Condividi tramite

Esercitazione: Integrazione dell'accesso SSO di Microsoft Entra con Akamai

  • Articolo

In questa esercitazione si apprenderà come integrare Akamai con Microsoft Entra ID. Integrando Akamai con Microsoft Entra ID è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a Akamai.
  • abilitare gli utenti per l'accesso automatico a Akamai con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Grazie all'integrazione di Microsoft Entra ID e Akamai Enterprise Application Access (EAA) è possibile accedere senza problemi alle applicazioni legacy ospitate nel cloud o in locale. La soluzione integrata sfrutta tutti i vantaggi di tutte le funzionalità moderne di Microsoft Entra ID come l'accesso condizionale di Microsoft Entra, Microsoft Entra ID Protection e Microsoft Entra ID Governance per le applicazioni legacy che accedono senza modifiche alle app o all'installazione degli agenti.

L'immagine seguente illustra la posizione occupata da Akamai EAA nel più ampio scenario di accesso sicuro ibrido.

Integrazione di Akamai EAA nel più ampio scenario di accesso sicuro ibrido

Scenari di autenticazione principali

Oltre al supporto dell'integrazione nativa di Microsoft Entra per i protocolli di autenticazione moderni, come Open ID Connect, SAML e WS-Fed, Akamai EAA estende l'accesso protetto per le app di autenticazione basate su scenari legacy per l'accesso interno ed esterno con Microsoft Entra ID, abilitando scenari moderni (ad esempio, l'accesso senza password) per queste applicazioni. Questo scenario include:

  • App di autenticazione basata su intestazione
  • Desktop remoto
  • SSH (Secure Shell)
  • App di autenticazione Kerberos
  • VNC (Virtual Network Computing)
  • Autenticazione anonima oppure nessuna app di autenticazione incorporata
  • App di autenticazione NTLM (protezione con doppio prompt per l'utente)
  • Applicazione basata su moduli (protezione con doppio prompt per l'utente)

Scenari di integrazione

La partnership tra Microsoft e Akamai EAA offre la flessibilità necessaria per soddisfare i requisiti aziendali, grazie al supporto di più scenari di integrazione basati su requisiti aziendali. È possibile usare questi scenari per offrire una copertura da attacchi zero-day per tutte le applicazioni e per classificare e configurare gradualmente classificazioni dei criteri appropriate.

Scenario di integrazione 1

Akamai EAA è configurato come una singola applicazione in Microsoft Entra ID. L'amministratore può configurare i criteri di accesso condizionale nell'applicazione e, una volta soddisfatte le condizioni, gli utenti possono accedere al portale di Akamai EAA.

Vantaggi:

  • È necessario configurare l'IDP una sola volta

Svantaggi:

  • Gli utenti devono interagire con due portali di applicazioni.

  • Singola copertura comune dei criteri di accesso condizionale per tutte le applicazioni.

Scenario di integrazione 1

Scenario di integrazione 2

L'applicazione Akamai EAA viene configurata singolarmente nel portale di Azure. L'amministratore può configurare i singoli criteri di accesso condizionale per le applicazioni e, una volta soddisfatte le condizioni, gli utenti possono essere reindirizzati direttamente all'applicazione specifica.

Vantaggi:

  • È possibile definire singoli criteri di accesso condizionale.

  • Tutte le app sono rappresentate nel menu a cialda di 0365 e nel pannello di myApps.microsoft.com.

Svantaggi:

  • È necessario configurare più IDP.

Scenario di integrazione 2

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di Akamai abilitata per l'accesso Single Sign-On (SSO).

Descrizione dello scenario

In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • Akamai supporta l'accesso SSO avviato da IDP

Importante

Tutte le impostazioni elencate di seguito sono le stesse sia per Scenario di integrazione 1 che per lo Scenario di integrazione 2. Per lo Scenario di integrazione 2 è necessario configurare un singolo IDP in Akamai EAA e modificare la proprietà URL in modo che punti all'URL dell'applicazione.

