Konfigurieren von Akamai mit externer Microsoft Entra-ID

Gilt für: Externe Mandanten (weitere Informationen)

Sie können Webanwendungsfirewall(WAF)-Lösungen von Drittanbietern in die externe Microsoft Entra-ID integrieren, um die Gesamtsicherheit zu verbessern. Ein WAF schützt Ihre Organisation vor Angriffen wie verteiltem Denial of Service (DDoS), böswilligen Bots und Open Worldwide Application Security Project (OWASP) Top-10-Sicherheitsrisiken .

Akamai Web Application Firewall (Akamai WAF) schützt Ihre Web-Apps vor gängigen Exploits und Sicherheitsrisiken. Durch die Integration von Akamai WAF mit der externen Microsoft Entra-ID fügen Sie eine zusätzliche Sicherheitsebene für Ihre Anwendungen hinzu.

Dieser Artikel enthält schrittweise Anleitungen zum Konfigurieren Ihres externen Mandanten mit Akamai WAF.

Lösungsübersicht

Die Lösung verwendet drei Hauptkomponenten:

• Externer Mandant – Fungiert als Identitätsanbieter (IdP) und Autorisierungsserver und erzwingt benutzerdefinierte Richtlinien für die Authentifizierung.
• Azure Front Door (AFD) – Behandelt benutzerdefiniertes Domänenrouting und leitet Datenverkehr an die externe Microsoft Entra-ID weiter.
• Akamai WAF – Die Webanwendungsschutz-Firewall, die den Datenverkehr verwaltet, der an den Autorisierungsserver gesendet wird.

Voraussetzungen

Um zu beginnen, benötigen Sie Folgendes:

• Ein externer Mieter.
• Eine AfD-Konfiguration (Microsoft Azure Front Door). Der Datenverkehr vom Akamai WAF wird an Azure Front Door weitergeleitet, das dann an den externen Mandanten weiterleitet.
• Ein Akamai-Konto. Wenn Sie kein Konto haben, wechseln Sie zum Security Store , um Ihr Konto zu erstellen und zu kaufen.
• Ein Akamai WAF , das den an den Autorisierungsserver gesendeten Datenverkehr verwaltet.
• Eine benutzerdefinierte Domäne in Ihrem externen Mandanten, die mit Azure Front Door (AFD) aktiviert ist.

Schritte zum Einrichten von Akamai

Richten Sie zunächst Akamai WAF ein, um Ihre benutzerdefinierten URL-Domänen für die externe Microsoft Entra-ID zu schützen. Führen Sie die folgenden Schritte aus, um Akamai WAF zu konfigurieren.

Konfigurieren von Akamai WAF

Nachdem Sie über einen Vertrag mit Akamai verfügen, können Sie auf das Portal zugreifen, mit dem Sie alle Ihre Akamai WAF-Einstellungen und vieles mehr verwalten können. Zum Erstellen Des anfänglichen Setups können Sie zwischen zwei Optionen wählen:

• Der Schnellstart-Assistent bietet einen geführten Workflow, mit dem Sie die Bausteine bereitstellen können, die Datenverkehr mit WAF schützen – empfohlen, wenn Sie mit Akamai noch nicht vertraut sind. Sie können diese Einstellungen später aktualisieren, um Ihre Anforderungen zu erfüllen.
• Mit dem erweiterten Modus können Sie präzise Kontrolle erhalten, indem Sie einzelne Schnittstellen für detaillierte Anpassungen konfigurieren.

Um alle Funktionen der Akamai WAF-Lösung zu erkunden, lesen Sie den Benutzerhandbuch.

Schnellstart-Assistent

Akamai bietet einen Schnellstart-Assistenten , mit dem Sie neue Hostnamen integrieren und mit seiner WAF-Lösung schützen können, die als App & API Protector bezeichnet wird.

Ion Standard ist eine zusätzliche Lösung, die die Anwendungsleistung verbessert und die Inhaltsbereitstellung auf der Akamai-Plattform optimiert.

