نشر التحكم في تطبيق الوصول المشروط لأي تطبيق ويب باستخدام خدمات الأمان المشترك لـ Active Directory (AD FS) كموفر الهوية (IdP)

يمكنك تكوين عناصر تحكم الجلسة في Microsoft Defender for Cloud Apps للعمل مع أي تطبيق ويب وأي IdP غير Microsoft. توضح هذه المقالة كيفية توجيه جلسات عمل التطبيق من AD FS إلى Defender for Cloud Apps لعناصر تحكم الجلسة في الوقت الحقيقي.

بالنسبة لهذه المقالة، سنستخدم تطبيق Salesforce كمثال لتطبيق ويب يتم تكوينه لاستخدام عناصر تحكم جلسة Defender for Cloud Apps.

المتطلبات الأساسية

• يجب أن يكون لدى مؤسستك التراخيص التالية لاستخدام التحكم في تطبيق الوصول المشروط:

  • بيئة AD FS تم تكوينها مسبقا
  • Microsoft Defender for Cloud Apps

• تكوين تسجيل دخول أحادي ل AD FS موجود للتطبيق باستخدام بروتوكول مصادقة SAML 2.0

لتكوين عناصر تحكم الجلسة لتطبيقك باستخدام AD FS كمعرف

استخدم الخطوات التالية لتوجيه جلسات عمل تطبيق الويب من AD FS إلى Defender for Cloud Apps.

الخطوة 1: احصل على إعدادات تسجيل الدخول الأحادي لتطبيقك SAML

الخطوة 2: تكوين Defender for Cloud Apps بمعلومات SAML لتطبيقك

الخطوة 3: إنشاء ثقة جهة اعتماد AD FS جديدة وتكوين تسجيل الدخول الأحادي للتطبيق.

الخطوة 4: تكوين Defender for Cloud Apps بمعلومات تطبيق AD FS

الخطوة 5: إكمال تكوين ثقة جهة اعتماد AD FS

الخطوة 6: الحصول على تغييرات التطبيق في Defender for Cloud Apps

الخطوة 7: إكمال تغييرات التطبيق

الخطوة 8: إكمال التكوين في Defender for Cloud Apps

الخطوة 1: احصل على إعدادات تسجيل الدخول الأحادي لتطبيقك SAML

1. في Salesforce، استعرض للوصول إلىإعدادات الإعدادات>>هوية>واحدة Sign-On الإعدادات.

2. ضمن Single Sign-On Settings، انقر فوق اسم تكوين AD FS الحالي.

   

3. في صفحة SAML Single Sign-On Setting ، دون ملاحظة عن عنوان URL لتسجيل الدخول إلى Salesforce. ستحتاج إلى ذلك لاحقا عند تكوين Defender for Cloud Apps.

   ملاحظة

   إذا كان تطبيقك يوفر شهادة SAML، فنزل ملف الشهادة.

   

الخطوة 2: تكوين Defender for Cloud Apps بمعلومات SAML لتطبيقك

1. في مدخل Microsoft Defender، حدد الإعدادات. ثم اختر تطبيقات السحابة.

2. ضمن التطبيقات المتصلة، حدد Conditional Access App Control apps.

3. حدد +إضافة، وفي النافذة المنبثقة، حدد التطبيق الذي تريد نشره، ثم حدد بدء المعالج.

4. في صفحة APP INFORMATION ، حدد Fill in data manually، في Assertion consumer service URL أدخل عنوان URL لتسجيل الدخول إلى Salesforce الذي لاحظته سابقا، ثم انقر فوق Next.

   ملاحظة

   إذا كان تطبيقك يوفر شهادة SAML، فحدد Use <app_name> SAML certificate وقم بتحميل ملف الشهادة.

   

الخطوة 3: إنشاء ثقة جهة اعتماد AD FS جديدة وتكوين Sign-On واحد للتطبيق

1. في وحدة تحكم AD FS Management ، ضمن Relying Party Trusts، اعرض خصائص ثقة جهة الاعتماد الحالية لتطبيقك، وقم بتدوين الإعدادات.

2. ضمن الإجراءات، انقر فوق إضافة ثقة جهة الاعتماد. بصرف النظر عن قيمة المعرف التي يجب أن تكون اسما فريدا، قم بتكوين الثقة الجديدة باستخدام الإعدادات التي لاحظتها سابقا. ستحتاج إلى هذه الثقة لاحقا عند تكوين Defender for Cloud Apps.

3. افتح ملف بيانات تعريف الاتحاد وقم بتدوين موقع AD FS SingleSignOnService. ستحتاج إلى هذا لاحقا.

   ملاحظة

   يمكنك استخدام نقطة النهاية التالية للوصول إلى ملف بيانات تعريف الاتحاد الخاص بك: https://<Your_Domain>/federationmetadata/2007-06/federationmetadata.xml

   

4. قم بتنزيل شهادة توقيع موفر الهوية. ستحتاج إلى هذا لاحقا.

   1. ضمن شهادات الخدمات>، انقر بزر الماوس الأيمن فوق شهادة توقيع AD FS، ثم حدد عرض الشهادة.

      

   2. في علامة التبويب تفاصيل الشهادة، انقر فوق نسخ إلى ملف واتبع الخطوات الواردة في معالج تصدير الشهادة لتصدير الشهادة ك X.509 مشفر Base-64 (. ملف CER ).

      

5. مرة أخرى في Salesforce، في صفحة إعدادات تسجيل الدخول الأحادي ل AD FS الموجودة، قم بتدوين جميع الإعدادات.

