Sdílet prostřednictvím

Kurz: Integrace jednotného přihlašování Microsoft Entra s Akamai

  • Článek

V tomto kurzu se dozvíte, jak integrovat Akamai s Microsoft Entra ID. Když integrujete Akamai s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k Akamai.
  • Povolte uživatelům, aby se k Akamai automaticky přihlásili pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Integrace Microsoft Entra ID a Akamai Enterprise Application Access umožňují bezproblémový přístup ke starším aplikacím hostovaným v cloudu nebo místně. Integrované řešení využívá všechny moderní funkce Microsoft Entra ID, jako je podmíněný přístup Microsoft Entra, ochrana Microsoft Entra ID a zásady správného řízení microsoft Entra ID pro starší verze aplikací bez úprav nebo instalací agentů.

Následující obrázek popisuje, kde Akamai EAA zapadá do širšího scénáře hybridního zabezpečeného přístupu.

Akamai EAA zapadá do širšího scénáře hybridního zabezpečeného přístupu

Scénáře ověřování klíčů

Kromě podpory nativní integrace Microsoft Entra pro moderní ověřovací protokoly, jako jsou OpenID Připojení, SAML a WS-Fed, Akamai EAA rozšiřuje zabezpečený přístup pro starší verze ověřovacích aplikací pro interní i externí přístup pomocí Microsoft Entra ID, což umožňuje moderní scénáře (například přístup bez hesla) k těmto aplikacím. Sem patří:

  • Ověřovací aplikace založené na hlavičkách
  • Vzdálená plocha
  • SSH (Secure Shell)
  • Ověřovací aplikace Kerberos
  • VNC (Virtual Network Computing)
  • Anonymní ověřování nebo žádné předem připravené ověřovací aplikace
  • Ověřovací aplikace NTLM (ochrana se dvěma výzvami pro uživatele)
  • Aplikace založená na formulářích (ochrana se dvěma výzvami pro uživatele)

Scénáře integrace

Partnerství Microsoft a Akamai EAA umožňuje flexibilitu splnit vaše obchodní požadavky díky podpoře více scénářů integrace na základě vašeho obchodního požadavku. Ty se dají použít k zajištění pokrytí nulou dne ve všech aplikacích a postupné klasifikaci a konfiguraci vhodných klasifikací zásad.

Scénář integrace 1

Akamai EAA je nakonfigurovaná jako jedna aplikace na ID Microsoft Entra. Správa může v aplikaci nakonfigurovat zásady podmíněného přístupu a jakmile budou podmínky splněné, můžou uživatelé získat přístup k portálu Akamai EAA.

Profesionálové:

  • Potřebujete nakonfigurovat jenom jednou protokol IDP.

Nevýhody:

  • Uživatelé mají dva portály aplikací.

  • Jedno společné pokrytí zásad podmíněného přístupu pro všechny aplikace.

Scénář integrace 1

Scénář integrace 2

Aplikace Akamai EAA se nastavuje individuálně na webu Azure Portal. Správa může nakonfigurovat zásady podmíněného přístupu pro jednotlivé aplikace a jakmile budou splněné podmínky, mohou být uživatelé přímo přesměrováni na konkrétní aplikaci.

Profesionálové:

  • Můžete definovat jednotlivé zásady podmíněného přístupu.

  • Všechny aplikace jsou reprezentovány na panelu 0365 Waffle a myApps.microsoft.com.

Nevýhody:

  • Potřebujete nakonfigurovat více ZDP.

Scénář integrace 2

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním (SSO) Akamai

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Akamai podporuje jednotné přihlašování iniciované protokolem IDP.

Důležité

Všechna níže uvedená nastavení jsou stejná pro scénář integrace 1 a scénář 2. Pro scénář integrace 2 musíte nastavit individuální IDP v Akamai EAA a vlastnost URL musí být upravena tak, aby odkazovat na adresu URL aplikace.

Snímek obrazovky s kartou Obecné pro AZURESSO-SP v přístupu k podnikovým aplikacím Akamai Pole Adresa URL konfigurace ověřování je zvýrazněná.