Screenshot della scheda General per AZURESSO-SP in Akamai Enterprise Application Access. Il campo URL di configurazione dell'autenticazione è evidenziato.

Per configurare l'integrazione di Akamai in Microsoft Entra ID è necessario aggiungere Akamai dalla raccolta al proprio elenco di app SaaS gestite.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta digitare Akamai nella casella di ricerca.
  4. Selezionare Akamai nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per Akamai

Configurare e testare l'accesso SSO di Microsoft Entra con Akamai usando un utente di test di nome B.Simon. Per il corretto funzionamento dell'accesso SSO è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Akamai.

Per configurare e testare l'accesso SSO di Microsoft Entra con Akamai, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
  2. Configurare l'accesso Single Sign-On di Akamai: per configurare le impostazioni di Single Sign-On sul lato applicazione.
  3. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Andare a Identità>Applicazioni>Applicazioni aziendali>Akamai>Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.

    Modificare la configurazione SAML di base

  5. Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IDP:

    a. Nella casella di testo Identificatore digitare un URL nel formato seguente: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Nota

    Questi non sono i valori reali. è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi. Per ottenere tali valori, contattare il team di supporto clienti di Akamai. È anche possibile fare riferimento ai criteri di cui alla sezione Configurazione SAML di base.

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.

    Collegamento di download del certificato

  7. Nella sezione Configura Akamai copiare gli URL appropriati in base alle esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
  4. In Proprietà utente seguire questa procedura:
    1. Nel campo Nome visualizzato inserire B.Simon.
    2. Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Selezionare Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione, si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso ad Akamai .

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Akamai.
  3. Nella pagina della panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
    1. Nella finestra di dialogo Utenti e gruppi, selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
    3. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'accesso Single Sign-On di Akamai

Configurazione dell'IDP

Configurazione dell'IDP in AKAMAI EAA

  1. Accedere alla console di Akamai Enterprise Application Access.

  2. Nella console di Akamai EAA selezionare Identity (Identità) >Identity Providers (Provider di identità) e fare clic su Add Identity Provider (Aggiungi provider di identità).

    Screenshot della finestra Provider di identità della console Akamai EAA. Selezionare Identity Providers (Provider di identità) nel menu Identity (Identità) e selezionare Add Identity Provider (Aggiungi provider di identità).

  3. In Create New Identity Provider (Crea nuovo provider di identità) seguire questa procedura:

    Screenshot della finestra di dialogo Create New Identity Providers nella console Akamai EAA.

    a. Specificare un valore in Unique Name (Nome univoco).

    b. Scegliere Third Party SAML (SAML di terze parti) e fare clic su Create Identity Provider and Configure (Crea provider di identità e configura).

Impostazioni generali

  1. Identity Intercept (Intercettazione identità): specificare il nome dell'URL di base del provider di servizi, che verrà usato per la configurazione di Microsoft Entra.

    Nota

    È possibile scegliere di avere un dominio personalizzato, ma in tal caso saranno necessari una voce DNS e un certificato. In questo esempio verrà usato il dominio Akamai.

  2. Akamai Cloud Zone (Zona cloud Akamai): selezionare la zona cloud appropriata.

  3. Certificate Validation (Convalida del certificato): vedere la documentazione di Akamai (facoltativo).

    Screenshot della scheda General della console Akamai EAA che mostra le impostazioni per Identity Intercept, Akamai Cloud Zone e Certificate Validation.

Configurazione dell'autenticazione

  1. URL: specificare un URL identico a quello dell'intercettazione dell'identità, ovvero la posizione a cui gli utenti vengono reindirizzati dopo l'autenticazione.

  2. URL disconnessione: aggiornare l'URL di disconnessione.

  3. Sign SAML Request (Firma richiesta SAML): opzione deselezionata per impostazione predefinita.

  4. Per il file di metadati IDP, aggiungere l'applicazione nella console di Microsoft Entra ID.

    Screenshot della schermata Authentication configuration della console Akamai EAA che mostra le impostazioni per URL, Logout URL, Sign SAML Request e IDP Metadata File.

