Esercitazione: Integrazione dell'accesso SSO di Microsoft Entra con Akamai
In questa esercitazione si apprenderà come integrare Akamai con Microsoft Entra ID. Integrando Akamai con Microsoft Entra ID è possibile:
- Controllare in Microsoft Entra ID chi può accedere a Akamai.
- abilitare gli utenti per l'accesso automatico a Akamai con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Grazie all'integrazione di Microsoft Entra ID e Akamai Enterprise Application Access (EAA) è possibile accedere senza problemi alle applicazioni legacy ospitate nel cloud o in locale. La soluzione integrata sfrutta tutti i vantaggi di tutte le funzionalità moderne di Microsoft Entra ID come l'accesso condizionale di Microsoft Entra, Microsoft Entra ID Protection e Microsoft Entra ID Governance per le applicazioni legacy che accedono senza modifiche alle app o all'installazione degli agenti.
L'immagine seguente illustra la posizione occupata da Akamai EAA nel più ampio scenario di accesso sicuro ibrido.
Scenari di autenticazione principali
Oltre al supporto dell'integrazione nativa di Microsoft Entra per i protocolli di autenticazione moderni, come Open ID Connect, SAML e WS-Fed, Akamai EAA estende l'accesso protetto per le app di autenticazione basate su scenari legacy per l'accesso interno ed esterno con Microsoft Entra ID, abilitando scenari moderni (ad esempio, l'accesso senza password) per queste applicazioni. Questo scenario include:
- App di autenticazione basata su intestazione
- Desktop remoto
- SSH (Secure Shell)
- App di autenticazione Kerberos
- VNC (Virtual Network Computing)
- Autenticazione anonima oppure nessuna app di autenticazione incorporata
- App di autenticazione NTLM (protezione con doppio prompt per l'utente)
- Applicazione basata su moduli (protezione con doppio prompt per l'utente)
Scenari di integrazione
La partnership tra Microsoft e Akamai EAA offre la flessibilità necessaria per soddisfare i requisiti aziendali, grazie al supporto di più scenari di integrazione basati su requisiti aziendali. È possibile usare questi scenari per offrire una copertura da attacchi zero-day per tutte le applicazioni e per classificare e configurare gradualmente classificazioni dei criteri appropriate.
Scenario di integrazione 1
Akamai EAA è configurato come una singola applicazione in Microsoft Entra ID. L'amministratore può configurare i criteri di accesso condizionale nell'applicazione e, una volta soddisfatte le condizioni, gli utenti possono accedere al portale di Akamai EAA.
Vantaggi:
- È necessario configurare l'IDP una sola volta
Svantaggi:
Gli utenti devono interagire con due portali di applicazioni.
Singola copertura comune dei criteri di accesso condizionale per tutte le applicazioni.
Scenario di integrazione 2
L'applicazione Akamai EAA viene configurata singolarmente nel portale di Azure. L'amministratore può configurare i singoli criteri di accesso condizionale per le applicazioni e, una volta soddisfatte le condizioni, gli utenti possono essere reindirizzati direttamente all'applicazione specifica.
Vantaggi:
È possibile definire singoli criteri di accesso condizionale.
Tutte le app sono rappresentate nel menu a cialda di 0365 e nel pannello di myApps.microsoft.com.
Svantaggi:
- È necessario configurare più IDP.
Prerequisiti
Per iniziare, sono necessari gli elementi seguenti:
- Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
- Sottoscrizione di Akamai abilitata per l'accesso Single Sign-On (SSO).
Descrizione dello scenario
In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.
- Akamai supporta l'accesso SSO avviato da IDP
Importante
Tutte le impostazioni elencate di seguito sono le stesse sia per Scenario di integrazione 1 che per lo Scenario di integrazione 2. Per lo Scenario di integrazione 2 è necessario configurare un singolo IDP in Akamai EAA e modificare la proprietà URL in modo che punti all'URL dell'applicazione.
Aggiungere Akamai dalla raccolta
Per configurare l'integrazione di Akamai in Microsoft Entra ID è necessario aggiungere Akamai dalla raccolta al proprio elenco di app SaaS gestite.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare Akamai nella casella di ricerca.
- Selezionare Akamai nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.
In alternativa, è anche possibile usare Configurazione guidata app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso SSO di Microsoft Entra per Akamai
Configurare e testare l'accesso SSO di Microsoft Entra con Akamai usando un utente di test di nome B.Simon. Per il corretto funzionamento dell'accesso SSO è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in Akamai.
Per configurare e testare l'accesso SSO di Microsoft Entra con Akamai, seguire questa procedura:
- Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
- Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
- Assegnare l'utente di test di Microsoft Entra per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
- Configurare l'accesso Single Sign-On di Akamai: per configurare le impostazioni di Single Sign-On sul lato applicazione.
