Oktatóanyag: A Microsoft Entra SSO integrációja az Akamai-val
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az Akamai-t a Microsoft Entra ID-val. Ha integrálja az Akamai-t a Microsoft Entra ID-val, az alábbiakat teheti:
- Az Akamaihoz hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
- Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek az Akamaiba a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
A Microsoft Entra ID és az Akamai Enterprise Application Access integrációja zökkenőmentes hozzáférést tesz lehetővé a felhőben vagy a helyszínen üzemeltetett régi alkalmazásokhoz. Az integrált megoldás a Microsoft Entra ID minden modern funkciójának előnyeit kihasználja, például a Microsoft Entra feltételes hozzáférését, Microsoft Entra ID-védelem és Microsoft Entra ID-kezelés az örökölt alkalmazások alkalmazásmódosítások vagy ügynökök telepítése nélkül való hozzáféréséhez.
Az alábbi kép azt ismerteti, hogy az Akamai EAA hol illeszkedik a hibrid biztonságos hozzáférés szélesebb körű forgatókönyvébe.
Kulcshitelesítési forgatókönyvek
A Microsoft Entra natív integrációs támogatása mellett az olyan modern hitelesítési protokollok esetében, mint az OpenID Csatlakozás, az SAML és a WS-Fed, az Akamai EAA kiterjeszti a biztonságos hozzáférést az örökölt hitelesítési alkalmazásokhoz mind a belső, mind a külső hozzáféréshez a Microsoft Entra ID-val, lehetővé téve a modern forgatókönyveket (például a jelszó nélküli hozzáférést) ezekhez az alkalmazásokhoz. Ide tartoznak az alábbiak:
- Fejlécalapú hitelesítési alkalmazások
- Távoli asztal
- SSH (Secure Shell)
- Kerberos-hitelesítési alkalmazások
- VNC (virtuális hálózati számítástechnika)
- Névtelen hitelesítési alkalmazások vagy nem beépített hitelesítési alkalmazások
- NTLM-hitelesítési alkalmazások (védelem kettős kérésekkel a felhasználó számára)
- Űrlapalapú alkalmazás (védelem kettős kérésekkel a felhasználó számára)
Integrációs forgatókönyvek
A Microsoft és az Akamai EAA partnerség lehetővé teszi az üzleti követelményeknek való rugalmasságot azáltal, hogy több integrációs forgatókönyvet támogat az üzleti igényeinek megfelelően. Ezekkel nulla napos lefedettséget biztosíthat az összes alkalmazásra, és fokozatosan osztályozhatja és konfigurálhatja a megfelelő szabályzatbesorolásokat.
Integrációs forgatókönyv 1
Az Akamai EAA egyetlen alkalmazásként van konfigurálva a Microsoft Entra-azonosítón. Rendszergazda konfigurálhatja a feltételes hozzáférési szabályzatot az alkalmazásban, és a feltételek teljesülése után a felhasználók hozzáférhetnek az Akamai EAA Portálhoz.
Előnyök:
- Csak egyszer kell konfigurálnia az idp-t.
Hátrányok:
A felhasználók végül két alkalmazásportállal rendelkeznek.
Egyetlen közös feltételes hozzáférési szabályzat lefedettsége az összes alkalmazáshoz.
Integrációs forgatókönyv 2
Az Akamai EAA-alkalmazás egyénileg van beállítva az Azure Portalon. Rendszergazda konfigurálhatja az egyéni feltételes hozzáférési szabályzatot az alkalmazás(ok)on, és ha teljesülnek a feltételek, a felhasználók közvetlenül átirányíthatók az adott alkalmazásba.
Előnyök:
Egyéni feltételes hozzáférési szabályzatokat is meghatározhat.
Minden alkalmazás megjelenik a 0365 Waffle és myApps.microsoft.com panelen.
Hátrányok:
- Több identitásszolgáltatót kell konfigurálnia.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Az Akamai egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.
- Az Akamai támogatja az IDP által kezdeményezett egyszeri bejelentkezést.
Fontos
Az alábbiakban felsorolt összes beállítás megegyezik az 1 . és a 2. integrációs forgatókönyv esetében. A 2. integrációs forgatókönyv esetében egyéni azonosítót kell beállítania az Akamai EAA-ban, és az URL-tulajdonságot módosítani kell, hogy az alkalmazás URL-címére mutasson.
Akamai hozzáadása a katalógusból
Az Akamai Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az Akamai-t a katalógusból a felügyelt SaaS-alkalmazások listájához.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
- Írja be a keresőmezőbe az Akamai kifejezést a Gyűjtemény hozzáadása szakaszba.
- Válassza az Akamai lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
A Microsoft Entra SSO konfigurálása és tesztelése az Akamai-hoz
A Microsoft Entra SSO konfigurálása és tesztelése az Akamai-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és az Akamai kapcsolódó felhasználója között.
