Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a integrar Akamai con Microsoft Entra ID. Al integrar Akamai con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Akamai.
- Permitir que los usuarios puedan iniciar sesión automáticamente en Akamai con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
La integración del acceso de las aplicaciones empresariales Microsoft Entra ID y Akamai Access permite un acceso sin problemas a las aplicaciones heredadas hospedadas en la nube o en el entorno local. La solución integrada aprovecha todas las funcionalidades modernas del identificador de Microsoft Entra, como el acceso condicional de Microsoft Entra, la protección de identificadores de Microsoft Entra y la gobernanza de identificadores de Microsoft Entra para el acceso a aplicaciones heredadas sin modificaciones de aplicaciones ni instalación de agentes.
En la imagen siguiente se describe, donde Akamai EAA encaja en el escenario más amplio de acceso seguro híbrido.
Escenarios de autenticación de claves
Además de la compatibilidad con la integración nativa de Microsoft Entra con protocolos de autenticación modernos, como OpenID Connect, SAML y WS-Fed, Akamai EAA amplía el acceso seguro para las aplicaciones de autenticación heredadas tanto en el acceso interno como en el externo con Microsoft Entra ID, lo que habilita escenarios modernos (por ejemplo, el acceso sin contraseña) en estas aplicaciones. Esto incluye:
- Aplicaciones de autenticación basadas en encabezados
- Escritorio remoto
- SSH (Secure Shell)
- Aplicaciones de autenticación Kerberos
- VNC (Virtual Network Computing)
- Aplicaciones sin autenticación integrada o autenticación anónima
- Aplicaciones de autenticación NTLM (protección con dos preguntas para el usuario)
- Aplicaciones basadas en formularios (protección con dos preguntas para el usuario)
Escenarios de integración
La asociación entre Microsoft y Akamai EAA permite la flexibilidad necesaria para satisfacer los requisitos empresariales, ya que admite varios escenarios de integración en función de las necesidades de las empresas. Se pueden usar para proporcionar cobertura desde el primer día en todas las aplicaciones y clasificar y configurar gradualmente las clasificaciones de directivas adecuadas.
Escenario de integración 1
Akamai EAA se configura como una sola aplicación en Microsoft Entra ID. El administrador puede configurar la directiva de acceso condicional en la aplicación y, una vez que se cumplan las condiciones, los usuarios puedan obtener acceso al portal de Akamai EAA.
Ventajas:
- IDP solo tiene que configurarse una vez.
Desventajas:
los usuarios acaban teniendo dos portales de aplicaciones.
Cobertura de la directiva de acceso condicional común única para todas las aplicaciones.
Escenario de integración 2
La aplicación Akamai EAA se configura de forma individual en Azure Portal. El administrador puede configurar la directiva de acceso condicional individual en las aplicaciones y una vez que se cumplan las condiciones, los usuarios se pueden redirigir directamente a la aplicación específica.
Ventajas:
Puede definir directivas de acceso condicional individuales.
Todas las aplicaciones se representan en el panel de myApps.microsoft.com y 0365 Waffle.
Desventajas:
- Debe configurar varios IDP.
Requisitos previos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
- Uno de los siguientes roles:
- Suscripción habilitada para el inicio de sesión único (SSO) en Akamai.
Descripción del escenario
En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.
- Akamai admite SSO iniciado por IDP.
Importante
Todas las configuraciones que se enumeran a continuación son las mismas para el escenario de integración 1 y el escenario 2. Para el escenario de integración 2 , debe configurar IDP individual en akamai EAA y la propiedad URL debe modificarse para que apunte a la dirección URL de la aplicación.
Adición de Akamai desde la galería
Para configurar la integración de Akamai en Microsoft Entra ID, deberá agregar Akamai desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
- Vaya a Entra ID>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería , escriba Akamai en el cuadro de búsqueda.
- Seleccione Akamai en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Como alternativa, también puede usar el Asistente para configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Más información sobre los asistentes de Microsoft 365.
Configurar y probar el inicio de sesión único de Microsoft Entra para Akamai
Configure y pruebe el inicio de sesión único de Microsoft Entra con Akamai mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Akamai.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Akamai, complete los siguientes pasos:
- Configurar Microsoft Entra SSO para habilitar a los usuarios a usar esta característica.
- Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único en Akamai: para configurar los valores de inicio de sesión único en la aplicación.
- Configuración de IDP
- Autenticación basada en encabezados
- Escritorio remoto
- SSH
- Autenticación Kerberos
- Creación de un usuario de prueba de Akamai: para tener un homólogo de B.Simon en Akamai vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único: para comprobar si la configuración funciona.