Um auf den Assistenten zuzugreifen, wählen Sie "Erste Schritte>App & API Protector + Ion Standard" aus. Auf dem Ersten Bildschirm werden die Schritte angezeigt, die erforderlich sind, um das Onboarding abzuschließen. Wählen Sie "Start" aus, um zu beginnen.

Weitere Informationen finden Sie in den Schritten unter Configure Akamai WAF in der Akamai-Dokumentation.

Erweiterter Modus

Wenn Sie einen erweiterten Ansatz bevorzugen, erstellen und konfigurieren Sie zuerst eine Eigenschaft im Property Manager. Eine Eigenschaft ist eine Konfigurationsdatei, die Akamai-Edgeserver angibt, wie eingehende Anforderungen von Ihren Endbenutzern verarbeitet und beantwortet werden.

Weitere Informationen finden Sie unter Was ist eine Eigenschaft?. Führen Sie die folgenden Schritte aus, um eine Eigenschaft zu erstellen und zu konfigurieren:

Erstellen und Konfigurieren einer Eigenschaft

1. Wechseln Sie zum Akamai Control Center , um sich anzumelden.
2. Navigieren Sie zum Eigenschaften-Manager.
3. Wählen Sie für Eigenschaftsversion die Option Standard oder Erweitertes TLS (empfohlen) aus.
4. Für Property-Hostnamen fügen Sie einen Property-Hostnamen für Ihre benutzerdefinierte Domäne hinzu.
   Beispiel: login.domain.com

Von Bedeutung

Erstellen oder Ändern von Zertifikaten mit den richtigen einstellungen für benutzerdefinierte Domänennamen.
Ausführliche Informationen finden Sie unter Konfigurieren von HTTPS-Hostnamen.

Konfigurationseinstellungen für die Eigenschaften des Ursprungsservers

Verwenden Sie die folgenden Einstellungen für den Ursprungsserver:

1. Geben Sie für den Origin-Typ Ihren Ursprungstyp ein.
2. Geben Sie für den Hostnamen des Origin-Servers Ihren Hostnamen ein.
   Beispiel: yourafddomain.azurefd.net
3. Wählen Sie für den Weiterleitungshostheader den Eintrag "Eingehender Hostheader" aus.
4. Wählen Sie für Cache-Schlüssel-Hostnamen den eingehenden Host-Header aus.

Konfigurieren von DNS

Erstellen Sie einen kanonischen Namen (CNAME)-Eintrag in Ihrem DNS, z. B. login.domain.com, der auf den Microsoft Edge-Hostname im Feld "Eigenschafts-Hostname" verweist.

Konfigurieren von Akamai WAF

1. Wechseln Sie zum Akamai Control Center , um sich anzumelden.
2. Navigieren Sie zu Sicherheitskonfigurationen.
3. Um eine neue Sicherheitskonfiguration zu erstellen, wählen Sie "Vorhandene Eigenschaft schützen" aus.
4. Geben Sie in den Konfigurationsdetails einen Konfigurationsnamen ein, und wählen Sie dann " Erstellen" aus, und aktivieren Sie die Konfiguration im Produktionsnetzwerk.
5. Informationen zu den ersten Schritten mit der Sicherheitskonfiguration finden Sie unter https://techdocs.akamai.com/cloud-security/docs/app-api-protector.
6. Ändern Sie in einer nachfolgenden Sicherheitskonfigurationsversion die Aktion unter "Webanwendungsfirewall für Angriffsgruppe", und legen Sie "Gruppenaktion " auf "Verweigern" fest.

Überprüfen Sie Akamai WAF in der externen ID

Überprüfen Sie nach Abschluss der Konfigurationsschritte, ob Akamai WAF Ihren externen Mandanten schützt, indem Sie die Authentifizierungsanmeldeinformationen mit der WAF-Konfiguration verbinden.

Microsoft Entra Admin Center

WAF-Anbieterkonfiguration

1. Melden Sie sich mindestens als Sicherheitsleser beim Microsoft Entra Admin Center an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol "Einstellungen" im oberen Menü, um zu dem externen Mandanten zu wechseln, den Sie zuvor im Menü "Verzeichnisse + Abonnements " erstellt haben.

