Tutorial: Microsoft Entra-SSO-Integration mit Akamai

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Akamai mit Microsoft Entra ID integrieren. Wenn Sie Akamai mit Microsoft Entra ID integrieren, ist Folgendes möglich:

  • In Microsoft Entra ID steuern, wer Zugriff auf Akamai hat
  • Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Akamai anzumelden
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Die Integration von Microsoft Entra ID mit Akamai Enterprise Application Access ermöglicht den nahtlosen Zugriff auf in der Cloud oder lokal gehostete Legacyanwendungen. Die integrierte Lösung nutzt alle modernen Funktionen von Microsoft Entra ID wie den bedingten Zugriff von Microsoft Entra, Microsoft Entra ID Protection und Microsoft Entra ID Governance für den Zugriff auf Legacyanwendungen ohne App-Änderungen oder die Installation von Agents.

Die folgende Abbildung zeigt, wie sich Akamai EAA in das allgemeine Szenario für sicheren Hybridzugriff einfügt.

Akamai EAA fits into the broader Hybrid Secure Access scenario

Wichtige Authentifizierungsszenarien

Neben der nativen Azure Active Directory-Integrationsunterstützung für moderne Authentifizierungsprotokolle wie OpenID Connect, SAML und WS-Fed erweitert Akamai EAA den sicheren Zugriff für legacybasierte Authentifizierungs-Apps sowohl für den internen als auch für den externen Zugriff mit Microsoft Entra ID. So werden für diese Anwendungen moderne Szenarios wie etwa Zugriff ohne Kennwort ermöglicht. Dies schließt Folgendes ein:

  • Apps mit headerbasierter Authentifizierung
  • Remotedesktop
  • SSH (Secure Shell)
  • Apps mit Kerberos-Authentifizierung
  • VNC (Virtual Network Computing)
  • Apps mit anonymer Authentifizierung oder ohne integrierte Authentifizierung
  • Apps mit NTLM-Authentifizierung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)
  • Formularbasierte Anwendung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)

Integrationsszenarien

Die Partnerschaft zwischen Microsoft und Akamai EAA ermöglicht eine flexible Erfüllung Ihrer geschäftlichen Anforderungen. Hierzu werden basierend auf Ihrer geschäftlichen Anforderung verschiedene Integrationsszenarien unterstützt. Dies ermöglicht eine Zero-Day-Abdeckung für sämtliche Anwendungen mit anschließender schrittweiser Klassifizierung und Konfiguration geeigneter Richtlinienklassifizierungen.

Integrationsszenario 1

Akamai EAA wird als einzelne Anwendung in der Microsoft Entra ID-Instanz konfiguriert. Der Administrator kann die Richtlinie für bedingten Zugriff für die Anwendung konfigurieren, und Benutzer können auf das Akamai EAA-Portal zugreifen, sobald die Bedingungen erfüllt sind.

Vorteile:

  • Der IDP muss nur einmal konfiguriert werden.

Nachteile:

  • Benutzer verfügen über zwei Anwendungsportale.

  • Abdeckung aller Anwendungen durch eine einzelne allgemeine Richtlinie für bedingten Zugriff

Integration Scenario 1

Integrationsszenario 2

Die Akamai EAA-Anwendung wird individuell im Azure-Portal eingerichtet. Der Administrator kann eine individuelle Richtlinie für bedingten Zugriff für die Anwendungen konfigurieren, und Benutzer können direkt zur jeweiligen Anwendung umgeleitet werden, sobald die Bedingungen erfüllt sind.

Vorteile:

  • Sie können einzelne Richtlinien für bedingten Zugriff definieren.

  • Alle Apps werden im Office 365-Waffelmenü und im Bereich „myApps.microsoft.com“ dargestellt.

Nachteile:

  • Sie müssen mehrere IDPs konfigurieren.

Integration Scenario 2

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Akamai-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Akamai unterstützt IDP-initiiertes einmaliges Anmelden.