- Configurazione dell'IDP
- Autenticazione basata su intestazione
- Desktop remoto
- SSH
- Autenticazione Kerberos
- Creare l'utente di test di Akamai: per avere una controparte di B.Simon in Akamai collegata alla rappresentazione dell'utente in Microsoft Entra.
- Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.
Configurare l'accesso Single Sign-On di Microsoft Entra
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Andare a Identità>Applicazioni>Applicazioni aziendali>Akamai>Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.
Nella sezione Configurazione SAML di base immettere i valori per i campi seguenti se si vuole configurare l'applicazione in modalità avviata da IDP:
a. Nella casella di testo Identificatore digitare un URL nel formato seguente:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. Nella casella di testo URL di risposta digitare un URL nel formato seguente:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Nota
Poiché questi non sono i valori reali, è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi. Per ottenere tali valori, contattare il team di supporto clienti di Akamai. È anche possibile fare riferimento ai criteri di cui alla sezione Configurazione SAML di base.
Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.
Nella sezione Configura Akamai copiare gli URL appropriati in base alle esigenze.
Creare un utente di test di Microsoft Entra
In questa sezione verrà creato un utente di test di nome B.Simon.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente>Crea nuovo utente nella parte superiore della schermata.
- In Proprietà utente seguire questa procedura:
- Nel campo Nome visualizzato inserire
B.Simon
. - Nel campo Nome entità utente, immettere username@companydomain.extension. Ad esempio:
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
- Selezionare Rivedi e crea.
- Nel campo Nome visualizzato inserire
- Seleziona Crea.
Assegnare l'utente di test di Microsoft Entra
In questa sezione, si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso ad Akamai .
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Akamai.
- Nella pagina della panoramica dell'app selezionare Utenti e gruppi.
- Selezionare Aggiungi utente/gruppo, quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
- Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
- Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
- Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.
Configurare l'accesso Single Sign-On di Akamai
Configurazione dell'IDP
Configurazione dell'IDP in AKAMAI EAA
Accedere alla console di Akamai Enterprise Application Access.
Nella console di Akamai EAA selezionare Identity (Identità) >Identity Providers (Provider di identità) e fare clic su Add Identity Provider (Aggiungi provider di identità).
In Create New Identity Provider (Crea nuovo provider di identità) seguire questa procedura:
a. Specificare un valore in Unique Name (Nome univoco).
b. Scegliere Third Party SAML (SAML di terze parti) e fare clic su Create Identity Provider and Configure (Crea provider di identità e configura).
Impostazioni generali
Nella scheda Generale immettere le informazioni seguenti:
Intercettazione identità: specificare il nome del dominio (URL di base SP), che verrà usato per La configurazione di Microsoft Entra.
Nota
È possibile scegliere di avere un dominio personalizzato, ma in tal caso saranno necessari una voce DNS e un certificato. In questo esempio verrà usato il dominio Akamai.
Akamai Cloud Zone (Zona cloud Akamai): selezionare la zona cloud appropriata.
Certificate Validation (Convalida del certificato): vedere la documentazione di Akamai (facoltativo).
Configurazione dell'autenticazione
URL: specificare un URL identico a quello dell'intercettazione dell'identità, ovvero la posizione a cui gli utenti vengono reindirizzati dopo l'autenticazione.
URL disconnessione: aggiornare l'URL di disconnessione.
Sign SAML Request (Firma richiesta SAML): opzione deselezionata per impostazione predefinita.
Per il file di metadati IDP, aggiungere l'applicazione nella console di Microsoft Entra ID.
Impostazioni sessione
Non modificare le impostazioni predefinite.
Directories
Nella scheda Directory ignorare la configurazione della directory.
Interfaccia utente di personalizzazione
È possibile aggiungere la personalizzazione all'IDP. Nella scheda Personalizzazione sono disponibili impostazioni per Personalizza interfaccia utente, Impostazioni lingua e Temi.
Impostazioni avanzate
Nella scheda Impostazioni avanzate accettare i valori predefiniti. Per altre informazioni, vedere la documentazione di Akamai.
Distribuzione
Nella scheda Distribuzione fare clic su Distribuisci provider di identità.
Verificare se la distribuzione è riuscita.
Autenticazione basata su intestazione
Autenticazione basata su intestazione di Akamai
Scegliere Custom HTTP (HTTP personalizzato) in Add Applications Wizard (Aggiunta guidata applicazioni).
Immettere un valore in Application Name (Nome applicazione) e Description (Descrizione).
Autenticazione
Selezionare la scheda Authentication (Autenticazione).
Selezionare Assegna provider di identità.
Servizi
Fare clic su Save and Go to Authentication (Salva e passa ad Autenticazione).
Impostazioni avanzate
In Customer HTTP Headers (Intestazioni HTTP cliente) specificare un valore per CustomerHeader (Intestazione cliente) e SAML Attribute (Attributo SAML).
Fare clic sul pulsante Save and go to Deployment (Salva e passa a Distribuzione).
Distribuire l'applicazione
Fare clic sul pulsante Deploy Application (Distribuisci applicazione).