3. Navigieren Sie zum Entra ID>Security Store.

4. Wählen Sie die Option "Apps vor DDoS mit WAF-Kachel schützen" aus , indem Sie "Erste Schritte" auswählen.

5. Wählen Sie unter "Waf Provider" die Option "Akamai" und dann "Weiter" aus.

   

6. Erstellen Sie ein Akamai-Konto. Wenn Sie noch kein Konto besitzen, erstellen und kaufen Sie ein Konto im Security Store.

7. Um Zugriff auf die Akamai-API zum Ausführen von Aktionen zu gewähren, erstellen Sie EdgeGrid-Authentifizierungsanmeldeinformationen und notieren Sie alle generierten Informationen (client_secret, host, , access_tokenclient_token). Sie verwenden diese Werte später im Setupprozess wieder.

Aktualisieren Sie außerdem die API-Einschränkungen für die Aktionen auf die entsprechende Zugriffsebene, die in der folgenden Tabelle gezeigt wird:

Title	Description	Zugriffsebene
Microsoft Edge-Diagnose	Microsoft Edge-Diagnose	LESEN-SCHREIBEN
Property Manager (PAPI)	Immobilienverwalter (PAPI) PAPI erfordert Zugriff auf Microsoft Edge-Hostnamen. Bearbeiten Sie Ihre Autorisierungen, um HAPI zu Ihrem API-Client hinzuzufügen.	READ-ONLY

8. Kehren Sie zum Microsoft Entra Admin Center zurück, um das Setup abzuschließen.
9. Unter "Akamai WAF konfigurieren" können Sie eine vorhandene Konfiguration auswählen oder eine neue konfiguration erstellen. Wenn Sie eine neue Konfiguration erstellen, fügen Sie die folgenden Informationen hinzu:
   • Konfigurationsname: Ein Name für die WAF-Konfiguration.
   • Hostpräfix: Das Hostpräfix aus Ihren Akamai EdgeGrid-API-Anmeldeinformationen.
   • Client-Geheimnis: Das Client-Geheimnis Ihrer Akamai EdgeGrid-API-Anmeldeinformationen.
   • Zugriffstoken: Das Zugriffstoken aus Ihren Akamai EdgeGrid-API-Anmeldeinformationen.
   • Clienttoken: Das Clienttoken aus Ihren Akamai EdgeGrid-API-Anmeldeinformationen.

10. Wählen Sie Weiter aus, um zum nächsten Schritt zu wechseln.

Domänenüberprüfung

Wählen Sie die benutzerdefinierten URL-Domänen aus, die von Azure Front Door (AFD) zum Überprüfen und Verbinden mit Ihrer Akamai WAF-Konfiguration unterstützt werden. Dieser Schritt stellt sicher, dass die ausgewählten Domänen durch erweiterte Sicherheitsfeatures geschützt sind.

1. Wählen Sie "Domäne überprüfen" aus, um den Überprüfungsprozess zu starten.
2. Wählen Sie die benutzerdefinierten URL-Domänen aus, die Sie mit Akamai WAF schützen möchten, und wählen Sie dann "Überprüfen" aus.

3. Wählen Sie nach der Überprüfung "Fertig " aus, um den Vorgang abzuschließen.

Microsoft Graph-API

Sie können die Microsoft Graph-API über Graph Explorer verwenden, um die Akamai WAF-Integration zu konfigurieren.

Stellen Sie sicher, dass der Anrufer die Rolle Security Reader hat und der Berechtigung RiskPreventionProviders.Read.All zugestimmt hat.

Mit dieser Berechtigung können Sie POST .../riskPrevention/webApplicationFirewallProviders aufrufen, um den Anbieter zu erstellen, und dann POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify zur Überprüfung aufrufen.

Schritt 1: Erstellen eines Akamai WAF-Anbieters mit der API

Stellen Sie sicher, dass Sie über den API-Client verfügen, den Sie in Akamai erstellt haben. Um Zugriff auf die Akamai-API zum Ausführen von Aktionen zu gewähren, erstellen Sie EdgeGrid-Authentifizierungsanmeldeinformationen und notieren Sie alle generierten Informationen (client_secret, host, , access_tokenclient_token).

