Integrar aplicações de catálogo IdP não Microsoft para controlo de aplicações de Acesso Condicional
Os controlos de acesso e sessão no Microsoft Defender para aplicações na Cloud funcionam com aplicações personalizadas e de catálogo. Enquanto Microsoft Entra ID aplicações são automaticamente integradas para utilizar o controlo de aplicações de Acesso Condicional, se estiver a trabalhar com um IdP que não seja da Microsoft, terá de integrar a sua aplicação manualmente.
Este artigo descreve como configurar o seu IdP para trabalhar com Defender for Cloud Apps. Integrar o seu IdP com Defender for Cloud Apps integra automaticamente todas as aplicações de catálogo do seu IdP para controlo de aplicações de Acesso Condicional.
Pré-requisitos
A sua organização tem de ter as seguintes licenças para utilizar o controlo de aplicações de acesso condicional:
- A licença exigida pela sua solução de fornecedor de identidade (IdP)
- Microsoft Defender for Cloud Apps
As aplicações têm de ser configuradas com o início de sessão único
As aplicações têm de ser configuradas com o protocolo de autenticação SAML 2.0.
Executar e testar totalmente os procedimentos neste artigo requer que tenha uma política de acesso ou sessão configurada. Para mais informações, consulte:
- Criar políticas de acesso Microsoft Defender for Cloud Apps
- Criar políticas de sessão Microsoft Defender for Cloud Apps
Configurar o IdP para trabalhar com Defender for Cloud Apps
Este procedimento descreve como encaminhar sessões de aplicações de outras soluções de IdP para Defender for Cloud Apps.
Sugestão
Os seguintes artigos fornecem exemplos detalhados deste procedimento:
Para configurar o IdP para trabalhar com Defender for Cloud Apps:
No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > Ligadas > Aplicações Aplicações > De Controlo de Aplicações de Acesso Condicional.
Na página Aplicações de Controlo de Aplicações de Acesso Condicional , selecione + Adicionar.
Na caixa de diálogo Adicionar uma aplicação SAML com o seu fornecedor de identidade , selecione o menu pendente Procurar uma aplicação e, em seguida, selecione a aplicação que pretende implementar. Com a aplicação selecionada, selecione Assistente de início.
Na página INFORMAÇÕES DA APLICAÇÃO do assistente, carregue um ficheiro de metadados a partir da sua aplicação ou introduza os dados da aplicação manualmente.
Certifique-se de que fornece as seguintes informações:
- O URL do serviço de consumidor assertion. Este é o URL que a sua aplicação utiliza para receber asserções SAML do seu IdP.
- Um certificado SAML, se a sua aplicação fornecer um. Nesses casos, selecione Utilizar... Opção de certificado SAML e, em seguida, carregue o ficheiro de certificado.
Quando terminar, selecione Seguinte para continuar.
Na página FORNECEDOR DE IDENTIDADE do assistente, siga as instruções para configurar uma nova aplicação personalizada no portal do seu IdP.
Nota
Os passos necessários podem ser diferentes, consoante o seu IdP. Recomendamos que execute a configuração externa, conforme descrito pelos seguintes motivos:
- Alguns fornecedores de identidade não lhe permitem alterar os atributos SAML ou as propriedades de URL de uma aplicação de galeria/catálogo.
- Quando configura uma aplicação personalizada, pode testar a aplicação com Defender for Cloud Apps controlos de acesso e sessão, sem alterar o comportamento configurado existente da sua organização.
Copie as informações de configuração do início de sessão único da sua aplicação para utilização posteriormente neste procedimento. Quando terminar, selecione Seguinte para continuar.
Continuando na página FORNECEDOR DE IDENTIDADE do assistente, carregue um ficheiro de metadados a partir do seu IdP ou introduza os dados da aplicação manualmente.
Certifique-se de que fornece as seguintes informações:
- O URL do serviço de início de sessão único. Este é o URL que o seu IdP utiliza para receber pedidos de início de sessão único.
- Um certificado SAML, se o seu IdP fornecer um. Nesses casos, selecione a opção Utilizar certificado SAML do fornecedor de identidade e, em seguida, carregue o ficheiro de certificado.