6. إنشاء تكوين تسجيل دخول أحادي SAML جديد. بصرف النظر عن قيمة معرف الكيان التي يجب أن تتطابق مع معرف ثقة جهة الاعتماد، قم بتكوين تسجيل الدخول الأحادي باستخدام الإعدادات التي لاحظتها سابقا. ستحتاج إلى ذلك لاحقا عند تكوين Defender for Cloud Apps.

الخطوة 4: تكوين Defender for Cloud Apps بمعلومات تطبيق AD FS

1. مرة أخرى في صفحة موفر الهوية Defender for Cloud Apps، انقر فوق التالي للمتابعة.

2. في الصفحة التالية، حدد تعبئة البيانات يدويا، وقم بما يلي، ثم انقر فوق التالي.

   • بالنسبة إلى عنوان URL لخدمة تسجيل الدخول الأحادي، أدخل عنوان URL لتسجيل الدخول إلى Salesforce الذي لاحظته سابقا.
   • حدد Upload identity provider's SAML certificate وقم بتحميل ملف الشهادة الذي قمت بتنزيله سابقا.

   

3. في الصفحة التالية، قم بتدوين المعلومات التالية، ثم انقر فوق التالي. ستحتاج إلى المعلومات لاحقا.

   • عنوان URL لتسجيل الدخول الأحادي Defender for Cloud Apps
   • Defender for Cloud Apps السمات والقيم

   ملاحظة

   إذا رأيت خيارا لتحميل شهادة Defender for Cloud Apps SAML لموفر الهوية، فانقر فوق الارتباط لتنزيل ملف الشهادة. ستحتاج إلى هذا لاحقا.

   

الخطوة 5: إكمال تكوين ثقة جهة اعتماد AD FS

1. مرة أخرى في وحدة تحكم AD FS Management ، انقر بزر الماوس الأيمن فوق ثقة جهة الاعتماد التي أنشأتها سابقا، ثم حدد Edit Claim Issuance Policy.

   

2. في مربع الحوار تحرير نهج إصدار المطالبة ، ضمن قواعد تحويل الإصدار، استخدم المعلومات المتوفرة في الجدول التالي لإكمال الخطوات لإنشاء قواعد مخصصة.

   اسم قاعدة المطالبة	قاعدة مخصصة
   McasSigningCert	=> issue(type="McasSigningCert", value="<value>");أين <value> هي قيمة McasSigningCert من معالج Defender for Cloud Apps الذي لاحظته سابقا
   McasAppId	=> issue(type="McasAppId", value="<value>");هي قيمة McasAppId من معالج Defender for Cloud Apps الذي لاحظته سابقا

   1. انقر فوق إضافة قاعدة، ضمن قالب قاعدة المطالبة حدد إرسال المطالبات باستخدام قاعدة مخصصة، ثم انقر فوق التالي.
   2. في صفحة تكوين القاعدة ، أدخل اسم قاعدة المطالبة المعنية والقاعدة المخصصة المقدمة.

   ملاحظة

   هذه القواعد بالإضافة إلى أي قواعد مطالبة أو سمات مطلوبة من قبل التطبيق الذي تقوم بتكوينه.

3. مرة أخرى في صفحة ثقة جهة الاعتماد ، انقر بزر الماوس الأيمن فوق ثقة جهة الاعتماد التي أنشأتها سابقا، ثم حدد خصائص.

4. في علامة التبويب Endpoints، حدد SAML Assertion Consumer Endpoint، وانقر فوق Edit واستبدل عنوان URL الموثوق به بعنوان URL لتسجيل الدخول الأحادي Defender for Cloud Apps الذي سجلته سابقا، ثم انقر فوق OK.

   

5. إذا قمت بتنزيل شهادة Defender for Cloud Apps SAML لموفر الهوية، في علامة التبويب توقيع، انقر فوق إضافة ملف الشهادة وتحميله، ثم انقر فوق موافق.

   

6. احفظ الإعدادات الخاصة بك.

الخطوة 6: الحصول على تغييرات التطبيق في Defender for Cloud Apps

مرة أخرى في صفحة Defender for Cloud Apps APP CHANGES، قم بما يلي، ولكن لا تنقر فوق إنهاء. ستحتاج إلى المعلومات لاحقا.

• نسخ عنوان URL لتسجيل الدخول الأحادي إلى Defender for Cloud Apps SAML
• تنزيل شهادة DEFENDER FOR CLOUD APPS SAML

الخطوة 7: إكمال تغييرات التطبيق

في Salesforce، استعرضللإعدادات>إعدادات>الهوية>الأحادية Sign-On الإعدادات، وقم بما يلي:

1. مستحسن: إنشاء نسخة احتياطية من الإعدادات الحالية.

2. استبدل قيمة حقل عنوان URL لتسجيل الدخول لموفر الهوية بعنوان URL لتسجيل الدخول الأحادي Defender for Cloud Apps SAML الذي سجلته سابقا.

3. قم بتحميل شهادة Defender for Cloud Apps SAML التي قمت بتنزيلها مسبقا.

4. انقر فوق حفظ.

   ملاحظة

   شهادة Defender for Cloud Apps SAML صالحة لمدة عام واحد. بعد انتهاء صلاحيتها، ستحتاج إلى إنشاء شهادة جديدة.

الخطوة 8: إكمال التكوين في Defender for Cloud Apps

• مرة أخرى في صفحة Defender for Cloud Apps APP CHANGES، انقر فوق إنهاء. بعد إكمال المعالج، سيتم توجيه جميع طلبات تسجيل الدخول المقترنة إلى هذا التطبيق من خلال التحكم في تطبيق الوصول المشروط.

المحتويات ذات الصلة

إذا واجهت أي مشاكل، فنحن هنا للمساعدة. للحصول على المساعدة أو الدعم لقضية المنتج، يرجى فتح تذكرة دعم.