Configurare Akamai con Microsoft Entra External ID

Si applica a: Tenant esterni (ulteriori informazioni)

È possibile integrare soluzioni web application firewall (WAF) di terze parti con Microsoft Entra External ID per migliorare la sicurezza complessiva. Un WAF consente di proteggere l'organizzazione da attacchi come DDoS (Distributed Denial of Service), bot dannosi e Open Worldwide Application Security Project (OWASP) Principali 10 rischi per la sicurezza.

Akamai Web Application Firewall (Akamai WAF) protegge le app Web da exploit e vulnerabilità comuni. Integrando Akamai WAF con Microsoft Entra External ID, si aggiunge un ulteriore livello di sicurezza per le applicazioni.

Questo articolo fornisce indicazioni dettagliate per configurare il tenant esterno con Akamai WAF.

Panoramica della soluzione

La soluzione usa tre componenti principali:

• Tenant esterno : funge da provider di identità (IdP) e server di autorizzazione, applicando criteri personalizzati per l'autenticazione.
• Azure Front Door (AFD) – gestisce il routing del dominio personalizzato e inoltra il traffico all'ID esterno Microsoft Entra.
• Akamai WAF : firewall di protezione applicazione Web che gestisce il traffico inviato al server di autorizzazione.

Prerequisiti

Per iniziare, è necessario:

• Un inquilino esterno.
• Configurazione Azure Front Door di Microsoft. Il traffico proveniente da Akamai WAF instrada verso Frontdoor di Azure, che quindi instrada al tenant esterno.
• Un account Akamai. Se non ne hai uno, vai al Negozio di Sicurezza per creare e acquistare un account.
• Waf Akamai che gestisce il traffico inviato al server di autorizzazione.
• Un dominio personalizzato nel tenant esterno abilitato con Frontdoor di Azure (AFD).

Procedura di configurazione di Akamai

Prima di tutto, configurare Akamai WAF per proteggere i domini URL personalizzati per Microsoft Entra External ID. Seguire questa procedura per configurare Akamai WAF.

Configurare Akamai WAF

Dopo aver ottenuto un contratto con Akamai, è possibile accedere al portale, che consente di gestire tutte le impostazioni di Akamai WAF e altro ancora. Per compilare la configurazione iniziale, è possibile scegliere tra due opzioni:

• La procedura guidata Avvio rapido offre un flusso di lavoro guidato che consente di distribuire i blocchi predefiniti che proteggono il traffico con WAF, consigliato se non si ha familiarità con Akamai. È possibile aggiornare queste impostazioni in un secondo momento per soddisfare i requisiti.
• La modalità Avanzata offre un controllo granulare configurando singole interfacce per una personalizzazione dettagliata.

Per esplorare tutte le funzionalità della soluzione WAF Akamai, vedere la guida per l'utente.

Procedura guidata di avvio rapido

Akamai offre una procedura guidata di avvio rapido che consente di caricare nuovi nomi host e proteggerli con la soluzione WAF, denominata Protezione app e API.

Ion Standard è una soluzione aggiuntiva che migliora le prestazioni dell'applicazione e ottimizza la distribuzione di contenuti nella piattaforma Akamai.

Per accedere alla procedura guidata, selezionare Get Started> Nella schermata iniziale vengono visualizzati i passaggi necessari per completare l'onboarding. Selezionare Avvia per iniziare.

Per altre informazioni, vedere la procedura descritta in Configurare Akamai WAF nella documentazione di Akamai.

Modalità avanzata

Se si preferisce un approccio avanzato, creare e configurare prima una proprietà in Gestione proprietà. Una proprietà è un file di configurazione che indica ai server perimetrali Akamai come gestire e rispondere alle richieste in ingresso degli utenti finali.

Per altre informazioni, vedere Che cos'è una proprietà? Per creare e configurare una proprietà, seguire questa procedura:

Creare e configurare una proprietà

1. Passare a Akamai Control Center per accedere.
2. Vai a Gestione proprietà.
3. In Versione proprietà selezionare TLS standard o avanzato (scelta consigliata).
4. Per Hostname di proprietà, aggiungere un hostname di proprietà per il dominio personalizzato.
   Esempio: login.domain.com

Importante

Creare o modificare i certificati con le impostazioni corrette del nome di dominio personalizzato.
Per informazioni dettagliate, vedere Configurare i nomi host HTTPS.