Wichtig

Alle unten aufgeführten Einrichtungsschritte gelten sowohl für das Integrationsszenario 1 als auch für das Szenario 2. Für das Integrationsszenario 2 müssen Sie einen individuellen IdP in der Akamai EAA-Instanz einrichten, und die URL-Eigenschaft muss so geändert werden, dass sie auf die Anwendungs-URL verweist.

Screenshot of the General tab for AZURESSO-SP in Akamai Enterprise Application Access. The Authentication configuration URL field is highlighted.

Zum Konfigurieren der Integration von Akamai mit Microsoft Entra ID müssen Sie Akamai aus dem Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Akamai in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Akamai aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für Akamai

Konfigurieren und testen Sie von Microsoft Entra-SSO mit Akamai mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzer*innen und den entsprechenden Benutzer*innen in Akamai eingerichtet werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit Akamai die folgenden Schritte aus:

  1. Konfigurieren von Microsoft Entra-SSO, um Ihren Benutzer*innen das Verwenden dieses Features zu ermöglichen
  2. Konfigurieren des einmaligen Anmeldens für Akamai , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Edit Basic SAML Configuration

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Aktualisieren Sie diese Werte mit dem eigentlichen Bezeichner und der Antwort-URL. Diese Werte erhalten Sie vom Supportteam für den Akamai-Client. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    The Certificate download link

  7. Kopieren Sie im Abschnitt Akamai einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Copy configuration URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon das Verwenden des einmaligen Anmeldens, indem Sie ihr Zugriff auf Akamai gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für Akamai

Einrichten des IDP

Akamai EAA: IDP-Konfiguration

  1. Melden Sie sich bei der Enterprise Application Access-Konsole von Akamai an.

  2. Wählen Sie in der EAA-Konsole von Akamai die Optionen Identity>Identity Providers (Identität > Identitätsanbieter) aus, und klicken Sie auf Add Identity Provider (Identitätsanbieter hinzufügen).

    Screenshot of the Akamai EAA console Identity Providers window. Select Identity Providers on the Identity menu and select Add Identity Provider.

  3. Führen Sie im Dialogfeld Create New Identity Provider (Neuen Identitätsanbieter erstellen) die folgenden Schritte aus:

    Screenshot of the Create New Identity Providers dialog in the Akamai EAA console.

    a. Geben Sie einen eindeutigen Namen ein.

    b. Wählen Sie Third Party SAML (Drittanbieter-SAML) aus, und klicken Sie auf Create Identity Provider and Configure (Identitätsanbieter erstellen und konfigurieren).

Allgemeine Einstellungen

  1. Identity Intercept: Geben Sie den Namen der SP-basierten URL ein. Dieser wird für die Microsoft Entra-Konfiguration verwendet.

    Hinweis

    Sie können eine eigene benutzerdefinierte Domäne verwenden. (Dafür sind ein DNS-Eintrag und ein Zertifikat erforderlich.) In diesem Beispiel verwenden wir die Akamai-Domäne.

  2. Akamai Cloud Zone (Akamai-Cloudzone): Wählen Sie die entsprechende Cloudzone aus.

  3. Certificate Validation (Zertifikatüberprüfung): Lesen Sie die Akamai-Dokumentation (optional).

    Screenshot of the Akamai EAA console General tab showing settings for Identity Intercept, Akamai Cloud Zone, and Certificate Validation.

Authentifizierungskonfiguration

  1. URL: Geben Sie die gleiche URL wie unter „Identity Intercept“ (Identität abfangen) ein. (An diese URL werden Benutzer nach der Authentifizierung weitergeleitet.)

