemets doubles (")
    • Okta limite les attributs à 1 024 caractères. Pour atténuer cette limitation, ajoutez les attributs à l’aide de l’éditeur de profil comme décrit.

    Mappez des attributs de profil.

  5. Enregistrez vos paramètres.

Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps

De retour à la page MODIFICATIONS DE L'APPLICATION de Defender for Cloud Apps, procédez comme suit, mais ne cliquez pas sur Terminer. Vous aurez besoin de ces informations plus tard.

  • Copiez l’URL d’authentification unique SAML de Defender for Cloud Apps
  • Télécharger le certificat SAML Defender for Cloud Apps

Notez l’URL d’authentification unique SAML de Defender for Cloud Apps et téléchargez le certificat.

Étape 7 : Terminer les modifications apportées à l’application

Dans Salesforce, accédez à Configuration>Paramètres>Identité>Paramètres d’authentification unique, et procédez comme suit :

  1. [Recommandé] Créez une sauvegarde des paramètres actuels.

  2. Remplacez la valeur de champ URL de connexion du fournisseur d’identité par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez notée précédemment.

  3. Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé précédemment.

  4. Cliquez sur Enregistrer.

    Remarque

    • Un fois que vous avez enregistré vos paramètres, toutes les requêtes de connexion associées à cette application sont routées via le contrôle d’application par accès conditionnel.
    • Le certificat SAML Defender for Cloud Apps est valide pendant un an. Après l’expiration de ce certificat, un nouveau certificat doit être généré.

    Mettez à jour les paramètres d'authentification unique.

Étape 8 : Terminer la configuration dans Defender for Cloud Apps

  • De retour à la page MODIFICATIONS DE L'APPLICATION de Defender for Cloud Apps, cliquez sur Terminer. Une fois la procédure de l’assistant terminée, toutes les requêtes de connexion associées à cette application sont alors routées via le contrôle d’application par accès conditionnel.

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.