Impostazioni di configurazione delle proprietà del server di origine

Usare queste impostazioni per il server di origine:

1. Per Tipo di origine immettere il tipo di origine.
2. Per Nome host del server di origine inserire il nome host.
   Esempio: yourafddomain.azurefd.net
3. Per Intestazione host di inoltro, selezionare Intestazione host ricevuta.
4. Per Nome host della chiave cache, selezionare Intestazione dell'host in ingresso.

Configurare DNS

Creare un record Nome canonico (CNAME) nel DNS, ad esempio login.domain.com, che punta al nome host di Microsoft Edge nel campo Nome host proprietà .

Configurare Akamai WAF

1. Passare a Akamai Control Center per accedere.
2. Passare a Configurazioni di sicurezza.
3. Per creare una nuova configurazione di sicurezza, selezionare Proteggi proprietà esistente.
4. Immettere un nome di configurazione in Dettagli configurazione, quindi selezionare Crea e attivare la configurazione nella rete di produzione.
5. Per iniziare a usare la configurazione di sicurezza, vedere https://techdocs.akamai.com/cloud-security/docs/app-api-protector.
6. In una versione successiva della configurazione di sicurezza modificare l'azione in Web Application Firewall for Attack Group e impostare Azione di gruppo su Nega.

Concedere l'accesso all'API Akamai per eseguire azioni

Creare le credenziali di autenticazione di EdgeGrid e prendere nota di tutte le informazioni generate (client_secret, host, access_token, client_token). Questi valori vengono riutilizzati più avanti nella configurazione.

Aggiornare inoltre le restrizioni API per le azioni al livello di accesso appropriato illustrato nella tabella seguente:

Titolo	Description	Livello di accesso
Diagnostica di Microsoft Edge	Diagnostica di Microsoft Edge	LETTURA-SCRITTURA
Gestore di proprietà (PAPI)	Gestione proprietà (PAPI). PAPI richiede l'accesso ai nomi host di Microsoft Edge. Modificare le autorizzazioni per aggiungere HAPI al client API.	SOLO LETTURA

Verificare Akamai WAF in l'ID esterno

Dopo aver completato i passaggi di configurazione, verificare che Akamai WAF stia proteggendo il tenant esterno connettendo le credenziali di autenticazione alla configurazione waf.

Interfaccia di amministrazione di Microsoft Entra

Configurazione del provider WAF

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Lettore di sicurezza.

2. Se hai accesso a più tenant, usa l'icona delle Impostazioni nel menu in alto per passare al tenant esterno che hai creato in precedenza dal menu Directory + sottoscrizioni.

3. Vai a Entra ID>Security Store.

4. Selezionare il riquadro Proteggi app da DDoS con WAF selezionando Inizia.

5. In Scegliere un provider WAF selezionare Akamai e quindi selezionare Avanti.

   

6. Creare un account Akamai. Se non hai ancora un account, creane uno e acquistalo nel Negozio di Sicurezza. Tornare quindi qui per completare l'installazione.

7. In Configura WAF Akamai è possibile selezionare una configurazione esistente o crearne una nuova. Se si sta creando una nuova configurazione, aggiungere le informazioni seguenti:

   • Nome configurazione: un nome per la configurazione WAF.
   • Prefisso host: Il prefisso host delle credenziali API Akamai EdgeGrid.
   • Segreto del client: il segreto del client dalle credenziali API di Akamai EdgeGrid.
   • Access token: il token di accesso delle credenziali dell'API Akamai EdgeGrid.
   • Client token: Il client token fornito dalle credenziali dell'API Akamai EdgeGrid.