  2. Logout URL (Abmelde-URL): Aktualisieren Sie die Abmelde-URL.

  3. Sign SAML Request (SAML-Anforderung signieren): Diese Option ist standardmäßig deaktiviert.

  4. Fügen Sie für die IdP-Metadatendatei die Anwendung in der Microsoft Entra ID-Konsole hinzu.

    Screenshot of the Akamai EAA console Authentication configuration showing settings for URL, Logout URL, Sign SAML Request, and IDP Metadata File.

Sitzungseinstellungen

Übernehmen Sie die Standardeinstellungen.

Screenshot of the Akamai EAA console Session settings dialog.

Verzeichnisse

Überspringen Sie die Verzeichniskonfiguration.

Screenshot of the Akamai EAA console Directories tab.

Benutzeroberfläche für die Anpassung

Der IDP kann auf Wunsch angepasst werden.

Screenshot of the Akamai EAA console Customization tab showing settings for Customize UI, Language settings, and Themes.

Erweiterte Einstellungen

Überspringen Sie die erweiterten Einstellungen. (Weitere Informationen finden Sie in der Akamai-Dokumentation.)

Screenshot of the Akamai EAA console Advanced Settings tab showing settings for EAA Client, Advanced, and OIDC to SAML bridging.

Bereitstellung

  1. Klicken Sie auf die Option zum Bereitstellen des Identitätsanbieters.

    Screenshot of the Akamai EAA console Deployment tab showing the Deploy dentity provider button.

  2. Vergewissern Sie sich, dass die Bereitstellung erfolgreich war.

Headerbasierte Authentifizierung

Headerbasierte Authentifizierung von Akamai

  1. Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option Custom HTTP (Benutzerdefiniertes HTTP) aus.

    Screenshot of the Akamai EAA console Add Applications wizard showing CustomHTTP listed in the Access Apps section.

  2. Geben Sie unter Application Name (Anwendungsname) einen Anwendungsnamen und unter Description (Beschreibung) eine Beschreibung ein.

    Screenshot of a Custom HTTP App dialog showing settings for Application Name and Description.

    Screenshot of the Akamai EAA console General tab showing general settings for MYHEADERAPP.

    Screenshot of the Akamai EAA console showing settings for Certificate and Location.

Authentifizierung

  1. Wählen Sie die Registerkarte Authentication (Authentifizierung) aus.

    Screenshot of the Akamai EAA console with the Authentication tab selected.

  2. Weisen Sie den Identitätsanbieter zu.

    Screenshot of the Akamai EAA console Authentication tab for MYHEADERAPP showing the Identity provider set to Microsoft Entra SSO.

Dienste

Klicken Sie auf „Save“ (Speichern), und gehen Sie zu „Authentication“ (Authentifizierung).

Screenshot of the Akamai EAA console Services tab for MYHEADERAPP showing the Save and go to AdvancedSettings button in the bottom right corner.

Erweiterte Einstellungen

  1. Geben Sie unter Custom HTTP Headers (Benutzerdefinierte HTTP-Header) Werte für Custom Header (Benutzerdefinierter Header) und SAML Attribute (SAML-Attribut) ein.

    Screenshot of the Akamai EAA console Advanced Settings tab showing the SSO Logged URL field highlighted under Authentication.

  2. Klicken Sie auf die Schaltfläche Save and go to Deployment (Speichern und zur Bereitstellung wechseln).

    Screenshot of the Akamai EAA console Advanced Settings tab showing the Save and go to Deployment button in the bottom right corner.

Bereitstellen der Anwendung

  1. Klicken Sie auf die Schaltfläche Deploy Application (Anwendung bereitstellen).

    Screenshot of the Akamai EAA console Deployment tab showing the Deploy application button.

  2. Vergewissern Sie sich, dass die Anwendung erfolgreich bereitgestellt wurde.

    Screenshot of the Akamai EAA console Deployment tab showing the Application status message:

  3. Endbenutzererfahrung:

    Screenshot of the opening screen for myapps.microsoft.com with a background image and a Sign in dialog.