Configuración del SSO de Microsoft Entra
Siga estos pasos para habilitar el inicio de sesión único de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>Akamai>Single sign-on (inicio de sesión único).
En la página Seleccionar un método de inicio de sesión único , seleccione SAML.
En la página Configurar inicio único de sesión con SAML, seleccione el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML , si desea configurar la aplicación en modo iniciado por IDP , escriba los valores de los campos siguientes:
a. En el cuadro de texto Identificador , escriba una dirección URL con el siguiente patrón:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. En el cuadro de texto URL de respuesta , escriba una dirección URL con el siguiente patrón:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Nota
Estos valores no son reales. Actualice estos valores con el identificador y la URL de respuesta reales. Póngase en contacto con el equipo de soporte técnico de Akamai para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML .
En la página Configurar inicio de sesión único con SAML, en la sección Certificado de firma de SAML, encuentre XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.
En la sección Configurar Akamai , copie las direcciones URL adecuadas según sus necesidades.
Creación y asignación de un usuario de prueba de Microsoft Entra
Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.
Configuración del inicio de sesión único de Akamai
Configuración de IDP
Configuración de IDP de AKAMAI EAA
Inicie sesión en la consola de Akamai Enterprise Application Access .
En la consola de Akamai EAA, seleccioneProveedores de identidades> y seleccione Agregar proveedor de identidades.
En Create New Identity Provider (Crear nuevo proveedor de identidades ), siga estos pasos:
a. Especifique el nombre único.
b. Elija SAML de terceros y seleccione Crear proveedor de identidades y configurar.
Configuración general
En la pestaña General , escriba la siguiente información:
Interceptación de identidad: especifique el nombre del dominio (se usará la dirección URL base de SP para la configuración de Microsoft Entra).
Nota
Puede elegir tener su propio dominio personalizado (requiere una entrada DNS y un certificado). En este ejemplo vamos a usar el dominio de Akamai.
Zona en la nube de Akamai : seleccione la zona en la nube adecuada.
Validación de certificados : consulte la documentación de Akamai (opcional).
Configuración de autenticación
URL: especifique la misma dirección URL que la que indicó en la interceptación de identidad (aquí es donde se redirigirá a los usuarios después de la autenticación).
Logout URL (Dirección URL de cierre de sesión): actualice la dirección URL de cierre de sesión.
Sign SAML Request (Firmar solicitud SAML): el valor está desactivado de manera predeterminada.
Para el archivo de metadatos de IDP, agregue la aplicación en la consola de Microsoft Entra ID.
Configuración de la sesión
Deje la configuración predeterminada.
Directorios
En la pestaña Directorios , omita la configuración del directorio.
Interfaz de usuario de personalización
Puede agregar personalización a IDP. En la pestaña Personalización , hay opciones para personalizar la interfaz de usuario, la configuración de idioma y los temas.
Configuración avanzada
En la pestaña Configuración avanzada , acepte los valores predeterminados. Consulte la documentación de Akamai para más información.
Implementación
En la pestaña Implementación , seleccione Implementar proveedor de identidades.
Compruebe que la implementación se ha realizado correctamente.
Autenticación basada en encabezados
Autenticación basada en encabezados de Akamai
Elija Formulario HTTP personalizado en el Asistente para agregar aplicaciones.
Escriba Nombre de la aplicación y Descripción.
Autenticación
Seleccione la pestaña Autenticación .
Seleccione Asignar proveedor de identidad.
Servicios
Seleccione Guardar e Ir a autenticación.
Configuración avanzada
En Encabezados HTTP del cliente, especifique customerHeader y SAML Attribute.
Seleccione Guardar y vaya al botón Implementación .
Implementación de la aplicación
Seleccione el botón Implementar aplicación .
Compruebe que la aplicación se ha implementado correctamente.
Experiencia del usuario final.
Acceso condicional.
Escritorio remoto
Elija RDP en el Asistente para agregar aplicaciones.
Escriba Nombre de aplicación, como SecretRDPApp.
Seleccione una descripción, como Proteger sesión RDP mediante el acceso condicional de Microsoft Entra.
Especifique el conector que funcionará con esta aplicación.
Autenticación
En la pestaña Autenticación , seleccione Guardar y vaya a Servicios.
Servicios
Seleccione Guardar y vaya a Configuración avanzada.
Configuración avanzada
Seleccione Guardar y vaya a Implementación.
Experiencia de usuario final
Acceso condicional
También puede escribir directamente la dirección URL de la aplicación RDP.
SSH
Vaya a Agregar aplicaciones y elija SSH.
Escriba el nombre de la aplicación y la descripción, como autenticación moderna de Microsoft Entra para SSH.