Pokud chcete nakonfigurovat integraci Akamai do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Akamai z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. Do části Přidat z galerie zadejte do vyhledávacího pole Akamai.
  4. Na panelu výsledků vyberte Akamai a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro Akamai

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Akamai pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Akamai.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s Akamai, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
  2. Konfigurace jednotného přihlašování Akamai – konfigurace nastavení jednotného přihlašování na straně aplikace
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>identit>>akamai>– jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  5. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, zadejte hodnoty pro následující pole v části Základní konfigurace SAML:

    a. Do textového pole Identifikátor zadejte adresu URL pomocí následujícího vzoru: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Poznámka:

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem a adresou URL odpovědi. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Akamai. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    Odkaz ke stažení certifikátu

  7. V části Nastavit Akamai zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Kopírování konfiguračních adres URL

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup K Akamai.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte na Podnikové aplikace>Identity>Applications>Akamai.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování Akamai

Nastavení ZDP

Konfigurace protokolu IDP AKAMAI EAA

  1. Přihlaste se ke konzole Akamai Enterprise Application Access .

  2. V konzole Akamai EAA vyberte zprostředkovatele identity>a klikněte na Přidat zprostředkovatele identity.

    Snímek obrazovky s oknem Zprostředkovatele identity konzoly Akamai EAA V nabídce Identita vyberte Zprostředkovatele identity a vyberte Přidat zprostředkovatele identity.

  3. V okně Vytvořit nového zprostředkovatele identity proveďte následující kroky:

    Snímek obrazovky s dialogovým oknem Vytvořit nové zprostředkovatele identity v konzole Akamai EAA

    a. Zadejte jedinečný název.

    b. Zvolte SAML třetí strany a klikněte na Vytvořit zprostředkovatele identity a nakonfigurujte.

Obecná nastavení

  1. Zachytávání identity – zadejte název (základní adresa URL SP, která se použije pro microsoft Entra Configuration).

    Poznámka:

    Můžete zvolit vlastní doménu (bude vyžadovat položku DNS a certifikát). V tomto příkladu použijeme doménu Akamai.

  2. Zóna cloudu Akamai – vyberte příslušnou cloudovou zónu.

  3. Ověření certifikátu – Zkontrolujte dokumentaci k Akamai (volitelné).

    Snímek obrazovky s kartou Obecné konzoly Akamai EAA zobrazující nastavení pro zachycení identity, zónu cloudu Akamai a ověření certifikátu

Konfigurace ověřování

  1. ADRESA URL – Zadejte adresu URL stejnou jako zachytávání identity (to je místo, kde se uživatelé po ověření přesměrují).

  2. Adresa URL odhlášení: Aktualizujte adresu URL odhlášení.

  3. Podepsat požadavek SAML: Výchozí není zaškrtnuto.

  4. Pro soubor metadat IDP přidejte aplikaci do konzoly Microsoft Entra ID.

    Snímek obrazovky s konfigurací ověřování konzoly Akamai EAA zobrazující nastavení adresy URL, adresy URL odhlášení, žádosti SAML a souboru metadat IDP

Nastavení relace

Ponechte nastavení jako výchozí.

Snímek obrazovky s dialogovým oknem Nastavení relace konzoly Akamai EAA

Directories

Přeskočte konfiguraci adresáře.

Snímek obrazovky s kartou Adresáře konzoly Akamai EAA

Uživatelské rozhraní pro přizpůsobení

Do protokolu IDP můžete přidat vlastní nastavení.

Snímek obrazovky s kartou Přizpůsobení konzoly Akamai EAA zobrazující nastavení pro přizpůsobení uživatelského rozhraní, nastavení jazyka a motivů

Rozšířená nastavení

Další podrobnosti najdete v dokumentaci k Akamai.