Continuando na página FORNECEDOR DE IDENTIDADE do assistente, copie o URL de início de sessão único e todos os atributos e valores para utilização posteriormente neste procedimento.
Quando terminar, selecione Seguinte para continuar.
Navegue para o portal do seu IdP e introduza os valores que copiou para a configuração do IdP. Normalmente, estas definições encontram-se na área de definições personalizadas da aplicação do seu IdP.
Introduza o URL de início de sessão único da sua aplicação que copiou do passo anterior. Alguns fornecedores podem referir-se ao URL de início de sessão único como o URL de Resposta.
Adicione os atributos e valores que copiou do passo anterior às propriedades da aplicação. Alguns fornecedores podem referir-se aos mesmos como Atributos de utilizador ou Afirmações.
Se os atributos estiverem limitados a 1024 carateres para novas aplicações, primeiro crie a aplicação sem os atributos relevantes e adicione-os posteriormente ao editar a aplicação.
Verifique se o identificador de nome está no formato de um endereço de e-mail.
Certifique-se de que guarda as definições quando terminar.
Novamente no Defender for Cloud Apps, na página ALTERAÇÕES DA APLICAÇÃO do assistente, copie o URL de início de sessão único SAML e transfira o certificado SAML Microsoft Defender for Cloud Apps. O URL de início de sessão único SAML é um URL personalizado para a sua aplicação quando utilizado com Defender for Cloud Apps controlo de aplicações de Acesso Condicional.
Navegue para o portal da aplicação e configure as definições de início de sessão único da seguinte forma:
- (Recomendado) Crie uma cópia de segurança das definições atuais.
- Substitua o valor do campo do URL de início de sessão do fornecedor de identidade pelo URL de início de sessão único Defender for Cloud Apps SAML que copiou do passo anterior. O nome específico deste campo pode ser diferente, consoante a sua aplicação.
- Carregue o Defender for Cloud Apps certificado SAML que transferiu no passo anterior.
- Certifique-se de que guarda as alterações.
No assistente, selecione Concluir para concluir a configuração.
Depois de guardar as definições de início de sessão único da sua aplicação com os valores personalizados por Defender for Cloud Apps, todos os pedidos de início de sessão associados à aplicação são encaminhados, embora Defender for Cloud Apps e controlo de aplicações de Acesso Condicional.
Nota
O certificado SAML Defender for Cloud Apps é válido durante 1 ano. Depois de expirar, terá de gerar e carregar um novo.
Inicie sessão na sua aplicação com um utilizador no âmbito da política
Depois de criar a política de acesso ou sessão, inicie sessão em cada aplicação configurada na política. Certifique-se de que iniciou sessão em todas as sessões existentes pela primeira vez e que inicia sessão com um utilizador configurado na política.
Defender for Cloud Apps irá sincronizar os detalhes da política com os respetivos servidores para cada nova aplicação na qual inicia sessão. Esta operação pode demorar até um minuto.
Para mais informações, consulte:
- Criar políticas de acesso Microsoft Defender for Cloud Apps
- Criar políticas de sessão Microsoft Defender for Cloud Apps
Verifique se as aplicações estão configuradas para utilizar controlos de acesso e de sessão
Este procedimento descreve como verificar se as suas aplicações estão configuradas para utilizar controlos de acesso e sessão no Defender for Cloud Apps e configurar essas definições, se necessário.
Nota
Embora não possa remover as definições de controlo de sessão de uma aplicação, nenhum comportamento é alterado até ter uma política de sessão ou acesso configurada para a aplicação.
No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > ligadas > Aplicações > de Controlo de Aplicações de Acesso Condicional.
Na tabela de aplicações, procure a sua aplicação e verifique o valor da coluna tipo IDP . Certifique-se de que a aplicação de autenticação Não MS e o Controlo de sessão são apresentados para a sua aplicação.
Conteúdos relacionados
- Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional
- Implementar o controlo de aplicações de Acesso Condicional para aplicações personalizadas com fornecedores de identidade não Microsoft
- Resolução de problemas de acesso e controlos de sessão
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.