Configure Application Identity (Identidad de aplicación).
a. Especifique un nombre y una descripción.
b. Especifique la dirección IP y el nombre de dominio completo del servidor de aplicaciones y el puerto para SSH.
c. Especifique el nombre de usuario y la frase de contraseña de SSH *Consulte la consola de acceso de aplicaciones empresariales de Akamai.
d. Especifique el nombre de host externo.
e. Especifique la ubicación del conector y elija el conector.
Autenticación
En la pestaña Autenticación , seleccione Guardar y vaya a Servicios.
Servicios
Seleccione Guardar y vaya a Configuración avanzada.
Configuración avanzada
Seleccione Guardar y vaya a Implementación.
Implementación
Seleccione Implementar aplicación.
Experiencia de usuario final
Acceso condicional
Autenticación Kerberos
En el ejemplo siguiente, publicamos un servidor web interno en http://frp-app1.superdemo.live
y habilitamos el inicio de sesión único mediante KCD.
Pestaña General
Pestaña Autenticación
En la pestaña Autenticación , asigne el proveedor de identidades.
Pestaña Servicios
Configuración avanzada
Nota
El SPN para el servidor web ha estado en el formato SPN@Domain, por ejemplo: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
para esta demostración. Deje los valores predeterminados en el resto de la configuración.
Pestaña Implementación
Incorporación de directorio
Seleccione AD en la lista desplegable.
Proporcione los datos necesarios.
Compruebe la creación del directorio.
Agregue los grupos o unidades organizativas que requerirían acceso.
En la parte inferior, el grupo se denomina EAAGroup y tiene 1 miembro.
Agregue el directorio al proveedor de identidades seleccionandoProveedores de identidades> y seleccione la pestaña Directorios y Seleccione Asignar directorio.
Tutorial de configuración de la delegación de KCD para EAA
Paso 1: Creación de una cuenta
En el ejemplo, se usa una cuenta denominada EAADelegation. Para ello, puede usar el complemento Usuarios y equipos de Active Directory.
Nota
El nombre de usuario debe estar en un formato específico basado en el nombre de interceptación de identidad. En la figura 1 vemos que es corpapps.login.go.akamai-access.com
El nombre de inicio de sesión de usuario es:
HTTP/corpapps.login.go.akamai-access.com
Paso 2: Configuración del SPN para esta cuenta
En función de este ejemplo, el SPN es el siguiente.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Paso 3: Configuración de la delegación
Para la cuenta EAADelegation, seleccione la pestaña Delegación.
- Especifique el uso de cualquier protocolo de autenticación.
- Seleccione "Agregar" y agregue la cuenta del grupo de aplicaciones al sitio web de Kerberos. Se debe resolver automáticamente para corregir el SPN, si se ha configurado correctamente.
Paso 4: Creación de un archivo keytab para AKAMAI EAA
Esta es la sintaxis genérica.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALExplicación del ejemplo
Snippet Explicación Ktpass /out EAADemo.keytab // Nombre del archivo keytab de salida /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // Cuenta de delegación de EAA /pass RANDOMPASS // Contraseña de la cuenta de delegación de EAA /crypto All ptype KRB5_NT_PRINCIPAL // Consulte la documentación de Akamai EAA Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Paso 5: Importación de keytab en la consola de AKAMAI EAA
Seleccione Sistema>Keytabs.
En el tipo de keytab, elija Delegación Kerberos.
Asegúrese de que Keytab aparece como Implementado y Comprobado.
Experiencia del usuario
Acceso condicional
Creación de un usuario de prueba de Akamai
En esta sección, creará un usuario llamado B.Simon en Akamai. Trabaje con el equipo de soporte técnico de Akamai para agregar los usuarios a la plataforma de Akamai. Los usuarios se tienen que crear y activar antes de usar el inicio de sesión único.
Prueba del inicio de sesión único
En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Seleccione Probar esta aplicación. Debería iniciar sesión automáticamente en la instancia de Akamai para la que ha configurado el SSO.
Puede usar Aplicaciones de Microsoft. Al hacer seleccionar el icono de Akamai en Aplicaciones, iniciará sesión automáticamente en la versión de Akamai para la que configuró el inicio de sesión único. Para obtener más información sobre Mis aplicaciones, vea Introducción a mis aplicaciones.
Contenido relacionado
Una vez que haya configurado Akamai, podrá aplicar el control de sesión, que protege la información confidencial de la organización en tiempo real de posibles filtraciones. El control de sesión procede del acceso condicional. Obtenga información sobre cómo aplicar el control de sesión con Microsoft Defender for Cloud Apps.