Snímek obrazovky s kartou Upřesnit Nastavení konzoly Akamai EAA zobrazující nastavení pro přemostění KLIENTA EAA, Upřesnit a OIDC na přemostění SAML

Nasazení

  1. Klikněte na Nasadit zprostředkovatele identity.

    Snímek obrazovky s kartou Nasazení konzoly Akamai EAA s tlačítkem Nasadit zprostředkovatele odepření

  2. Ověřte, že nasazení proběhlo úspěšně.

Ověřování na základě hlaviček

Ověřování založené na hlavičce Akamai

  1. Zvolte vlastní formulář HTTP Průvodce přidáním aplikací.

    Snímek obrazovky s průvodcem Přidat aplikace v konzole Akamai EAA zobrazující službu CustomHTTP uvedenou v části Aplikace pro Access

  2. Zadejte název a popis aplikace.

    Snímek obrazovky s dialogovým oknem Vlastní aplikace HTTP zobrazující nastavení pro název a popis aplikace

    Snímek obrazovky s kartou Obecné konzoly Akamai EAA zobrazující obecná nastavení pro MYHEADERAPP

    Snímek obrazovky konzoly Akamai EAA zobrazující nastavení pro certifikát a umístění

Ověřování

  1. Vyberte kartu Ověřování .

    Snímek obrazovky konzoly Akamai EAA s vybranou kartou Ověřování

  2. Přiřaďte zprostředkovatele identity.

    Snímek obrazovky s kartou Ověřování konzoly Akamai EAA pro MYHEADERAPP zobrazující zprostředkovatele identity nastaveným na Microsoft Entra SSO

Služby

Klikněte na Uložit a přejít na ověřování.

Snímek obrazovky s kartou Služby konzoly Akamai EAA pro MYHEADERAPP zobrazující tlačítko Uložit a přejít na tlačítko Upřesnit Nastavení v pravém dolním rohu

Rozšířená nastavení

  1. V části Hlavičky HTTP zákazníka zadejte CustomerHeader a SAML Attribute.

    Snímek obrazovky konzoly Akamai EAA Advanced Nastavení tab showing the SSO Logged URL field highlighted under Authentication ( Ověřování).

  2. Klikněte na Uložit a přejděte na tlačítko Nasazení .

    Snímek obrazovky s kartou Rozšířené Nastavení konzoly Akamai EAA zobrazující tlačítko Uložit a přejít na tlačítko Nasazení v pravém dolním rohu

Nasazení aplikace

  1. Klikněte na tlačítko Nasadit aplikaci .

    Snímek obrazovky s kartou Nasazení konzoly Akamai EAA s tlačítkem Nasadit aplikaci

  2. Ověřte, že se aplikace úspěšně nasadila.

    Snímek obrazovky s kartou Nasazení konzoly Akamai EAA zobrazující stavovou zprávu aplikace:

  3. Prostředí koncového uživatele

    Snímek obrazovky s úvodní obrazovkou pro myapps.microsoft.com s obrázkem na pozadí a dialogovým oknem Přihlásit se

    Snímek obrazovky znázorňující část okna Aplikace s ikonami pro doplňky, HRWEB, Akamai – CorpApps, Expense, Groups a Access

  4. Podmíněný přístup.

    Snímek obrazovky se zprávou: Schválit žádost o přihlášení Na vaše mobilní zařízení jsme poslali oznámení. Odpovězte prosím, abyste mohli pokračovat.

    Snímek obrazovky Aplikace zobrazující ikonu aplikace MyHeaderApp

Vzdálená plocha

  1. V Průvodci přidáním aplikací zvolte protokol RDP .

    Snímek obrazovky s průvodcem Přidat aplikace v konzole Akamai EAA zobrazující protokol RDP uvedený mezi aplikacemi v části Aplikace pro Access

  2. Zadejte název a popis aplikace.

    Snímek obrazovky s dialogovým oknem aplikace RDP zobrazující nastavení pro název a popis aplikace

    Snímek obrazovky s kartou Obecné konzoly Akamai EAA zobrazující nastavení identity aplikace pro SECRETRDPAPP

  3. Zadejte Připojení or, který bude obsluhovat.

    Snímek obrazovky konzoly Akamai EAA zobrazující nastavení pro certifikát a umístění Přidružené konektory jsou nastavené na USWST-CON1.

Ověřování

Klikněte na Uložit a přejděte na Služby.