Impostazioni sessione

Non modificare le impostazioni predefinite.

Screenshot della finestra di dialogo Session settings della console Akamai EAA.

Directories

Ignorare la configurazione della directory.

Screenshot della scheda Directories della console Akamai EAA.

Interfaccia utente di personalizzazione

È possibile aggiungere la personalizzazione all'IDP.

Screenshot della scheda Customization della console Akamai EAA che mostra le impostazioni per Customize UI, Language settings e Themes.

Impostazioni avanzate

Ignorare le impostazioni avanzate. Per altri dettagli, vedere la documentazione di Akamai.

Screenshot della scheda Advanced Settings della console Akamai EAA che mostra le impostazioni per EAA Client, Advanced e OIDC to SAML bridging.

Distribuzione

  1. Fare clic su Deploy Identity Provider (Distribuisci provider di identità).

    Screenshot della scheda Deployment della console Akamai EAA che mostra il pulsante Deploy identity provider.

  2. Verificare se la distribuzione è riuscita.

Autenticazione basata su intestazione

Autenticazione basata su intestazione di Akamai

  1. Scegliere Custom HTTP (HTTP personalizzato) in Add Applications Wizard (Aggiunta guidata applicazioni).

    Screenshot della procedura guidata Add Applications della console Akamai EAA che mostra l'opzione CustomHTTP nella sezione Access Apps.

  2. Immettere un valore in Application Name (Nome applicazione) e Description (Descrizione).

    Screenshot di una finestra di dialogo Custom HTTP App che mostra le impostazioni per Application Name e Description.

    Screenshot della scheda General della console Akamai EAA che mostra le impostazioni generali per MYHEADERAPP.

    Screenshot della console Akamai EAA che mostra le impostazioni per Certificate e Location.

Autenticazione

  1. Selezionare la scheda Authentication (Autenticazione).

    Screenshot della console Akamai EAA con la scheda Authentication selezionata.

  2. Assegnare il provider di identità.

    Screenshot della scheda Authentication della console Akamai EAA per MYHEADERAPP che mostra il provider di identità impostato su Microsoft Entra SSO.

Servizi

Fare clic su Save and Go to Authentication (Salva e passa ad Autenticazione).

Screenshot della scheda Services della console Akamai EAA per MYHEADERAPP che mostra il pulsante Save and go to Advanced Settings in basso a destra.

Impostazioni avanzate

  1. In Customer HTTP Headers (Intestazioni HTTP cliente) specificare un valore per CustomerHeader (Intestazione cliente) e SAML Attribute (Attributo SAML).

    Screenshot della scheda Advanced Settings della console Akamai EAA che mostra il campo SSO Logged URL evidenziato sotto Authentication.

  2. Fare clic sul pulsante Save and go to Deployment (Salva e passa a Distribuzione).

    Screenshot della scheda Impostazioni avanazate della console Akamai EAA che mostra il pulsante Save and go to Deployment in basso a destra.

Distribuire l'applicazione

  1. Fare clic sul pulsante Deploy Application (Distribuisci applicazione).

    Screenshot della scheda Deployment della console Akamai EAA che mostra il pulsante Deploy application.

  2. Verificare che l'applicazione sia stata distribuita correttamente.

    Screenshot della scheda Deployment della console Akamai EAA che mostra il messaggio di stato dell'applicazione:

  3. Esperienza dell'utente finale.

    Screenshot della schermata iniziale di myapps.microsoft.com con un'immagine di sfondo e una finestra di dialogo di accesso.

    Screenshot che mostra parte di una finestra Apps con le icone Add-in, HRWEB, Akamai - CorpApps, Expense, Groups e Access reviews.

  4. Accesso condizionale.

    Screenshot del messaggio: Approvare la richiesta di accesso. È stata inviata una notifica al dispositivo mobile. Rispondere per continuare.

    Screenshot della schermata Applications che mostra un'icona per MyHeaderApp.