Aktualisieren Sie außerdem die API-Einschränkungen für die Aktionen auf die entsprechende Zugriffsebene, die in der folgenden Tabelle gezeigt wird:

Title	Description	Zugriffsebene
Microsoft Edge-Diagnose	Microsoft Edge-Diagnose	LESEN-SCHREIBEN
Property Manager (PAPI)	Immobilienverwalter (PAPI) PAPI erfordert Zugriff auf Microsoft Edge-Hostnamen. Bearbeiten Sie Ihre Autorisierungen, um HAPI zu Ihrem API-Client hinzuzufügen.	READ-ONLY

Diese Informationen sind erforderlich, damit das Back-End Akamai in Ihrem Auftrag aufrufen kann, um die WAF-Konfiguration abzurufen und zu überprüfen.

Anfrage

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix",
    "clientSecret": "akamai_example_secret_123",
    "clientToken": "akamai_example_token_456",
    "accessToken": "akamai_example_token_789"
}

Antwort

Das folgende Beispiel zeigt die Antwort. Das hier gezeigte Antwortobjekt wird möglicherweise zur besseren Lesbarkeit verkürzt.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000002",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix"
}

Schritt 2: Überprüfen des Akamai WAF-Anbieters mit der API

Das folgende Beispiel zeigt, wie Sie eine Domäne mithilfe von webApplicationFirewallProvider der hostName überprüfen können.

Anfrage

Das folgende Beispiel zeigt eine Anfrage.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}identity\authentication\tutorial-enable-cloud-sync-sspr-writeback

Antwort

Das folgende Beispiel zeigt die Antwort. Das hier gezeigte Antwortobjekt wird möglicherweise zur besseren Lesbarkeit verkürzt.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "akamai",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.akamaiVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "akamai Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Hinweis

CRUD-Operationen (Create, Read, Update, Delete) für die Überprüfungsdetails der Anbieter können mit Verzögerungen von bis zu 15 Minuten auftreten. Wenn Sie eine Domäne löschen, kann die Überprüfung bis zu 15 Minuten dauern, bis Sie sie wieder hinzufügen können.

Problembehandlung

Szenario	Details
Von Akamai WAF blockierte Anforderung	Wenn der Akamai WAF eine Anforderung blockiert, gibt er einen Akamai-Referenzcode, wie z. B. 18.6f64d440.1318965461.2f2b078, zurück. Sie können diesen Code mithilfe des Security Event Error Translator debuggen.
Weitere Tools zur Problembehandlung	Zur Problembehandlung stehen verschiedene Tools zur Verfügung. Entdecken Sie diese Tools hier.

Weitere Ressourcen

• Verwalten Ihrer Sicherheitseinstellungen

  • Die Sicherheitskonfigurationsvoreinstellungen legen WAF auf den Modus "Nur Warnung " fest. Um Bedrohungen mit Akamai aktiv zu mindern, ändern Sie die Aktion auf "Verweigern".
  • Akamai bietet umfassende Sicherheitsvorkehrungen. Hiererhalten Sie weitere Informationen.
  • Mindestens:
    • Ändern Sie den DoS-Schutz für die drei Richtlinien zur Ratenbegrenzung auf "Verweigern", nachdem Sie die Schwellenwerte für Ihren Datenverkehr überprüft haben.
    • Ändern Sie die Gruppenaktion für Befehlsinjektion, Cross-Site Scripting, lokale Dateieinbindung, Remotedateieinbindung, SQL-Injektion, Web-Angriffswerkzeug, Web-Plattform-Angriff und Web-Protokoll-Angriff auf Deny.

• Verwalten von Übermittlungs- und Leistungseinstellungen

  • Entdecken Sie hier nützliche Informationen, um sich mit Akamai vertraut zu machen.

• Anzeigen gekennzeichneter Anforderungen

  • Anforderungen anzeigen, die von Akamai WAF in Web Security Analytics gekennzeichnet (abgelehnt oder benachrichtigt) wurden.
  • Schauen Sie sich kurze Videos an, um Ihre Reise zu beschleunigen.