Distribuire il controllo delle app per l'accesso condizionale per qualsiasi app Web usando PingOne come provider di identità (IdP)

È possibile configurare i controlli sessione in Microsoft Defender per il cloud App per l'uso con qualsiasi app Web e qualsiasi IdP non Microsoft. Questo articolo descrive come instradare le sessioni dell'app da PingOne a app Defender per il cloud per i controlli sessione in tempo reale.

Per questo articolo si userà l'app Salesforce come esempio di un'app Web configurata per l'uso di Defender per il cloud controlli sessione delle app. Per configurare altre app, eseguire gli stessi passaggi in base ai requisiti.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:

    • Una licenza PingOne pertinente (necessaria per l'accesso Single Sign-On)
    • Microsoft Defender for Cloud Apps
  • Configurazione dell'accesso Single Sign-On di PingOne esistente per l'app tramite il protocollo di autenticazione SAML 2.0

Per configurare i controlli sessione per l'app usando PingOne come IdP

Seguire questa procedura per instradare le sessioni dell'app Web da PingOne alle app Defender per il cloud.

Nota

È possibile configurare le informazioni sull'accesso Single Sign-On SAML dell'app fornite da PingOne usando uno dei metodi seguenti:

  • Opzione 1: Caricamento del file di metadati SAML dell'app.
  • Opzione 2: specificare manualmente i dati SAML dell'app.

Nei passaggi seguenti si userà l'opzione 2.

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

Passaggio 3: Creare un'app personalizzata in PingOne

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne

Passaggio 5: Completare l'app personalizzata in PingOne

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Passaggio 7: Completare le modifiche dell'app

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

Passaggio 1: Ottenere le impostazioni di Single Sign-On SAML dell'app

  1. In Salesforce passare a Impostazioni>di installazione>Identità>Single Sign-On Impostazioni.

  2. In Impostazioni single sign-on selezionare il nome della configurazione SAML 2.0 esistente.

    Selezionare Salesforce SSO settings (Impostazioni SSO di Salesforce).

  3. Nella pagina SAML Single Sign-On Setting (Impostazione single sign-on SAML) prendere nota dell'URL di accesso di Salesforce. che sarà necessario più avanti.

    Nota

    Se l'app fornisce un certificato SAML, scaricare il file del certificato.

    Selezionare Salesforce SSO login URL (URL di accesso SSO di Salesforce).

Passaggio 2: Configurare le app Defender per il cloud con le informazioni SAML dell'app

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In App connesse selezionare App di controllo app per l'accesso condizionale.

  3. Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.

  4. Nella pagina INFORMAZIONI SULL'APP selezionare Compilare manualmente i dati, nell'URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza e quindi selezionare Avanti.

    Nota

    Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Compilare manualmente le informazioni SAML di Salesforce.

Passaggio 3: Creare un'app personalizzata in PingOne

Prima di procedere, seguire questa procedura per ottenere informazioni dall'app Salesforce esistente.

  1. In PingOne modificare l'app Salesforce esistente.

  2. Nella pagina Mapping attributi SSO prendere nota dell'attributo e del valore SAML_SUBJECT e quindi scaricare i file certificato di firma e metadati SAML.

    Prendere nota degli attributi dell'app Salesforce esistenti.

  3. Aprire il file di metadati SAML e prendere nota del percorso PingOne SingleSignOnService. che sarà necessario più avanti.

    Prendere nota della posizione del servizio SSO dell'app Salesforce esistente.

  4. Nella pagina Accesso al gruppo prendere nota dei gruppi assegnati.

    Prendere nota dei gruppi assegnati dell'app Salesforce esistente.

Usare quindi le istruzioni della pagina Aggiungi un'applicazione SAML con il provider di identità per configurare un'app personalizzata nel portale di IdP.

Aggiungere l'app SAML con il provider di identità.

Nota

La configurazione di un'app personalizzata consente di testare l'app esistente con controlli di accesso e sessione senza modificare il comportamento corrente per l'organizzazione.

  1. Creare una nuova applicazione SAML.

    In PingOne creare una nuova app Salesforce personalizzata.

