ID プロバイダー (IdP) としてActive Directory フェデレーション サービス (AD FS) (AD FS) を使用して、任意の Web アプリの条件付きアクセス アプリ制御をデプロイする
Microsoft Defender for Cloud Appsでセッション コントロールを構成して、任意の Web アプリと Microsoft 以外の IdP を操作できます。 この記事では、アプリ セッションを AD FS からDefender for Cloud Appsにルーティングして、リアルタイム のセッション 制御を行う方法について説明します。
この記事では、セッション コントロールを使用するように構成されている Web アプリの例として、Salesforce アプリDefender for Cloud Apps使用します。
前提条件
条件付きアクセス アプリ制御を使用するには、organizationに次のライセンスが必要です。
- 事前構成済みの AD FS 環境
- Microsoft Defender for Cloud Apps
SAML 2.0 認証プロトコルを使用したアプリの既存の AD FS シングル サインオン構成
注:
ここでの手順は、サポートされているバージョンの Windows Server で実行されるすべてのバージョンの AD FS に適用されます。
AD FS を IdP として使用してアプリのセッション 制御を構成するには
次の手順を使用して、WEB アプリ セッションを AD FS からDefender for Cloud Appsにルーティングします。
注:
AD FS によって提供されるアプリの SAML シングル サインオン情報は、次のいずれかの方法で構成できます。
- オプション 1: アプリの SAML メタデータ ファイルをアップロードする。
- オプション 2: アプリの SAML データを手動で提供する。
次の手順では、オプション 2 を使用します。
手順 1: アプリの SAML シングル サインオン設定を取得する
手順 2: アプリの SAML 情報を使用してDefender for Cloud Appsを構成する
手順 3: 新しい AD FS 証明書利用者信頼とアプリのシングル サインオン構成を作成します。
手順 4: AD FS アプリの情報を使用してDefender for Cloud Appsを構成する
手順 5: AD FS 証明書利用者信頼の構成を完了する
手順 6: Defender for Cloud Appsでアプリの変更を取得する
手順 7: アプリの変更を完了する
手順 8: Defender for Cloud Appsで構成を完了する
手順 1: アプリの SAML シングル サインオン設定を取得する
Salesforce で、[ Setup>Settings>Identity>Single Sign-On Settings] を参照します。
[ 単一 Sign-On 設定] で、既存の AD FS 構成の名前をクリックします。
![[Salesforce SSO 設定] を選択します。](media/proxy-idp-adfs/idp-adfs-sf-select-sso-settings.png)
[SAML シングル サインオン設定] ページに表示されている Salesforce の [ログイン URL] をメモしておきます。 これは、後でDefender for Cloud Appsを構成するときに必要になります。
注:
アプリで SAML 証明書が提供されている場合は、証明書ファイルをダウンロードします。
![[Salesforce SSO ログイン URL] を選択します。](media/proxy-idp-adfs/idp-adfs-sf-copy-saml-sso-login-url.png)
手順 2: アプリの SAML 情報を使用してDefender for Cloud Appsを構成する
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
[ 接続済みアプリ] で、[ 条件付きアクセス アプリ制御アプリ] を選択します。
[ + 追加] を選択し、ポップアップで展開するアプリを選択し、[ ウィザードの開始] を選択します。
[APP INFORMATION]\( アプリ情報 \) ページ で、[データを手動で入力する] を選択し、[ アサーション コンシューマー サービス URL] に前にメモした Salesforce ログイン URL を 入力し、[ 次へ] をクリックします。
注:
アプリで SAML 証明書が提供されている場合は、[SAML 証明書<app_name>使用] を選択し、証明書ファイルをアップロードします。
手順 3: 新しい AD FS 証明書利用者信頼とアプリ シングル Sign-On 構成を作成する
注:
エンド ユーザーのダウンタイムを制限し、既存の既知の適切な構成を保持するには、新しい 証明書利用者信頼 と 単一 Sign-On 構成を作成することをお勧めします。 これが不可能な場合は、関連する手順をスキップします。 たとえば、構成するアプリで複数の シングル Sign-On 構成の作成がサポートされていない場合は、新しいシングル サインオンの作成手順をスキップします。
AD FS 管理コンソールの [証明書利用者信頼] で、アプリの既存の証明書利用者信頼のプロパティを表示し、設定をメモします。
[ アクション] で、[ 証明書利用者信頼の追加] をクリックします。 一意の名前である必要がある Identifier 値とは別に、前に説明した設定を使用して新しい信頼を構成します。 この信頼は、後で Defender for Cloud Apps を構成するときに必要になります。
フェデレーション メタデータ ファイルを開き、AD FS SingleSignOnService の場所を書き留めます。 後でこの値が必要になります。
注:
次のエンドポイントを使用して、フェデレーション メタデータ ファイルにアクセスできます。
https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml
ID プロバイダーの署名証明書をダウンロードします。 後でこの値が必要になります。
[ サービス>証明書] で、AD FS 署名証明書を右クリックし、[ 証明書の表示] を選択します。
証明書の [詳細] タブで、[ ファイルにコピー ] をクリックし、 証明書のエクスポート ウィザード の手順に従って、 Base-64 でエンコードされた X.509 () として証明書をエクスポートします。CER) ファイル。
Salesforce に戻り、既存の AD FS シングル サインオン設定ページで、すべての設定を書き留めます。
新しい SAML シングル サインオン構成を作成します。 証明書利用者信頼識別子と一致する必要があるエンティティ ID 値とは別に、前に説明した設定を使用してシングル サインオンを構成します。 これは、後でDefender for Cloud Appsを構成するときに必要になります。
手順 4: AD FS アプリの情報を使用してDefender for Cloud Appsを構成する
[ID プロバイダーのDefender for Cloud Apps] ページに戻り、[次へ] をクリックして続行します。
次のページ で、[データを手動で入力する] を選択し、次の操作を行い、[ 次へ] をクリックします。
- [ シングル サインオン サービス URL] に、前にメモした Salesforce ログイン URL を 入力します。
- [ ID プロバイダーの SAML 証明書のアップロード] を 選択し、先ほどダウンロードした証明書ファイルをアップロードします。
次のページで、次の情報を書き留め、[ 次へ] をクリックします。 後で情報が必要になります。
- Defender for Cloud Apps のシングル サインオン URL
- Defender for Cloud Apps の属性と値
注:
ID プロバイダーのDefender for Cloud Apps SAML 証明書をアップロードするオプションが表示される場合は、リンクをクリックして証明書ファイルをダウンロードします。 後でこの値が必要になります。
手順 5: AD FS 証明書利用者信頼の構成を完了する
AD FS 管理コンソールに戻り、先ほど作成した証明書利用者信頼を右クリックし、[要求発行ポリシーの編集] を選択します。
[ 要求発行ポリシーの編集 ] ダイアログ ボックスの [ 発行変換規則] で、次の表の指定した情報を使用して、カスタム 規則を作成する手順を完了します。
要求規則名 カスタム規則 McasSigningCert => issue(type="McasSigningCert", value="<value>");ここで<value>は、前に説明したDefender for Cloud Apps ウィザードの McasSigningCert 値ですMcasAppId => issue(type="McasAppId", value="<value>");は、前に説明したDefender for Cloud Apps ウィザードの McasAppId 値です- [ 規則の追加] をクリックし、[ 要求規則テンプレート ] で [ カスタム規則を使用して要求を送信] を選択し、[ 次へ] をクリックします。
- [ 規則の構成 ] ページで、指定した要求 規則名 と カスタム 規則 を入力します。
注:
これらのルールは、構成するアプリに必要な要求規則または属性に加えてあります。
[ 証明書利用者信頼 ] ページに戻り、先ほど作成した証明書利用者信頼を右クリックし、[ プロパティ] を選択します。
[エンドポイント] タブで[SAML Assertion Consumer Endpoint]\(SAML アサーション コンシューマー エンドポイント\) を選択し、[編集] をクリックし、[信頼された URL] を前にメモしたDefender for Cloud Appsシングル サインオン URL に置き換えて、[OK] をクリックします。
ID プロバイダーのDefender for Cloud Apps SAML 証明書をダウンロードした場合は、[署名] タブの [証明書ファイルの追加とアップロード] をクリックし、[OK] をクリックします。
設定内容を保存します。
手順 6: Defender for Cloud Appsでアプリの変更を取得する
[アプリの変更のDefender for Cloud Apps] ページに戻り、次の操作を行いますが、[完了] をクリックしないでください。 後で情報が必要になります。
- Defender for Cloud Apps SAML シングル サインオン URL をコピーする
- Defender for Cloud Apps SAML 証明書をダウンロードする
手順 7: アプリの変更を完了する
Salesforce で、 Setup>Settings>Identity>Single Sign-On Settings に移動し、次の操作を行います。
推奨: 現在の設定のバックアップを作成します。
[ID プロバイダー ログイン URL] フィールドの値を、前にメモしたDefender for Cloud Apps SAML シングル サインオン URL に置き換えます。
前にダウンロードしたDefender for Cloud Apps SAML 証明書をアップロードします。
[保存] をクリックします。
注:
Defender for Cloud Apps SAML 証明書は 1 年間有効です。 有効期限が切れた後、新しい証明書を生成する必要があります。
手順 8: Defender for Cloud Appsで構成を完了する
- [アプリの変更のDefender for Cloud Apps] ページに戻り、[完了] をクリックします。 ウィザードが完了すると、このアプリに関連付けられているすべてのログイン要求が条件付きアクセス アプリ制御によってルーティングされます。
関連コンテンツ
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。