    Screenshot showing part of an Apps window with icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  4. Bedingter Zugriff:

    Screenshot of the message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing an icon for the MyHeaderApp.

Remotedesktop

  1. Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option RDP aus.

    Screenshot of the Akamai EAA console Add Applications wizard showing RDP listed among the apps in the Access Apps section.

  2. Geben Sie unter Application Name (Anwendungsname) einen Anwendungsnamen und unter Description (Beschreibung) eine Beschreibung ein.

    Screenshot of a RDP App dialog showing settings for Application Name and Description.

    Screenshot of the Akamai EAA console General tab showing Application identity settings for SECRETRDPAPP.

  3. Geben Sie den Connector dafür an.

    Screenshot of the Akamai EAA console showing settings for Certificate and Location. Associated connectors is set to USWST-CON1.

Authentifizierung

Klicken Sie auf Save and go to Services (Speichern und zu Diensten wechseln).

Screenshot of the Akamai EAA console Authentication tab for SECRETRDPAPP showing the Save and go to Services button is in the bottom right corner.

Dienste

Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).

Screenshot of the Akamai EAA console Services tab for SECRETRDPAPP showing the Save and go to AdvancedSettings button in the bottom right corner.

Erweiterte Einstellungen

  1. Klicken Sie auf Save and go to Deployment (Speichern und zur Bereitstellung wechseln).

    Screenshot of the Akamai EAA console Advanced Settings tab for SECRETRDPAPP showing the settings for Remote desktop configuration.

    Screenshot of the Akamai EAA console Advanced Settings tab for SECRETRDPAPP showing the settings for Authentication and Health check configuration.

    Screenshot of the Akamai EAA console Custom HTTP headers settings for SECRETRDPAPP with the Save and go to Deployment button in the bottom right corner.

  2. Endbenutzererfahrung

    Screenshot of a myapps.microsoft.com window with a background image and a Sign in dialog.

    Screenshot of the myapps.microsoft.com Apps window with icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  3. Bedingter Zugriff

    Screenshot of the Conditional Access message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing icons for the MyHeaderApp and SecretRDPApp.

    Screenshot of Windows Server 2012 RS screen showing generic user icons. The icons for administrator, user0, and user1 show that they are Signed in.

  4. Alternativ können Sie die RDP-Anwendungs-URL auch direkt eingeben.

SSH

  1. Navigieren Sie zu „Add Applications“ (Anwendungen hinzufügen), und wählen Sie SSH aus.

    Screenshot of the Akamai EAA console Add Applications wizard showing SSH listed among the apps in the Access Apps section.

  2. Geben Sie unter Application Name (Anwendungsname) einen Anwendungsnamen und unter Description (Beschreibung) eine Beschreibung ein.

    Screenshot of an SSH App dialog showing settings for Application Name and Description.

  3. Konfigurieren Sie die Anwendungsidentität.

    Screenshot of the Akamai EAA console General tab showing Application identity settings for SSH-SECURE.

    a. Geben Sie einen Namen und eine Beschreibung ein.

    b. Geben Sie die Anwendungsserver-IP bzw. den FQDN und Port für SSH an.

    c. Geben Sie den SSH-Benutzernamen und die SSH-Passphrase an. *Diese finden Sie in Akamai EAA.

    d. Geben Sie den Namen des externen Hosts an.

    e. Geben Sie den Speicherort für den Connector an, und wählen Sie den Connector aus.

Authentifizierung

Klicken Sie auf Save and go to Services (Speichern und zu Diensten wechseln).

Screenshot of the Akamai EAA console Authentication tab for SSH-SECURE showing the Save and go to Services button is in the bottom right corner.

Dienste

Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).

Screenshot of the Akamai EAA console Services tab for SSH-SECURE showing the Save and go to AdvancedSettings button in the bottom right corner.

Erweiterte Einstellungen

Klicken Sie auf „Save and go to Deployment“ (Speichern und zur Bereitstellung wechseln).

