Implantar o controle de aplicativos de acesso condicional para qualquer aplicativo Web usando o Okta como provedor de identidade (IdP)

Você pode configurar controles de sessão no Microsoft Defender para Aplicativos de Nuvem para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativo do Okta para o Defender para Aplicativos de Nuvem para controles de sessão em tempo real.

Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender para Aplicativos de Nuvem.

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

    • Um locatário Okta pré-configurado.
    • Microsoft Defender for Cloud Apps
  • Uma configuração de logon único Okta existente para o aplicativo usando o protocolo de autenticação SAML 2.0

Para configurar controles de sessão para o aplicativo usando Okta como IdP

Use as etapas a seguir para rotear suas sessões de aplicativo Web do Okta para o Defender para Aplicativos de Nuvem.

Observação

Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo Okta usando um destes métodos:

  • Opção 1: upload do arquivo de metadados SAML do aplicativo.
  • Opção 2: fornecimento manual dos dados SAML do aplicativo.

Nas próximas etapas, usaremos a opção 2.

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações SAML do seu aplicativo

Etapa 3: criar um aplicativo personalizado Okta e a configuração de logon único do aplicativo

Etapa 4: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo Okta

Etapa 5: concluir a configuração do aplicativo personalizado Okta

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

Etapa 7: concluir as alterações no aplicativo

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

  1. No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único.

  2. Em Configurações de logon Único, clique no nome da configuração existente do Okta.

    Selecione Configurações de SSO do Salesforce.

  3. Na página Configuração de logon único do SAML, anote a URL do logon do Salesforce. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.

    Observação

    Se o aplicativo fornecer um certificado SAML, faça o download do arquivo do certificado.

    Selecione URL de login do SSO do Salesforce.

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo SAML

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Aplicativos conectados, selecione aplicativos de controle de aplicativo de acesso condicional.

  3. Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.

  4. Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço do consumidor de declaração, insira a URL do logon do Salesforce que anotada anteriormente e clique em Avançar.

    Observação

    Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

    Preencha manualmente as informações do SAML do Salesforce.

Etapa 3: criar um aplicativo personalizado Okta e a configuração de logon único do aplicativo

Observação

Para limitar o tempo de inatividade do usuário final e preservar sua configuração existente em boas condições, recomendamos criar um aplicativo personalizado e uma configuração de logon único. Se isso não for possível, ignore as etapas relevantes. Por exemplo, se o aplicativo que está configurando não oferecer suporte à criação de várias configurações do logon único, então pule a etapa de criação do novo logon único.

  1. No console de Administração do Okta, em Aplicativos, exiba as propriedades da configuração existente do aplicativo e anote as configurações.

  2. Clique em Adicionar aplicativo e em Criar novo aplicativo. Além do valor URI de público-alvo (ID da entidade de SP), que deve ser um nome exclusivo, configure o novo aplicativo usando as configurações anotadas anteriormente. Você precisará desse aplicativo mais tarde ao configurar o Defender para Aplicativos de Nuvem.

  3. Navegue até Aplicativos, exiba a configuração Okta existente e, na guia guia Logon, selecione Exibir instruções de instalação.

    Anote o local do serviço de SSO do aplicativo Salesforce existente.

  4. Anote o URL de logon único do provedor de identidade e baixe o certificado de autenticação do provedor de identidade (X.509). Você precisará dessas informações posteriormente.

  5. De volta ao Salesforce, na página de configurações de logon único do Okta existente, anote todas as configurações.

  6. Crie uma configuração de logon único SAML. Além do valor de ID da entidade que deve corresponder ao URI de público-alvo (ID da entidade de SP)do aplicativo personalizado, configure o logon único usando as configurações anotadas anteriormente. Você precisará disso mais tarde ao configurar o Defender para Aplicativos de Nuvem.

  7. Depois de salvar o novo aplicativo, navegue até a página Atribuições e atribua as Pessoas ou Grupos que exigem acesso ao aplicativo.

ׂ

Etapa 4: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo Okta

  1. De volta à página PROVEDOR DE IDENTIDADE do Defender para Aplicativos de Nuvem, clique em Avançar para continuar.

  2. Na próxima página, selecione Preencher dados manualmente, siga as etapas a seguir e clique em Avançar.

    • Para o URL do serviço de logon único, insira o URL de logon do Salesforce que você anotou anteriormente.
    • Selecione Carregar Certificado SAML do provedor de identidade e selecione o arquivo de certificado baixado anteriormente.

    Adicione URL de serviço SSO e certificado SAML.

  3. Na próxima página, anote as informações a seguir e clique em Avançar. Você precisará das informações posteriormente.

    • URL de logon único do Defender para Aplicativos de Nuvem
    • Atributos e valores do Defender para Aplicativos de Nuvem

    Observação

    Se você vir uma opção para carregar o certificado SAML do Defender para Aplicativos de Nuvem para o provedor de identidade, clique no clique para baixar o arquivo de certificado. Você precisará dessas informações posteriormente.

    No Defender para Aplicativos de Nuvem, anote a URL e os atributos do SSO.

Etapa 5: concluir a configuração do aplicativo personalizado Okta

  1. De volta ao console de Administração do Okta, em Aplicativos, selecione o aplicativo personalizado criado anteriormente e, em Geral>Configurações de SAML, clique em Editar.

    Localize e edite as configurações de SAML.

  2. No campo URL de Logon Único, substitua a URL pela URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente e salve suas configurações.

  3. Em Diretório, selecione Editor de Perfil, selecione o aplicativo personalizado criado anteriormente e clique em Perfil. Adicione atributos usando as informações a seguir.

    Nome de exibição Nome da variável Tipo de dados Tipo de atributo
    McasSigningCert McasSigningCert string Personalizado
    McasAppId McasAppId string Personalizado

    Adicione atributos de perfil.

  4. De volta à página Editor de Perfil, selecione o aplicativo personalizado criado anteriormente, clique em Mapeamentos e selecione Usuário Okta para {custom_app_name}. Mapeie os atributos McasSigningCert e McasAppId para os valores de atributo do Defender para Aplicativos de Nuvem que você anotou anteriormente.

    Observação

    • Certifique-se de incluir os valores entre aspas duplas (")
    • O Okta limita os atributos a 1024 caracteres. Para atenuar essa limitação, adicione os atributos usando o Editor de Perfis conforme descrito.

    Mapeie atributos de perfil.

  5. Salve suas configurações.

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, faça o seguinte, mas não clique em Concluir. Você precisará das informações posteriormente.

  • Copiar a URL de logon único SAML do Defender para Aplicativos de Nuvem
  • Baixe o certificado SAML do Defender para Aplicativos de Nuvem

Anote a URL de SSO do SAML do Defender para Aplicativos de Nuvem e baixe o certificado.

Etapa 7: concluir as alterações no aplicativo

No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único e faça o seguinte:

  1. [Recomendado] Criar um backup das configurações atuais.

  2. Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.

  3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.

  4. Clique em Save (Salvar).

    Observação

    • Depois de salvar as configurações, todas as solicitações de logon associadas a esse aplicativo serão encaminhadas por meio do controle de aplicativos de acesso condicional.
    • O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

    Atualize configurações do SSO.

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

  • De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, clique em Concluir. Depois de concluir o assistente, todas as solicitações de logon associadas a este aplicativo serão roteadas por meio do controle de aplicativos de acesso condicional.

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.