Desktop remoto

  1. Scegliere RDP in Add Applications Wizard (Aggiunta guidata applicazioni).

    Screenshot della procedura guidata Add Applications della console Akamai EAA che mostra l'opzione RDP elencata tra le varie app della sezione Access Apps.

  2. Immettere un valore in Application Name (Nome applicazione) e Description (Descrizione).

    Screenshot di una finestra di dialogo RDP App che mostra le impostazioni per Application Name e Description.

    Screenshot della scheda General della console Akamai EAA che mostra le impostazioni di identità dell'applicazione per SECRETRDPAPP.

  3. Specificare il connettore che verrà usato per questo servizio.

    Screenshot della console Akamai EAA che mostra le impostazioni per Certificate e Location. I connettori associati sono impostati su USWST-CON1.

Autenticazione

Fare clic su Save and go to Services (Salva e passa a Servizi).

Screenshot della scheda Authentication della console Akamai EAA per SECRETRDPAPP che mostra il pulsante Save and go to Services in basso a destra.

Servizi

Fare clic su Save and go to Advanced Settings (Salva e passa a Impostazioni avanzate).

Screenshot della scheda Services della console Akamai EAA per SECRETRDPAPP che mostra il pulsante Save and go to Advanced Settings in basso a destra.

Impostazioni avanzate

  1. Fare clic su Save and go to Deployment (Salva e passa a Distribuzione).

    Screenshot della scheda Advanced Settings della console Akamai EAA per SECRETRDPAPP che mostra le impostazioni per Remote desktop configuration.

    Screenshot della scheda Advanced Settings della console Akamai EAA per SECRETRDPAPP che mostra le impostazioni per Authentication e Health check configuration.

    Screenshot delle impostazioni di Custom HTTP headers della console Akamai EAA per SECRETRDPAPP con il pulsante Save and go to Deployment in basso a destra.

  2. Esperienza utente finale

    Screenshot di una finestra myapps.microsoft.com con un'immagine di sfondo e una finestra di dialogo di accesso.

    Screenshot della finestra Apps di myapps.microsoft.com con le icone Add-in, HRWEB, Akamai - CorpApps, Expense, Groups e Access reviews.

  3. Accesso condizionale

    Screenshot del messaggio di accesso condizionale: Approvare la richiesta di accesso. È stata inviata una notifica al dispositivo mobile. Rispondere per continuare.

    Screenshot della schermata Applications che mostra le icone per MyHeaderApp e SecretRDPApp.

    Screenshot della schermata di Windows Server 2012 RS che mostra le icone utente generico. Le icone per l'amministratore, l'utente0 e l'utente1 mostrano che sono connessi.

  4. In alternativa, è anche possibile digitare direttamente l'URL dell'applicazione RDP.

SSH

  1. Passare ad Add Applications (Aggiungi applicazioni) e scegliere SSH.

    Screenshot della procedura guidata Add Applications della console Akamai EAA che mostra l'opzione SSH elencata tra le varie app della sezione Access Apps.

  2. Immettere un valore in Application Name (Nome applicazione) e Description (Descrizione).

    Screenshot di una finestra di dialogo SSH App che mostra le impostazioni per Application Name e Description.

  3. Configurare l'identità dell'applicazione.

    a. Specificare nome/descrizione.

    b. Specificare IP/FQDN e porta del server applicazioni per SSH.

    c. Specificare nome utente/passphrase per SSH. *Controllare la sezione Akamai EAA.

    d. Specificare il nome host esterno.

    e. Specificare il percorso del connettore e scegliere il connettore.

Autenticazione

Fare clic su Save and go to Services (Salva e passa a Servizi).

Screenshot della scheda Authentication della console Akamai EAA per SSH-SECURE che mostra il pulsante Save and go to Services in basso a destra.

Servizi

Fare clic su Save and go to Advanced Settings (Salva e passa a Impostazioni avanzate).

Screenshot della scheda Services della console Akamai EAA per SSH-SECURE che mostra il pulsante Save and go to Advanced Settings in basso a destra.

Impostazioni avanzate

Fare clic su Save and go to Deployment (Salva e passa a Distribuzione).