Snímek obrazovky s kartou Ověřování konzoly Akamai EAA pro SECRETRDPAPP zobrazující tlačítko Uložit a přejít na Služby je v pravém dolním rohu.

Služby

Klikněte na Uložit a přejděte na Upřesnit Nastavení.

Snímek obrazovky s kartou Služby konzoly Akamai EAA pro SECRETRDPAPP zobrazující tlačítko Uložit a přejít na Tlačítko Upřesnit Nastavení v pravém dolním rohu

Rozšířená nastavení

  1. Klikněte na Uložit a přejděte na Nasazení.

    Snímek obrazovky s kartou Advanced Nastavení konzoly Akamai EAA pro SECRETRDPAPP zobrazující nastavení konfigurace vzdálené plochy

    Snímek obrazovky s kartou Rozšířené Nastavení konzoly Akamai EAA pro SECRETRDPAPP zobrazující nastavení konfigurace ověřování a kontroly stavu

    Snímek obrazovky s nastavením vlastních hlaviček HTTP konzoly Akamai EAA pro SECRETRDPAPP s tlačítkem Uložit a přechodem na tlačítko Nasazení v pravém dolním rohu

  2. Prostředí koncového uživatele

    Snímek obrazovky s oknem myapps.microsoft.com s obrázkem na pozadí a dialogovým oknem Přihlásit se

    Snímek obrazovky okna myapps.microsoft.com Aplikace s ikonami pro doplňky, HRWEB, Akamai – CorpApps, Expense, Groups a Access

  3. Podmíněný přístup

    Snímek obrazovky se zprávou podmíněného přístupu: Schválit žádost o přihlášení Na vaše mobilní zařízení jsme poslali oznámení. Odpovězte prosím, abyste mohli pokračovat.

    Snímek obrazovky Aplikace zobrazující ikony pro MyHeaderApp a SecretRDPApp

    Snímek obrazovky Windows Serveru 2012 RS s obecnými ikonami uživatelů Ikony pro správce, uživatele0 a uživatele1 ukazují, že jsou přihlášeni.

  4. Alternativně můžete také přímo zadat adresu URL aplikace RDP.

SSH

  1. Přejděte na Přidat aplikace a zvolte SSH.

    Snímek obrazovky s průvodcem Přidat aplikace a konzolou Akamai EAA zobrazující SSH uvedený mezi aplikacemi v části Aplikace pro Access

  2. Zadejte název a popis aplikace.

    Snímek obrazovky s dialogovým oknem aplikace SSH zobrazující nastavení pro název a popis aplikace

  3. Konfigurace identity aplikace

    Snímek obrazovky s kartou Obecné konzoly Akamai EAA zobrazující nastavení identity aplikace pro SSH-SECURE

    a. Zadejte název nebo popis.

    b. Zadejte IP/plně kvalifikovaný název domény aplikačního serveru a port pro SSH.

    c. Zadejte uživatelské jméno nebo heslo SSH *Zkontrolujte Akamai EAA.

    d. Zadejte název externího hostitele.

    e. Zadejte umístění konektoru a zvolte konektor.

Ověřování

Klikněte na Uložit a přejděte na Služby.

Snímek obrazovky s kartou Ověřování konzoly Akamai EAA pro SSH-SECURE zobrazující tlačítko Uložit a přejít na Služby je v pravém dolním rohu.

Služby

Klikněte na Uložit a přejděte na Upřesnit Nastavení.

Snímek obrazovky s kartou Služby konzoly Akamai EAA pro SSH-SECURE zobrazující tlačítko Uložit a přejít na tlačítko Upřesnit Nastavení v pravém dolním rohu

Rozšířená nastavení

Klikněte na Uložit a přejděte na Nasazení.

Snímek obrazovky s kartou Rozšířené Nastavení konzoly Akamai EAA pro SSH-SECURE zobrazující nastavení konfigurace ověřování a kontroly stavu

Snímek obrazovky s nastavením vlastních hlaviček HTTP konzoly Akamai EAA pro SSH-SECURE s tlačítkem Uložit a v pravém dolním rohu přejděte na tlačítko Nasazení.

