Mengonfigurasi Akamai dengan Microsoft Entra External ID

Berlaku untuk: Penyewa eksternal (pelajari selengkapnya)

Anda dapat mengintegrasikan solusi Web Application Firewall (WAF) pihak ketiga dengan MICROSOFT Entra External ID untuk meningkatkan keamanan secara keseluruhan. WAF membantu melindungi organisasi Anda dari serangan seperti penolakan layanan terdistribusi (DDoS), bot berbahaya, dan risiko keamanan Open Worldwide Application Security Project (OWASP) Top-10 .

Akamai Web Application Firewall (Akamai WAF) melindungi aplikasi web Anda dari eksploitasi dan kerentanan umum. Dengan mengintegrasikan Akamai WAF dengan MICROSOFT Entra External ID, Anda menambahkan lapisan keamanan tambahan untuk aplikasi Anda.

Artikel ini menyediakan panduan langkah demi langkah untuk mengonfigurasi penyewa eksternal Anda dengan Akamai WAF.

Ikhtisar solusi

Solusi ini menggunakan tiga komponen utama:

• Penyewa eksternal – Bertindak sebagai penyedia identitas (IdP) dan server otorisasi, memberlakukan kebijakan kustom untuk autentikasi.
• Azure Front Door (AFD) – Menangani perutean domain kustom dan meneruskan lalu lintas ke ID Eksternal Microsoft Entra.
• Akamai WAF – Firewall Web Application Protector yang mengelola lalu lintas yang dikirim ke server otorisasi.

Prasyarat

Untuk memulai, Anda memerlukan:

• Penyewa dari luar .
• Sebuah konfigurasi Microsoft Azure Front Door (AFD). Lalu lintas dari Akamai WAF diarahkan ke Azure Front Door, yang kemudian mengarahkan ke penyewa eksternal.
• Akun Akamai. Jika Anda tidak memilikinya, buka Toko Keamanan untuk membuat akun dan membeli layanan.
• WAF Akamai yang mengelola lalu lintas yang dikirim ke server otorisasi.
• Kustom domain pada tenant eksternal Anda yang diaktifkan menggunakan Azure Front Door (AFD).

Langkah-langkah penyiapan Akamai

Pertama, siapkan Akamai WAF untuk melindungi domain URL kustom Anda untuk MICROSOFT Entra External ID. Ikuti langkah-langkah ini untuk mengonfigurasi Akamai WAF.

Mengonfigurasi Akamai WAF

Setelah memiliki kontrak dengan Akamai, Anda dapat mengakses portal, yang memungkinkan Anda mengelola semua pengaturan Akamai WAF Anda dan banyak lagi. Untuk membangun penyiapan awal, Anda dapat memilih di antara dua opsi:

• Panduan Mulai cepat menyediakan alur kerja terpandu untuk membantu Anda menyebarkan blok penyusun yang melindungi lalu lintas dengan WAF—direkomendasikan jika Anda baru menggunakan Akamai. Anda dapat memperbarui pengaturan ini nanti untuk memenuhi kebutuhan Anda.
• Mode Tingkat Lanjut memberi Anda kontrol terperinci dengan mengonfigurasi antarmuka individual untuk penyesuaian terperinci.

Untuk menjelajahi semua kemampuan solusi WAF Akamai, lihat panduan pengguna.

Panduan memulai cepat

Akamai menyediakan panduan mulai cepat untuk membantu Anda memulai nama host baru dan melindunginya dengan solusi WAF-nya, yang disebut App & API Protector.

Ion Standard adalah solusi tambahan yang meningkatkan performa aplikasi dan mengoptimalkan pengiriman konten pada platform Akamai.

Untuk mengakses wizard, pilih MulaiAplikasi & API Protector + Ion Standard. Layar awal menampilkan langkah-langkah yang diperlukan untuk menyelesaikan onboarding. Pilih Mulai untuk memulai.

Untuk informasi selengkapnya, lihat langkah-langkah dalam Mengonfigurasi Akamai WAF dalam dokumentasi Akamai.

Mode tingkat lanjut

Jika Anda lebih suka pendekatan tingkat lanjut, pertama-tama buat dan konfigurasikan properti di Pengelola Properti. Properti adalah file konfigurasi yang memberi tahu server edge Akamai cara menangani dan merespons permintaan masuk dari pengguna akhir Anda.