Screenshot della scheda Advanced Settings della console Akamai EAA per SSH-SECURE che mostra le impostazioni per Authentication e Health check configuration.

Screenshot delle impostazioni di Custom HTTP headers della console Akamai EAA per SSH-SECURE con il pulsante Save and go to Deployment in basso a destra.

Distribuzione

  1. Fare clic su Deploy Application (Distribuisci applicazione).

    Screenshot della scheda Deployment della console Akamai EAA per SSH-SECURE che mostra il pulsante Deploy application.

  2. Esperienza utente finale

    Screenshot della finestra di dialogo di accesso di una finestra myapps.microsoft.com.

    Screenshot della finestra Apps per myapps.microsoft.com che mostra le icone Add-in, HRWEB, Akamai - CorpApps, Expense, Groups e Access reviews.

  3. Accesso condizionale

    Screenshot che mostra il messaggio Approva la richiesta di accesso. È stata inviata una notifica al dispositivo mobile. Rispondere per continuare.

    Screenshot della schermata Applications che mostra le icone per MyHeaderApp, SSH Secure e SecretRDPApp.

    Screenshot di una finestra di comando per ssh-secure-go.akamai-access.com che visualizza un messaggio di richiesta della password.

    Screenshot di una finestra di comando per ssh-secure-go.akamai-access.com che mostra informazioni sull'applicazione e visualizza una richiesta di immissione comandi.

Autenticazione Kerberos

Nell'esempio seguente si pubblicherà un server Web interno in http://frp-app1.superdemo.live e si abiliterà l'accesso SSO con la delega vincolata Kerberos.

Scheda Generale

Screenshot della scheda General della console Akamai EAA per MYKERBOROSAPP.

Scheda Authentication

Assegnare il provider di identità.

Screenshot della scheda Authentication della console Akamai EAA per MYKERBOROSAPP che mostra il provider di identità impostato su Microsoft Entra SSO.

Scheda Services

Screenshot della scheda Services della console Akamai EAA per MYKERBOROSAPP.

Impostazioni avanzate

Screenshot della scheda Advanced Settings della console Akamai EAA per MYKERBOROSAPP che mostra le impostazioni per Related Applications e Authentication.

Nota

Il nome SPN del server Web deve essere specificato nel formato SPN@Domain, ad esempio HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE per questa demo. Per le altre impostazioni, non modificare i valori predefiniti.

scheda Distribuzione

Screenshot della scheda Deployment della console Akamai EAA per MYKERBOROSAPP che mostra il pulsante Deploy application.

Aggiunta della directory

  1. Selezionare AD nell'elenco a discesa.

    Screenshot della finestra Directories della console Akamai EAA che mostra la finestra di dialogo Create New Directory con l'opzione AD nell'elenco a discesa per Directory Type.

  2. Fornire i dati necessari.

    Screenshot della finestra SUPERDEMOLIVE della console Akamai EAA con le impostazioni per Directory Name, Directory Service, Connector e Attribute mapping.

  3. Verificare la creazione della directory.

    Screenshot della finestra Directories della console Akamai EAA che mostra l'aggiunta della directory superdemo.live.

  4. Aggiungere i gruppi o le unità organizzative che richiedono l'accesso.

    Screenshot delle impostazioni per la directory superdemo.live. L'icona selezionata per l'aggiunta di gruppi o unità organizzative è evidenziata.

  5. Nella figura seguente il gruppo è denominato EAAGroup e include un membro.

    Screenshot della finestra GRUPPI della console Akamai EAA IN SUPERDEMOLIVE DIRECTORY. L'EAAGroup con 1 utente è elencato in Gruppi.

  6. Per aggiungere la directory al provider di identità, fare clic su Identity>Identity Providers (Identità > Provider di identità), fare clic sulla scheda Directories (Directory) e quindi su Assign directory (Assegna directory).

    Screenshot della scheda Directories della console Akamai EAA per Microsoft Entra SSO, che mostra superdemo.live nell'elenco Currently assigned directories.