  2. Nella pagina Dettagli applicazione compilare il modulo e quindi selezionare Continua al passaggio successivo.

    Suggerimento

    Usare un nome dell'app che consente di distinguere tra l'app personalizzata e l'app Salesforce esistente.

    Compilare i dettagli dell'app personalizzata.

  3. Nella pagina Configurazione applicazione eseguire le operazioni seguenti e quindi selezionare Continua al passaggio successivo.

    • Nel campo Asserzione Consumer Service (ACS) immettere l'URL di accesso di Salesforce annotato in precedenza.
    • Nel campo Entity ID (ID entità) immettere un ID univoco a partire da https://. Assicurarsi che sia diverso dalla configurazione dell'app Salesforce PingOne in uscita.
    • Prendere nota dell'ID entità. che sarà necessario più avanti.

    Configurare un'app personalizzata con i dettagli SAML di Salesforce.

  4. Nella pagina Mapping attributi SSO aggiungere l'attributo e il valore dell'app Salesforce SAML_SUBJECT esistenti annotati in precedenza e quindi selezionare Continua al passaggio successivo.

    Aggiungere attributi all'app Salesforce personalizzata.

  5. Nella pagina Accesso al gruppo aggiungere i gruppi dell'app Salesforce esistenti annotati in precedenza e completare la configurazione.

    Assegnare gruppi all'app Salesforce personalizzata.

Passaggio 4: Configurare le app Defender per il cloud con le informazioni dell'app PingOne

  1. Nella pagina Defender per il cloud Provider di identità delle app selezionare Avanti per continuare.

  2. Nella pagina successiva selezionare Compilare manualmente i dati, eseguire le operazioni seguenti e quindi selezionare Avanti.

    • Per URL del servizio consumer di asserzione immettere l'URL di accesso di Salesforce annotato in precedenza.
    • Selezionare Carica certificato SAML del provider di identità e caricare il file del certificato scaricato in precedenza.

    Aggiungere l'URL del servizio SSO e il certificato SAML.

  3. Nella pagina successiva prendere nota delle informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie in un secondo momento.

    • URL single sign-on di Defender per il cloud Apps
    • Defender per il cloud Attributi e valori delle app

    In Defender per il cloud Apps prendere nota dell'URL e degli attributi SSO.

Passaggio 5: Completare l'app personalizzata in PingOne

  1. In PingOne individuare e modificare l'app Salesforce personalizzata.

    Individuare e modificare l'app Salesforce personalizzata.

  2. Nel campo Assertion Consumer Service (ACS) sostituire l'URL con l'URL single sign-on di Defender per il cloud Apps annotato in precedenza e quindi selezionare Avanti.

    Sostituire ACS nell'app Salesforce personalizzata.

  3. Aggiungere gli attributi e i valori delle app Defender per il cloud annotati in precedenza alle proprietà dell'app.

    Aggiungere attributi Defender per il cloud Apps all'app Salesforce personalizzata.

  4. Salva le impostazioni.

Passaggio 6: Ottenere le modifiche dell'app nelle app Defender per il cloud

Tornare alla pagina modifiche app Defender per il cloud app, eseguire le operazioni seguenti, ma non selezionare Fine. Le informazioni saranno necessarie in un secondo momento.

  • Copiare l'URL single sign-on SAML di app Defender per il cloud
  • Scaricare il certificato SAML delle app Defender per il cloud

Prendere nota dell'URL SAML SSO di Defender per il cloud Apps e scaricare il certificato.

Passaggio 7: Completare le modifiche dell'app

In Salesforce passare a Impostazioni>>di installazione>identità Single Sign-On e seguire questa procedura:

  1. Consigliato: creare un backup delle impostazioni correnti.

  2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.

  3. Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.

  4. Sostituire il valore del campo Id entità con l'ID entità dell'app personalizzata PingOne annotato in precedenza.

  5. Seleziona Salva.

    Nota

    Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

    Aggiornare l'app Salesforce personalizzata con i dettagli SAML delle app Defender per il cloud.

Passaggio 8: Completare la configurazione nelle app di Defender per il cloud

  • Nella pagina MODIFICHE APP Defender per il cloud app selezionare Fine. Al termine della procedura guidata, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo delle app per l'accesso condizionale.

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.