Nasazení

  1. Klikněte na Nasadit aplikaci.

    Snímek obrazovky s kartou Nasazení konzoly Akamai EAA pro SSH-SECURE s tlačítkem Nasadit aplikaci

  2. Prostředí koncového uživatele

    Snímek obrazovky s dialogovým oknem myapps.microsoft.com Přihlásit se

    Snímek obrazovky s oknem Aplikace pro myapps.microsoft.com zobrazující ikony pro doplňky, HRWEB, Akamai – CorpApps, Expense, Groups a Access reviews

  3. Podmíněný přístup

    Snímek obrazovky se zprávou: Schválit žádost o přihlášení Na vaše mobilní zařízení jsme poslali oznámení. Odpovězte prosím, abyste mohli pokračovat.

    Snímek obrazovky Aplikace zobrazující ikony pro MyHeaderApp, SSH Secure a SecretRDPApp

    Snímek obrazovky s příkazovým oknem pro ssh-secure-go.akamai-access.com s výzvou k zadání hesla

    Snímek obrazovky s příkazovým oknem pro ssh-secure-go.akamai-access.com zobrazující informace o aplikaci a zobrazení výzvy k zadání příkazů

Ověřování protokolu Kerberos

V následujícím příkladu publikujeme interní webový server a http://frp-app1.superdemo.live povolíme jednotné přihlašování pomocí KCD.

Karta Obecné

Snímek obrazovky s kartou Obecné konzoly Akamai EAA pro MYKERBOROSAPP

Karta Ověřování

Přiřaďte zprostředkovatele identity.

Snímek obrazovky s kartou Ověřování konzoly Akamai EAA pro MYKERBOROSAPP zobrazující zprostředkovatele identity nastaveným na Microsoft Entra SSO

Karta Služby

Snímek obrazovky s kartou Služby konzoly Akamai EAA pro MYKERBOROSAPP

Rozšířená nastavení

Snímek obrazovky s kartou Rozšířené Nastavení konzoly Akamai EAA pro MYKERBOROSAPP zobrazující nastavení souvisejících aplikací a ověřování

Poznámka:

Hlavní název služby (SPN) pro webový server je ve formátu SPN@Domain například pro HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE tuto ukázku. Ponechte zbývající nastavení výchozí.

Karta Nasazení

Snímek obrazovky s kartou Nasazení konzoly Akamai EAA pro MYKERBOROSAPP s tlačítkem Nasadit aplikaci

Přidání adresáře

  1. V rozevíracím seznamu vyberte AD .

    Snímek obrazovky okna Adresářů konzoly Akamai EAA s dialogovým oknem Vytvořit nový adresář s vybranou službou AD v rozevíracím seznamu Pro typ adresáře

  2. Zadejte potřebná data.

    Snímek obrazovky s oknem SUPERDEMOLIVE konzoly Akamai EAA s nastavením DirectoryName, Directory Service, Připojení or a Attribute mapping

  3. Ověřte vytvoření adresáře.

    Snímek obrazovky okna adresářů konzoly Akamai EAA znázorňující, že byl přidán adresář superdemo.live

  4. Přidejte skupiny nebo organizační jednotky, které by vyžadovaly přístup.

    Snímek obrazovky s nastavením superdemo.live adresáře Ikona, kterou vyberete pro přidání skupin nebo organizačních jednotek, je zvýrazněná.

  5. V níže uvedené skupině se nazývá EAAGroup a má 1 člena.

    Snímek obrazovky okna SKUPINY konzoly Akamai EAA V OKNĚ SUPERDEMOLIVE DIRECTORY Skupina EAAGroup s 1 uživatelem je uvedená v části Skupiny.

  6. Přidejte adresář k zprostředkovateli identity kliknutím na >zprostředkovatele identity identity a kliknutím na kartu Adresáře a kliknutím na Přiřadit adresář.

    Snímek obrazovky s kartou Adresáře konzoly Akamai EAA pro jednotné přihlašování Microsoft Entra zobrazující superdemo.live v seznamu aktuálně přiřazených adresářů

Konfigurace delegování KCD pro názorný postup EAA

Krok 1: Vytvoření účtu

  1. V příkladu použijeme účet s názvem EAADelegation. Můžete to provést pomocí modulu Snappin služby Active Directory a uživatele služby Active Directory.