Screenshot of the Akamai EAA console Advanced Settings tab for SSH-SECURE showing the settings for Authentication and Health check configuration.

Screenshot of the Akamai EAA console Custom HTTP headers settings for SSH-SECURE with the Save and go to Deployment button in the bottom right corner.

Bereitstellung

  1. Klicken Sie auf Deploy Application (Anwendung bereitstellen).

    Screenshot of the Akamai EAA console Deployment tab for SSH-SECURE showing the Deploy application button.

  2. Endbenutzererfahrung

    Screenshot of a myapps.microsoft.com window Sign in dialog.

    Screenshot of the Apps window for myapps.microsoft.com showing icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  3. Bedingter Zugriff

    Screenshot showing the message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing icons for MyHeaderApp, SSH Secure, and SecretRDPApp.

    Screenshot of a command window for ssh-secure-go.akamai-access.com showing a Password prompt.

    Screenshot of a command window for ssh-secure-go.akamai-access.com showing information about the application and displaying a prompt for commands.

Kerberos-Authentifizierung

Im folgenden Beispiel wird ein interner Webserver (http://frp-app1.superdemo.live) veröffentlicht und einmaliges Anmelden mit KCD aktiviert.

Registerkarte Allgemein

Screenshot of the Akamai EAA console General tab for MYKERBOROSAPP.

Registerkarte „Authentication“ (Authentifizierung)

Weisen Sie den Identitätsanbieter zu.

Screenshot of the Akamai EAA console Authentication tab for MYKERBOROSAPP showing Identity provider set to Microsoft Entra SSO.

Registerkarte „Services“ (Dienste)

Screenshot of the Akamai EAA console Services tab for MYKERBOROSAPP.

Erweiterte Einstellungen

Screenshot of the Akamai EAA console Advanced Settings tab for MYKERBOROSAPP showing settings for Related Applications and Authentication.

Hinweis

Der SPN für den Webserver befindet sich in SPN@Domain Format, z. B.: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE für diese Demo. Lassen Sie die restlichen Einstellungen unverändert.

Registerkarte „Deployment“ (Bereitstellung)

Screenshot of the Akamai EAA console Deployment tab for MYKERBOROSAPP showing the Deploy application button.

Hinzufügen eines Verzeichnisses

  1. Wählen Sie in der Dropdownliste die Option AD aus.

    Screenshot of the Akamai EAA console Directories window showing a Create New Directory dialog with AD selected in the drop down for Directory Type.

  2. Geben Sie die erforderlichen Daten an.

    Screenshot of the Akamai EAA console SUPERDEMOLIVE window with settings for DirectoryName, Directory Service, Connector, and Attribute mapping.

  3. Überprüfen Sie die Verzeichniserstellung.

    Screenshot of the Akamai EAA console Directories window showing that the directory superdemo.live has been added.

  4. Fügen Sie die Gruppen/Organisationseinheiten hinzu, die Zugriff benötigen.

    Screenshot of the settings for the directory superdemo.live. The icon that you select for adding Groups or OUs is highlighted.

  5. Hier heißt die Gruppe „EAAGroup“ und hat ein einzelnes Mitglied.

    Screenshot of the Akamai EAA console GROUPS ON SUPERDEMOLIVE DIRECTORY window. The EAAGroup with 1 User is listed under Groups.

  6. Fügen Sie das Verzeichnis dem Identitätsanbieter hinzu, indem Sie unter Identity>Identity Providers (Identität > Identitätsanbieter) auf der Registerkarte Directories (Verzeichnisse) auf Assign directory (Verzeichnis zuweisen) klicken.

    Screenshot of the Akamai EAA console Directories tab for Microsoft Entra SSO, showing superdemo.live in the list of Currently assigned directories.