A Microsoft Entra SSO Akamai-val való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:
- Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
- Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
- Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
- Az Akamai SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
- IdP beállítása
- Fejlécalapú hitelesítés
- Távoli asztal
- SSH
- Kerberos-hitelesítés
- Hozzon létre Akamai-tesztfelhasználót , hogy az Akamaiban B.Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
- SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.
A Microsoft Entra SSO konfigurálása
A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az Akamai>egyszeri bejelentkezést.
A Select a single sign-on method page, select SAML.
Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.
Ha az alkalmazást IDP által kezdeményezett módban szeretné konfigurálni, adja meg az alábbi mezők értékeit az EGYSZERŰ SAML-konfiguráció szakaszban:
a. Az Azonosító szövegmezőbe írjon be egy URL-címet a következő mintával:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Feljegyzés
Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval és válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba az Akamai ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.
Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.
Az Akamai beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Megjelenítendő név mezőbe írja be a következőt
B.Simon
: - A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például:
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Válassza az Áttekintés + létrehozás lehetőséget.
- A Megjelenítendő név mezőbe írja be a következőt
- Válassza a Létrehozás lehetőséget.
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az Akamai hozzáférésének biztosításával.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>az Akamaiban.
- Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
- Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
- A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
- Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
- A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.
Az Akamai SSO konfigurálása
IdP beállítása
AKAMAI EAA IDP-konfiguráció
Jelentkezzen be az Akamai Enterprise Application Access konzolra.
Az Akamai EAA-konzolon válassza ki az identitás-identitásszolgáltatókat>, és kattintson az Identitásszolgáltató hozzáadása elemre.
Az új identitásszolgáltató létrehozásakor hajtsa végre a következő lépéseket:
a. Adja meg az egyedi nevet.
b. Válassza a külső SAML-t, és kattintson az Identitásszolgáltató létrehozása és konfigurálás parancsra.
Általános beállítások
Identity Intercept – Adja meg a Microsoft Entra-konfigurációhoz használt (SP alap URL-cím) nevét.
Feljegyzés
Dönthet úgy, hogy saját egyéni tartományt használ (dns-bejegyzést és tanúsítványt igényel). Ebben a példában az Akamai tartományt fogjuk használni.
Akamai felhőzóna – Válassza ki a megfelelő felhőzónát.
Tanúsítványérvényesítés – Ellenőrizze az Akamai dokumentációját (nem kötelező).
Hitelesítési konfiguráció
URL – Adja meg az identitása elfogásához hasonló URL-címet (itt történik a felhasználók átirányítása a hitelesítés után).
Kijelentkezés URL-címe: A kijelentkezés URL-címének frissítése.
SAML-kérelem aláírása: alapértelmezés szerint nincs bejelölve.
Az IDP metadata fájlhoz adja hozzá az alkalmazást a Microsoft Entra ID Console-hoz.
Munkamenet-Gépház
Hagyja meg a beállításokat alapértelmezettként.
Címtárak
Hagyja ki a címtárkonfigurációt.
Testreszabási felhasználói felület
Testre szabhatja az identitásszolgáltatót.
Speciális beállítások
További részletekért tekintse meg az Akamai dokumentációját.
Telepítés
Kattintson az Identitásszolgáltató üzembe helyezése elemre.
Ellenőrizze, hogy az üzembe helyezés sikeres volt-e.
Fejlécalapú hitelesítés
Akamai fejlécalapú hitelesítés
Válassza az Egyéni HTTP-űrlapot az Alkalmazások hozzáadása varázslóval.
Adja meg az alkalmazás nevét és leírását.
Hitelesítés
Válassza a Hitelesítés lapot.
Rendelje hozzá az identitásszolgáltatót.
Szolgáltatások
Kattintson a Mentés gombra, és lépjen a hitelesítésre.
Speciális beállítások
Az Ügyfél HTTP-fejlécei alatt adja meg a CustomerHeader és az SAML attribútumot.
Kattintson a Mentés gombra, és lépjen az Üzembe helyezés gombra.
Az alkalmazás üzembe helyezése
Kattintson az Alkalmazás telepítése gombra.
Ellenőrizze, hogy az alkalmazás sikeresen üzembe lett-e helyezve.
Végfelhasználói élmény.
Feltételes hozzáférés.
Távoli asztal
Válassza az RDP lehetőséget az Alkalmazások hozzáadása varázslóból.
Adja meg az alkalmazás nevét és leírását.
Adja meg azt a Csatlakozás ort, amely ezt fogja karbantartani.
Hitelesítés
Kattintson a Mentés gombra , és válassza a Szolgáltatások elemet.
Szolgáltatások
Kattintson a Mentés gombra, és válassza a Speciális Gépház.
Speciális beállítások
Kattintson a Mentés gombra , és nyissa meg az Üzembe helyezés elemet.