8. Selezionare Avanti per passare al passaggio successivo.

Verifica del dominio

Selezionare i domini URL personalizzati che Frontdoor di Azure (AFD) consente di verificare e connetterli alla configurazione waf Akamai. Questo passaggio garantisce che i domini selezionati siano protetti con funzionalità di sicurezza avanzate.

1. Selezionare Verify domain (Verifica dominio ) per avviare il processo di verifica.
2. Selezionare i domini URL personalizzati da proteggere con Akamai WAF e quindi selezionare Verifica.

3. Dopo la verifica, selezionare Fine per completare il processo.

API di Microsoft Graph

È possibile usare l'API Microsoft Graph tramite Graph Explorer per configurare l'integrazione waf Akamai.

Assicurarsi che il chiamante abbia il ruolo di Security Reader e abbia acconsentito all'autorizzazione RiskPreventionProviders.Read.All.

Questa autorizzazione consente di chiamare POST .../riskPrevention/webApplicationFirewallProviders per creare il provider e quindi chiamare POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify per verificare.

Passaggio 1: Creare un provider WAF Akamai con l'API

Assicurarsi di avere il client API creato in Akamai. Queste informazioni sono necessarie in modo che il back-end possa chiamare Akamai per conto dell'utente per eseguire il pull e verificare la configurazione waf.

Richiesta

Nell'esempio seguente viene illustrata una richiesta.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix",
    "clientSecret": "akamai_example_secret_123",
    "clientToken": "akamai_example_token_456",
    "accessToken": "akamai_example_token_789"
}

Risposta

L'esempio seguente mostra la risposta. L'oggetto risposta illustrato di seguito potrebbe essere abbreviato per la leggibilità.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000002",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix"
}

Passaggio 2: Verificare il provider WAF Akamai con l'API

Nell'esempio seguente viene illustrato come verificare un dominio tramite webApplicationFirewallProviderhostName.

Richiesta

Nell'esempio seguente viene illustrata una richiesta.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}identity\authentication\tutorial-enable-cloud-sync-sspr-writeback

Risposta

L'esempio seguente mostra la risposta. L'oggetto risposta illustrato di seguito potrebbe essere abbreviato per la leggibilità.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "akamai",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.akamaiVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "akamai Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Annotazioni

Le operazioni CRUD (Create, Read, Update, Delete) sui dettagli di verifica dei provider possono riscontrare ritardi fino a 15 minuti. Se si elimina un dominio, la verifica potrebbe richiedere fino a 15 minuti prima di poterlo aggiungere nuovamente.

Risoluzione dei problemi

Scenario	dettagli
Richiesta bloccata da Akamai WAF	Quando Akamai WAF blocca una richiesta, restituisce un codice di riferimento Akamai, 18.6f64d440.1318965461.2f2b078ad esempio . È possibile eseguire il debug di questo codice usando Security Event Error Translator.
Altri strumenti per la risoluzione dei problemi	Sono disponibili vari strumenti per la risoluzione dei problemi. Esplorare questi strumenti qui.

Risorse aggiuntive

• Gestire le impostazioni di sicurezza

  • I set di impostazioni di configurazione di sicurezza impostano WAF sulla modalità solo avvisi . Per attenuare attivamente le minacce con Akamai, impostare Azione su Nega.
  • Akamai offre protezioni complete per la sicurezza. Altre informazioni sono disponibili qui.
  • Almeno:
    • Modificare la Protezione DoS per le tre politiche di limitazione della velocità in Nega dopo aver verificato le soglie del tuo traffico.
    • Modificare l'azione di gruppo per l'inserimento dei comandi, lo scripting tra siti, l'inclusione di file locali, l'inclusione di file remoti, l'inserimento di SQL injection, lo strumento di attacco Web, l'attacco alla piattaforma Web e l'attacco al protocollo Web su Nega.

• Gestire le impostazioni di recapito e prestazioni

  • Esplorare informazioni utili per acquisire familiarità con Akamai qui.

• Visualizzare le richieste contrassegnate

  • Visualizzare le richieste contrassegnate (segnalate o negate) da Akamai WAF in Web Security Analytics.
  • Guarda brevi video per accelerare il tuo viaggio.