Untuk mempelajari selengkapnya, lihat Apa itu Properti?. Untuk membuat dan mengonfigurasi properti, ikuti langkah-langkah berikut:

Membuat dan mengonfigurasi properti

1. Buka Pusat Kontrol Akamai untuk masuk.
2. Navigasi ke Pengelola Properti.
3. Untuk Versi properti, pilih TLS Standar atau Ditingkatkan (disarankan).
4. Untuk Nama host properti, tambahkan nama host properti untuk domain kustom Anda.
   Contoh: login.domain.com

Penting

Buat atau ubah sertifikat dengan pengaturan nama domain kustom yang benar.
Untuk detailnya, lihat Mengonfigurasi nama host HTTPS.

Pengaturan konfigurasi properti server asal

Gunakan pengaturan ini untuk server asal:

1. Untuk Jenis asal, masukkan jenis asal Anda.
2. Untuk Nama host server asal, masukkan nama host Anda.
   Contoh: yourafddomain.azurefd.net
3. Untuk Lanjutkan Header Host, pilih Header Host Masuk.
4. Untuk Nama host kunci cache, pilih Header Host Masukan.

Mengonfigurasi DNS

Buat catatan Nama Kanonis (CNAME) di DNS Anda, seperti login.domain.com, yang menunjuk ke nama host Microsoft Edge di bidang Nama host properti .

Mengonfigurasi Akamai WAF

1. Buka Pusat Kontrol Akamai untuk masuk.
2. Navigasi ke Konfigurasi Keamanan.
3. Untuk membuat konfigurasi keamanan baru, pilih Lindungi properti yang sudah ada.
4. Masukkan nama konfigurasi di Detail Konfigurasi, lalu pilih Buat dan aktifkan konfigurasi di jaringan Produksi.
5. Untuk mulai menggunakan konfigurasi keamanan, lihat https://techdocs.akamai.com/cloud-security/docs/app-api-protector.
6. Dalam versi konfigurasi keamanan berikutnya, ubah tindakan di bawah Web Application Firewall untuk Grup Serangan, dan atur Tindakan Grup ke Tolak.

Memberikan akses ke API Akamai untuk melakukan tindakan

Buat kredensial autentikasi EdgeGrid dan catat semua informasi yang dihasilkan (client_secret, , hostaccess_token, client_token). Anda menggunakan kembali nilai-nilai ini nanti dalam penyiapan.

Selain itu, perbarui pembatasan API untuk tindakan ke tingkat akses yang sesuai yang ditunjukkan dalam tabel berikut:

Judul	Description	Tingkat akses
Diagnostik Microsoft Edge	Diagnostik Microsoft Edge	BACA-TULIS
Pengelola Properti (PAPI)	Manajer Properti (PAPI). PAPI memerlukan akses ke Nama Host Microsoft Edge. Edit otorisasi Anda untuk menambahkan HAPI ke Klien API Anda.	HANYA BACA

Verifikasi Akamai WAF pada ID Eksternal

Setelah menyelesaikan langkah-langkah konfigurasi, verifikasi bahwa Akamai WAF melindungi penyewa eksternal Anda dengan menyambungkan kredensial autentikasi ke konfigurasi WAF.

Microsoft Entra Admin Center

Konfigurasi penyedia WAF

1. Masuk ke pusat admin Microsoft Entra paling tidak sebagai Pembaca Keamanan.

2. Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal yang Anda buat sebelumnya dari menu Direktori + langganan.

3. Jelajahi ke Entra ID>Security Store.

4. Pilih petak Lindungi aplikasi dari DDoS dengan WAF dengan memilih Memulai.

5. Di bawah Pilih Penyedia WAF pilih Akamai lalu pilih Berikutnya.

   

6. Buat akun Akamai. Jika Anda belum memiliki akun, buat akun dan lakukan pembelian di Toko Keamanan. Kemudian kembali ke sini untuk menyelesaikan penyiapan.

7. Di bawah Konfigurasikan Akamai WAF, Anda dapat memilih konfigurasi yang sudah ada atau membuat yang baru. Jika Anda membuat konfigurasi baru, tambahkan informasi berikut:

   • Nama konfigurasi: Nama untuk konfigurasi WAF.
   • Prefiks host: Prefiks host dari kredensial API Akamai EdgeGrid Anda.
   • Rahasia klien: Rahasia klien dari kredensial API Akamai EdgeGrid Anda.
   • Token akses: dari kredensial API Akamai EdgeGrid Anda.
   • Token klien: Token klien dari kredensial API Akamai EdgeGrid Anda.

8. Pilih Berikutnya untuk masuk ke langkah berikutnya.

Verifikasi domain

Pilih domain URL kustom yang diaktifkan Azure Front Door (AFD) untuk memverifikasi dan menyambungkannya ke konfigurasi Akamai WAF Anda. Langkah ini memastikan bahwa domain yang dipilih dilindungi dengan fitur keamanan tingkat lanjut.

1. Pilih Verifikasi domain untuk memulai proses verifikasi.
2. Pilih domain URL kustom yang ingin Anda lindungi dengan Akamai WAF lalu pilih Verifikasi.

3. Setelah verifikasi, pilih Selesai untuk menyelesaikan proses.

API Microsoft Graph

Anda dapat menggunakan Microsoft Graph API melalui Graph Explorer untuk mengonfigurasi integrasi Akamai WAF.

Pastikan penelepon memiliki peran Pembaca Keamanan dan telah menyetujui izin RiskPreventionProviders.Read.All .

Izin ini memungkinkan Anda memanggil POST .../riskPrevention/webApplicationFirewallProviders untuk membuat penyedia lalu memanggil POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify untuk memverifikasi.

Langkah 1: Buat penyedia WAF Akamai dengan API

Pastikan Anda memiliki klien API yang Anda buat di Akamai. Informasi ini diperlukan sehingga backend dapat memanggil Akamai atas nama Anda untuk menarik dan memverifikasi konfigurasi WAF.

Permohonan

Contoh berikut menunjukkan permintaan.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix",
    "clientSecret": "akamai_example_secret_123",
    "clientToken": "akamai_example_token_456",
    "accessToken": "akamai_example_token_789"
}

Jawaban

Contoh berikut menunjukkan respons. Objek respons yang ditunjukkan di sini mungkin dipersingkat untuk kemudahan pembacaan.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000002",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix"
}

Langkah 2: Verifikasi penyedia WAF Akamai dengan API

Contoh berikut menunjukkan cara memverifikasi domain melalui webApplicationFirewallProvider menggunakan hostName.

Permohonan

Contoh berikut menunjukkan permintaan.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}identity\authentication\tutorial-enable-cloud-sync-sspr-writeback

Jawaban

Contoh berikut menunjukkan respons. Objek respons yang ditunjukkan di sini mungkin dipersingkat untuk kemudahan pembacaan.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "akamai",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.akamaiVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "akamai Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Nota

Operasi CRUD (Buat, Baca, Perbarui, Hapus) pada detail verifikasi penyedia mungkin mengalami penundaan hingga 15 menit. Jika Anda menghapus domain, verifikasi mungkin memakan waktu hingga 15 menit sebelum Anda dapat menambahkannya kembali.

Troubleshooting

Skenario	Rincian
Permintaan diblokir oleh Akamai WAF	Ketika WAF Akamai memblokir permintaan, Akamai mengembalikan kode referensi Akamai seperti 18.6f64d440.1318965461.2f2b078. Anda dapat men-debug kode ini dengan menggunakan Penerjemah Kesalahan Peristiwa Keamanan.
Alat pemecahan masalah lainnya	Berbagai alat tersedia untuk pemecahan masalah. Jelajahi alat-alat ini di sini.

Sumber daya tambahan

• Mengelola pengaturan keamanan Anda

  • Prasetel konfigurasi keamanan mengatur WAF ke mode Hanya pemberitahuan . Untuk secara aktif mengurangi ancaman dengan Akamai, ubah Tindakan menjadi Tolak.
  • Akamai memberikan perlindungan keamanan yang komprehensif. Pelajari selengkapnya di sini.
  • Minimal:
    • Ubah Perlindungan DoS untuk tiga kebijakan Pembatasan Laju menjadi Tolak setelah memeriksa ambang batas lalu lintas Anda.
    • Ubah Tindakan Grup untuk Injeksi Perintah, Skrip Lintas Situs, Penyertaan File Lokal, Penyertaan File Jarak Jauh, Injeksi SQL, Alat Serangan Web, Serangan Platform Web, dan Serangan Protokol Web untuk Ditolak.

• Mengelola pengaturan pengiriman dan performa

  • Jelajahi informasi yang berguna untuk membiasakan diri dengan Akamai di sini.

• Menampilkan permintaan yang ditandai

  • Lihat permintaan yang ditandai (diberi tahu atau ditolak) oleh Akamai WAF di Web Security Analytics.
  • Tonton video singkat untuk mempercepat perjalanan Anda.