Végfelhasználói élmény
Feltételes hozzáférés
Másik lehetőségként közvetlenül is beírhatja az RDP-alkalmazás URL-címét.
SSH
Nyissa meg az Alkalmazások hozzáadása lehetőséget, és válassza az SSH-t.
Adja meg az alkalmazás nevét és leírását.
Konfigurálja az alkalmazásidentitást.
a. Adja meg a nevet/ leírást.
b. Adja meg az Application Server IP/FQDN-jét és az SSH portját.
c. Adja meg az SSH-felhasználónevet / jelszót *Ellenőrizze az Akamai EAA-t.
d. Adja meg a külső gazdagép nevét.
e. Adja meg az összekötő helyét, és válassza ki az összekötőt.
Hitelesítés
Kattintson a Mentés gombra , és válassza a Szolgáltatások elemet.
Szolgáltatások
Kattintson a Mentés gombra, és válassza a Speciális Gépház.
Speciális beállítások
Kattintson a Mentés és az Üzembe helyezés gombra.
Telepítés
Kattintson az Alkalmazás üzembe helyezése gombra.
Végfelhasználói élmény
Feltételes hozzáférés
Kerberos-hitelesítés
Az alábbi példában egy belső webkiszolgálót teszünk közzé a http://frp-app1.superdemo.live
KCD használatával, és engedélyezzük az egyszeri bejelentkezést.
Általános lap
Hitelesítés lap
Rendelje hozzá az identitásszolgáltatót.
Szolgáltatások lap
Speciális beállítások
Feljegyzés
A webkiszolgáló egyszerű szolgáltatásneve SPN@Domain formátumot használja, például ehhez HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
a bemutatóhoz. Hagyja alapértelmezettként a többi beállítást.
Központi telepítés lap
Címtár hozzáadása
Válassza ki az AD-t a legördülő listából.
Adja meg a szükséges adatokat.
Ellenőrizze a címtár létrehozását.
Adja hozzá azokat a csoportokat/szervezeti egységeket, akiknek hozzáférésre lenne szükségük.
Az alábbiakban a csoport neve EAAGroup, és 1 tagú.
Adja hozzá a címtárat az identitásszolgáltatóhoz. Ehhez kattintson az Identitás-identitásszolgáltatók> elemre, majd a Címtárak fülre, majd a Címtár hozzárendelése parancsra.
KCD-delegálás konfigurálása EAA-útmutatóhoz
1. lépés: Fiók létrehozása
A példában egy EAADelegation nevű fiókot fogunk használni. Ezt az Active Directory-felhasználók és a számítógép beépülő modulja segítségével hajthatja végre.
Feljegyzés
A felhasználónévnek az identitáselfogó neve alapján meghatározott formátumban kell lennie. Az 1. ábrán látható, hogy corpapps.login.go.akamai-access.com
A felhasználói bejelentkezési név a következő lesz:
HTTP/corpapps.login.go.akamai-access.com
2. lépés: Az egyszerű szolgáltatásnév konfigurálása ehhez a fiókhoz
A minta alapján az egyszerű szolgáltatásnév az alábbi lesz.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
3. lépés: Delegálás konfigurálása
Az EAADelegation fiókhoz kattintson a Delegálás fülre.
- Adja meg a hitelesítési protokoll használatát.
- Kattintson a Kerberos-webhely alkalmazáskészlet-fiókjának hozzáadása és hozzáadása elemre. Ha megfelelően van konfigurálva, automatikusan fel kell oldania az egyszerű szolgáltatásnév kijavítását.
4. lépés: Keytab-fájl létrehozása az AKAMAI EAA-hoz
Itt található az általános szintaxis.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALPélda magyarázata
Snippet Magyarázat Ktpass /out EAADemo.keytab A kimeneti Keytab-fájl neve /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live EAA-delegálási fiók /pass RANDOMPASS EAA-delegálási fiók jelszava /crypto Minden ptype KRB5_NT_PRINCIPAL tekintse meg az Akamai EAA dokumentációját Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
5. lépés: Keytab importálása az AKAMAI EAA-konzolon
Kattintson a Rendszerkulcsok>elemre.
A keytab típusban válassza a Kerberos-delegálás lehetőséget.
Győződjön meg arról, hogy a Keytab üzembe helyezettként és ellenőrzöttként jelenik meg.
Felhasználói feladatok
Feltételes hozzáférés
Akamai-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű felhasználót hoz létre az Akamaiban. Az Akamai ügyféltámogatási csapatával együttműködve vegye fel a felhasználókat az Akamai platformra. A felhasználókat az egyszeri bejelentkezés használata előtt létre kell hozni és aktiválni kell.
Egyszeri bejelentkezés tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az Akamaihoz, amelyhez beállította az egyszeri bejelentkezést.
Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások az Akamai csempére kattint, automatikusan be kell jelentkeznie ahhoz az Akamaihoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.
Következő lépések
Az Akamai konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: