Déployer le contrôle d’application par accès conditionnel pour n’importe quelle application Web à l’aide de PingOne en tant que fournisseur d’identité (IdP)

  • Article

Vous pouvez configurer des contrôles de session dans Microsoft Defender for Cloud Apps pour qu’ils fonctionnent avec n’importe quelle application web et n’importe quel fournisseur d’identité non Microsoft. Cet article explique comment router les sessions d’application de PingOne vers Defender for Cloud Apps pour les contrôles de session en temps réel.

Pour cet article, nous allons utiliser l’application Salesforce comme exemple d’application web configurée pour utiliser des contrôles de session Defender for Cloud Apps. Pour configurer d’autres applications, effectuez les mêmes étapes en fonction de leurs exigences.

Prérequis

  • Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :

    • Une licence PingOne pertinente (obligatoire pour l’authentification unique)
    • Microsoft Defender for Cloud Apps

  • Configuration d’authentification unique PingOne existante pour l’application utilisant le protocole d’authentification SAML 2.0

Pour configurer des contrôles de session pour votre application à l’aide de PingOne en tant que fournisseur d’identité

Procédez comme suit pour router vos sessions d’application web de PingOne vers Defender for Cloud Apps.

Remarque

Vous pouvez configurer les informations d’authentification unique SAML de l’application fournies par PingOne à l’aide de l’une des méthodes suivantes :

  • Option 1 : Chargement du fichier de métadonnées SAML de l’application.
  • Option 2 : Fourniture manuelle des données SAML de l’application.

Dans les étapes suivantes, nous allons utiliser l’option 2.

Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application

Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application

Étape 3 : Créer une application personnalisée dans PingOne

Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application PingOne

Étape 5 : Terminer l’application personnalisée dans PingOne

Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps

Étape 7 : Terminer les modifications apportées à l’application

Étape 8 : Terminer la configuration dans Defender for Cloud Apps

Étape 1 : Obtenir les paramètres d’authentification unique SAML de votre application

  1. Dans Salesforce, accédez à Configuration>Paramètres>Identité>Paramètres d’authentification unique.

  2. Sous Paramètres d’authentification unique, sélectionnez le nom de votre configuration SAML 2.0 existante.

    Sélectionnez les paramètres d’authentification unique Salesforce.

  3. Dans la page Paramètre de l’authentification unique SAML, notez l’URL de connexion Salesforce. Vous en aurez besoin plus tard.

    Remarque

    Si votre application fournit un certificat SAML, téléchargez le fichier de certificat.

    Sélectionnez l’URL de connexion de l’authentification unique Salesforce.

Étape 2 : Configurer Defender for Cloud Apps avec les informations SAML de votre application

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  3. Sélectionnez +Ajouter, puis, dans la fenêtre contextuelle, sélectionnez l’application que vous souhaitez déployer, puis sélectionnez Démarrer l’assistant.

  4. Dans la page INFORMATIONS DE L’APPLICATION, sélectionnez Renseigner les données manuellement, dans l’URL Assertion Consumer Service, entrez l’URL de connexion Salesforce que vous avez notée précédemment, puis sélectionnez Suivant.

    Remarque

    Si votre application fournit un certificat SAML, sélectionnez Utiliser le certificat SAML <app_name> et chargez le fichier de certificat.

    Renseignez manuellement les informations Salesforce SAML.

Étape 3 : Créer une application personnalisée dans PingOne

Avant de continuer, procédez comme suit pour obtenir des informations à partir de votre application Salesforce existante.

  1. Dans PingOne, modifiez votre application Salesforce existante.

  2. Dans la page Mappage d’attributs de l’authentification unique, notez l’attribut et la valeur de SAML_SUBJECT, puis téléchargez les fichiers de certificat de signature et métadonnées SAML.

    Notez les attributs de l’application Salesforce existants.

  3. Ouvrez le fichier de métadonnées SAML et notez l’emplacement SingleSignOnService PingOne. Vous en aurez besoin plus tard.

    Notez l’emplacement du service d’authentification unique de l’application Salesforce existant.

  4. Dans la page Accès au groupe, notez les groupes attribués.

    Notez les groupes attribués de l’application Salesforce existants.

Utilisez ensuite les instructions de la page Ajouter une application SAML avec votre fournisseur d’identité pour configurer une application personnalisée dans le portail de votre fournisseur d’identité.

Ajoutez l'application SAML avec votre fournisseur d’identité.

Remarque

La configuration d’une application personnalisée vous permet de tester l’application existante avec des contrôles d’accès et de session sans modifier le comportement actuel de votre organisation.

  1. Créer une nouvelle application SAML.

    Dans PingOne, créez une nouvelle application Salesforce personnalisée.

  2. Dans la page Détails de l’application, renseignez le formulaire, puis sélectionnez Continuer à l’étape suivante.

    Conseil

    Utilisez un nom d’application qui vous aidera à faire la distinction entre l’application personnalisée et l’application Salesforce existante.

    Renseignez les détails de l’application personnalisée.

  3. Dans la page Configuration de l’application, procédez comme suit, puis sélectionnez Continuer à l’étape suivante.

    • Dans le champ Assertion Consumer Service, entrez l’URL de connexion Salesforce que vous avez notée précédemment.
    • Dans le champ ID d’entité, entrez un ID unique à partir de https://. Assurez-vous que cela diffère de la configuration de l’application PingOne Salesforce sortante.
    • Notez l’ID de l’entité. Vous en aurez besoin plus tard.

    Configurez l’application personnalisée avec les détails de Salesforce SAML.

  4. À la page Mappage d’attributs de l’authentification unique, ajoutez l’attribut et la valeur de SAML_SUBJECT de l’application Salesforce existants que vous avez notés précédemment, puis sélectionnez Passer à l’étape suivante.

    Ajoutez des attributs à l’application Salesforce personnalisée.

  5. Dans la page Accès au groupe, ajoutez les groupes existants de l’application Salesforce que vous avez notée précédemment et terminez la configuration.

    Affectez des groupes à l'application Salesforce personnalisée.

Étape 4 : Configurer Defender for Cloud Apps avec les informations de l’application PingOne

  1. De retour sur la page Defender for Cloud Apps FOURNISSEUR D’IDENTITÉ, sélectionnez Suivant pour continuer.

  2. Dans la page suivante, sélectionnez Remplir les données manuellement, procédez comme suit, puis sélectionnez Suivant.

    • Pour l’URL Assertion Consumer Service, entrez l’URL de connexion Salesforce que vous avez notée précédemment.
    • Sélectionnez Charger le certificat SAML du fournisseur d’identité et chargez le fichier de certificat que vous avez téléchargé précédemment.

    Ajoutez l’URL du service d'authentification uniquement et le certificat SAML.

  3. Sur la page suivante, notez les informations suivantes, puis sélectionnez Suivant. Vous aurez besoin de ces informations plus tard.

    • URL d’authentification unique Defender for Cloud Apps
    • Attributs et valeurs Defender for Cloud Apps

    Dans Defender for Cloud Apps, notez l’URL et les attributs d’authentification unique.

Étape 5 : Terminer l’application personnalisée dans PingOne

  1. Dans PingOne, recherchez et modifiez l’application Salesforce personnalisée.

    Recherchez et modifiez l’application Salesforce personnalisée.

  2. Dans le champ Assertion Consumer Service (ACS), remplacez l’URL par l’URL d’authentification unique Defender for Cloud Apps que vous avez notée précédemment, puis sélectionnez Suivant.

    Remplacez ACS dans l’application Salesforce personnalisée.

  3. Ajoutez les attributs et valeurs Defender for Cloud Apps que vous avez notés précédemment aux propriétés de l’application.

    Ajoutez des attributs Defender for Cloud Apps à l'application Salesforce personnalisée.

  4. Enregistrez vos paramètres.

Étape 6 : Obtenir les modifications apportées à l’application dans Defender for Cloud Apps

De retour à la page Defender for Cloud Apps MODIFICATIONS DE L’APPLICATION, procédez comme suit, mais ne sélectionnez pas Terminer. Vous aurez besoin de ces informations plus tard.

  • Copiez l’URL d’authentification unique SAML de Defender for Cloud Apps
  • Télécharger le certificat SAML Defender for Cloud Apps

Notez l’URL d’authentification unique SAML de Defender for Cloud Apps et téléchargez le certificat.

Étape 7 : Terminer les modifications apportées à l’application

Dans Salesforce, accédez à Configuration>Paramètres>Identité>Paramètres d’authentification unique, et procédez comme suit :

  1. Recommandé : créez une sauvegarde des paramètres actuels.

  2. Remplacez la valeur de champ URL de connexion du fournisseur d’identité par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez notée précédemment.

  3. Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé précédemment.

  4. Remplacez la valeur du champ ID d’entité par l’ID d’entité de l’application personnalisée PingOne que vous avez noté précédemment.

  5. Cliquez sur Enregistrer.

    Remarque

    Le certificat SAML Defender for Cloud Apps est valide pendant un an. Après l’expiration de ce certificat, un nouveau certificat doit être généré.

    Mettez à jour l'application Salesforce personnalisée avec des détails Defender for Cloud Apps SAML.

Étape 8 : Terminer la configuration dans Defender for Cloud Apps

  • De retour à la page Defender for Cloud Apps MODIFICATIONS DE L’APPLICATION, sélectionnez Terminer. Après que vous avez terminé l’assistant, toutes les demandes de connexion associées à cette application sont routées via le contrôle d’application par accès conditionnel.

Contenu connexe

« PRÉCÉDENT : Déployer le contrôle d’application par accès conditionnel pour n’importe quelle application

Introduction au contrôle d’application par accès conditionnel

Dépannage des contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.