Procedura dettagliata per la configurazione della delega vincolata Kerberos per EAA

Passaggio 1: creare un account

  1. Nell'esempio si userà un account denominato EAADelegation. Per eseguire questa operazione, è possibile usare lo snap-in Utenti e computer di Active Directory.

    Screenshot della scheda Directories della console Akamai EAA per Microsoft Entra SSO, che mostra superdemo.live nell'elenco Currently assigned directories.

    Nota

    Il nome utente deve essere specificato in un formato basato sul nome di intercettazione identità. Nella figura 1 tale nome è corpapps.login.go.akamai-access.com

  2. Il nome di accesso utente sarà quindi:HTTP/corpapps.login.go.akamai-access.com

    Screenshot che mostra Proprietà di EAADelegation con l'opzione Nome impostata su

Passaggio 2: Configurare il nome dell'entità servizio per questo account

  1. In base a questo esempio, il nome dell'entità servizio sarà come indicato di seguito.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Screenshot di un prompt dei comandi amministratore che mostra i risultati dell'esecuzione del comando setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Passaggio 3: Configurare la delega

  1. Per l'account EAADelegation fare clic sulla scheda Delegation (Delega).

    Screenshot di un prompt dei comandi amministratore che mostra il comando per configurare il nome dell'entità servizio.

    • Specificare l'opzione per usare qualsiasi protocollo di autenticazione.
    • Fare clic su Add (Aggiungi) e aggiungere l'account del pool di app per il sito Web Kerberos. Se opportunamente configurato, il nome dell'entità servizio corretto dovrebbe essere risolto automaticamente.

Passaggio 4: Creare un file keytab per AKAMAI EAA

  1. Ecco la sintassi generica.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Spiegazione dell'esempio

    Frammento di codice Spiegazione
    Ktpass /out EAADemo.keytab // Nome del file keytab di output
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // Account di delega EAA
    /pass RANDOMPASS // Password dell'account di delega EAA
    /crypto All ptype KRB5_NT_PRINCIPAL // vedere la documentazione di Akamai EAA

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Screenshot di un prompt dei comandi amministratore che mostra i risultati dell'esecuzione del comando per creare un file keytab per AKAMAI EAA.

Passaggio 5: Importare il file keytab nella console di AKAMAI EAA

  1. Fare clic su System>Keytabs (Sistema > Keytab).

    Screenshot della console Akamai EAA che mostra la selezione di Keytabs nel menu System.

  2. Per Keytab Type (Tipo di keytab) scegliere Kerberos Delegation (Delega Kerberos).

    Screenshot della schermata EAAKEYTAB della console Akamai EAA che mostra le impostazioni dei keytab. Il tipo di Keytab è impostato su Delega Kerberos.

  3. Verificare che il file keytab venga visualizzato come distribuito e verificato.

    Screenshot della schermata KEYTABS della console Akamai EAA in cui il keytab EAA è indicato come

  4. Esperienza utente

    Screenshot della finestra di dialogo di accesso in myapps.microsoft.com.

    Screenshot della finestra Apps per myapps.microsoft.com che mostra le icone delle app.

  5. Accesso condizionale

    Screenshot che mostra un messaggio di richiesta di approvazione dell'accesso.

    Screenshot della schermata Applications che mostra le icone per MyHeaderApp, SSH Secure, SecretRDPApp e myKerberosApp.

    Screenshot della schermata iniziale per myKerberosApp. Il messaggio

Creare l'utente di test di Akamai

In questa sezione viene creato un utente di nome B.Simon in Akamai. Collaborare con il team di supporto clienti di Akamai per aggiungere gli utenti alla piattaforma Akamai. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.

Testare l'accesso SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

  • Dopo aver fatto clic su Testa questa applicazione, si dovrebbe accedere automaticamente ad Akamai, per cui si è configurato l'accesso SSO.

  • È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di Akamai in App personali, si dovrebbe accedere automaticamente all'istanza di Akamai per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Passaggi successivi

Dopo aver configurato Akamai, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.