    Snímek obrazovky s kartou Adresáře konzoly Akamai EAA pro jednotné přihlašování Microsoft Entra Adresář superdemo.live je uvedený v části Aktuálně přiřazené adresáře.

    Poznámka:

    Uživatelské jméno musí být v určitém formátu na základě názvu zachytávání identity. Z obrázku 1 vidíme, že je to corpapps.login.go.akamai-access.com

  2. Přihlašovací jméno uživatele bude:HTTP/corpapps.login.go.akamai-access.com

    Snímek obrazovky s vlastnostmi EAADelegation s křestním jménem nastaveným na EAADelegation a přihlašovacím jménem uživatele nastaveným na HTTP/corpapps.login.go.akamai-access.com

Krok 2: Konfigurace hlavního názvu služby (SPN) pro tento účet

  1. Na základě této ukázky bude hlavní název služby (SPN) následující.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Snímek obrazovky s příkazovým řádkem Správa istrator zobrazující výsledky příkazu setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

Krok 3: Konfigurace delegování

  1. U účtu EAADelegation klikněte na kartu Delegování.

    Snímek obrazovky s příkazovým řádkem Správa istrator zobrazující příkaz pro konfiguraci hlavního názvu služby (SPN).

    • Zadejte libovolný ověřovací protokol.
    • Klikněte na Přidat a přidat účet fondu aplikací pro web Kerberos. Pokud je správně nakonfigurovaný, měl by se automaticky přeložit na správnou opravu hlavního názvu služby.

Krok 4: Vytvoření souboru keytab pro AKAMAI EAA

  1. Tady je obecná syntaxe.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Vysvětlení příkladu

    Fragment kódu Vysvětlení
    Ktpass /out EAADemo.keytab Název výstupního souboru Keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Účet delegování EAA
    /pass RANDOMPASS Heslo účtu delegování EAA
    /crypto All ptype KRB5_NT_PRINCIPAL projděte si dokumentaci K Akamai EAA.

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Snímek obrazovky s příkazovým řádkem Správa istrator zobrazující výsledky příkazu pro vytvoření souboru keytab pro AKAMAI EAA

Krok 5: Import keytab v konzole AKAMAI EAA

  1. Klikněte na systémové>klávesové zkratky.

    Snímek obrazovky konzoly Akamai EAA zobrazující vybrané klávesové zkratky z nabídky Systém

  2. V části Typ klávesové zkratky zvolte Delegování kerberos.

    Snímek obrazovky s obrazovkou EAAKEYTAB konzoly Akamai EAAKEYTAB s nastavením klávesové zkratky Typ klávesové zkratky je nastavený na delegování kerberos.

  3. Ujistěte se, že se karta Keytab zobrazuje jako nasazená a ověřená.

    Snímek obrazovky konzoly Akamai EAA KEYTABS se seznamem klíčových tabulek EAA jako

  4. Uživatelské prostředí

    Snímek obrazovky s dialogovým oknem Přihlásit se na myapps.microsoft.com

    Snímek obrazovky s oknem Aplikace pro myapps.microsoft.com zobrazující ikony aplikací

  5. Podmíněný přístup

    Snímek obrazovky se zprávou o schválení žádosti o přihlášení zpráva.

    Snímek obrazovky Aplikace zobrazující ikony pro MyHeaderApp, SSH Secure, SecretRDPApp a myKerberosApp

    Snímek obrazovky úvodní obrazovky aplikace myKerberosApp Na obrázku pozadí se zobrazí zpráva

Vytvoření testovacího uživatele Akamai

V této části vytvoříte uživatele S názvem B.Simon v Akamai. Spolupracujte s týmem podpory klienta Akamai a přidejte uživatele na platformě Akamai. Uživatelé se musí vytvořit a aktivovat před použitím jednotného přihlašování.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k Akamai, pro kterou jste nastavili jednotné přihlašování.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Akamai v Moje aplikace, měli byste být automaticky přihlášení k Akamai, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete Akamai, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.