Konfigurieren der KCD-Delegierung für EAA: Exemplarische Vorgehensweise

Schritt 1: Erstellen eines Kontos

  1. In dem Beispiel wird ein Konto namens EAADelegation verwendet. Sie können hierzu das Snap-In Active Directory-Benutzer und -Computer verwenden.

    Screenshot of the Akamai EAA console Directories tab for Microsoft Entra SSO. The directory superdemo.live is listed under Currently assigned directories.

    Hinweis

    Der Benutzername muss in einem bestimmten Format vorliegen, das auf dem für Identity Intercept (Identität abfangen) angegebenen Namen basiert. In Abbildung 1 ist zu sehen, dass dieser corpapps.login.go.akamai-access.com lautet.

  2. Der Benutzeranmeldename lautet: HTTP/corpapps.login.go.akamai-access.com

    Screenshot showing EAADelegation Properties with First name set to

Schritt 2: Konfigurieren des SPN für dieses Konto

  1. In diesem Beispiel lautet der SPN wie folgt:

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Screenshot of an Administrator Command Prompt showing the results of the command setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Schritt 3: Konfigurieren der Delegierung

  1. Klicken Sie für das Konto „EAADelegation“ auf die Registerkarte für die Delegierung.

    Screenshot of an Administrator Command Prompt showing the command for configuring the SPN.

    • Verwenden Sie ein beliebiges Authentifizierungsprotokoll.
    • Klicken Sie auf „Add“ (Hinzufügen), und fügen Sie das App-Pool-Konto für die Kerberos-Website hinzu. Bei korrekter Konfiguration sollte es automatisch zum korrekten SPN aufgelöst werden.

Schritt 4: Erstellen einer Schlüsseltabellendatei für Akamai EAA

  1. Die generische Syntax lautet wie folgt:

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Erläuterung des Beispiels

    Codeausschnitt Erklärung
    Ktpass /out EAADemo.keytab // Der Name der ausgegebenen Schlüsseltabellendatei.
    /princ HTTP/\corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // EAA-Delegierungskonto
    /pass RANDOMPASS // Kennwort des EAA-Delegierungskontos
    /crypto All ptype KRB5_NT_PRINCIPAL // Siehe Akamai EAA-Dokumentation

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Screenshot of an Administrator Command Prompt showing the results of the command for creating a Keytab File for AKAMAI EAA.

Schritt 5: Importieren der Schlüsseltabelle in der Akamai EAA-Konsole

  1. Klicken Sie auf System>Keytabs (System > Schlüsseltabellen).

    Screenshot of the Akamai EAA console showing Keytabs being selected from the System menu.

  2. Wählen Sie als Schlüsseltabellentyp die Option Kerberos Delegation (Kerberos-Delegierung) aus.

    Screenshot of the Akamai EAA console EAAKEYTAB screen showing the Keytab settings. The Keytab Type is set to Kerberos Delegation.

  3. Vergewissern Sie sich, dass die Schlüsseltabelle als bereitgestellt und überprüft angezeigt wird.

    Screenshot of the Akamai EAA console KEYTABS screen listing the EAA Keytab as

  4. Benutzererfahrung

    Screenshot of the Sign in dialog at myapps.microsoft.com.

    Screenshot of the Apps window for myapps.microsoft.com showing App icons.

  5. Bedingter Zugriff

    Screenshot showing an Approve sign in request message. the message.

    Screenshot of an Applications screen showing icons for MyHeaderApp, SSH Secure, SecretRDPApp, and myKerberosApp.

    Screenshot of the splash screen for the myKerberosApp. The message

Erstellen eines Akamai-Testbenutzers

In diesem Abschnitt erstellen Sie in Akamai einen Benutzer namens B. Simon. Arbeiten Sie mit dem Supportteam für den Akamai-Client zusammen, um die Benutzer zur Akamai-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Konfiguration von Microsoft Entra ID-SSO mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie unter „Meine Apps“ auf die Kachel „Akamai“ klicken, sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Akamai können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.