Verificare che l'applicazione sia stata distribuita correttamente.
Esperienza dell'utente finale.
Accesso condizionale.
Desktop remoto
Scegliere RDP in Add Applications Wizard (Aggiunta guidata applicazioni).
Immettere Nome applicazione, ad esempio SecretRDPApp.
Selezionare una descrizione, ad esempio Proteggi sessione RDP usando l'accesso condizionale Microsoft Entra.
Specificare il connettore che verrà usato per questo servizio.
Autenticazione
Nella scheda Autenticazione fare clic su Salva e passare a Servizi.
Servizi
Fare clic su Save and go to Advanced Settings (Salva e passa a Impostazioni avanzate).
Impostazioni avanzate
Fare clic su Save and go to Deployment (Salva e passa a Distribuzione).
Esperienza utente finale
Accesso condizionale
In alternativa, è anche possibile digitare direttamente l'URL dell'applicazione RDP.
SSH
Passare ad Add Applications (Aggiungi applicazioni) e scegliere SSH.
Immettere Nome applicazione e Descrizione, ad esempio l'autenticazione moderna di Microsoft Entra su SSH.
Configurare l'identità dell'applicazione.
a. Specificare nome/descrizione.
b. Specificare IP/FQDN e porta del server applicazioni per SSH.
c. Specificare nome utente/passphrase per SSH. *Controllare la sezione Akamai EAA.
d. Specificare il nome host esterno.
e. Specificare il percorso del connettore e scegliere il connettore.
Autenticazione
Nella scheda Autenticazione fare clic su Salva e passare a Servizi.
Servizi
Fare clic su Save and go to Advanced Settings (Salva e passa a Impostazioni avanzate).
Impostazioni avanzate
Fare clic su Save and go to Deployment (Salva e passa a Distribuzione).
Distribuzione
Fare clic su Deploy Application (Distribuisci applicazione).
Esperienza utente finale
Accesso condizionale
Autenticazione Kerberos
Nell'esempio seguente si pubblicherà un server Web interno in http://frp-app1.superdemo.live
e si abiliterà l'accesso SSO con la delega vincolata Kerberos.
Scheda Generale
Scheda Authentication
Nella scheda Autenticazione assegnare il provider di identità.
Scheda Services
Impostazioni avanzate
Nota
Il nome SPN del server Web deve essere specificato nel formato SPN@Domain, ad esempio HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
per questa demo. Per le altre impostazioni, non modificare i valori predefiniti.
scheda Distribuzione
Aggiunta della directory
Selezionare AD nell'elenco a discesa.
Fornire i dati necessari.
Verificare la creazione della directory.
Aggiungere i gruppi o le unità organizzative che richiedono l'accesso.
Nella figura seguente il gruppo è denominato EAAGroup e include un membro.
Aggiungere la directory al provider di identità facendo clic su Identity Identity Providers (Provider>di identità) e fare clic sulla scheda Directory e fare clic su Assign directory (Assegna directory).
Procedura dettagliata per la configurazione della delega vincolata Kerberos per EAA
Passaggio 1: creare un account
Nell'esempio si userà un account denominato EAADelegation. Per eseguire questa operazione, è possibile usare lo snap-in Utenti e computer di Active Directory.
Nota
Il nome utente deve essere specificato in un formato basato sul nome di intercettazione identità. Nella figura 1 tale nome è corpapps.login.go.akamai-access.com
Il nome di accesso utente sarà quindi:
HTTP/corpapps.login.go.akamai-access.com
Passaggio 2: Configurare il nome dell'entità servizio per questo account
In base a questo esempio, il nome dell'entità servizio sarà come indicato di seguito.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Passaggio 3: Configurare la delega
Per l'account EAADelegation fare clic sulla scheda Delegation (Delega).
- Specificare l'opzione per usare qualsiasi protocollo di autenticazione.
- Fare clic su Add (Aggiungi) e aggiungere l'account del pool di app per il sito Web Kerberos. Se opportunamente configurato, il nome dell'entità servizio corretto dovrebbe essere risolto automaticamente.
Passaggio 4: Creare un file keytab per AKAMAI EAA
Ecco la sintassi generica.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALSpiegazione dell'esempio
Frammento di codice Spiegazione Ktpass /out EAADemo.keytab // Nome del file keytab di output /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // Account di delega EAA /pass RANDOMPASS // Password dell'account di delega EAA /crypto All ptype KRB5_NT_PRINCIPAL // vedere la documentazione di Akamai EAA Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Passaggio 5: Importare il file keytab nella console di AKAMAI EAA
Fare clic su System>Keytabs (Sistema > Keytab).
Per Keytab Type (Tipo di keytab) scegliere Kerberos Delegation (Delega Kerberos).
Verificare che il file keytab venga visualizzato come distribuito e verificato.
Esperienza utente
Accesso condizionale
Creare l'utente di test di Akamai
In questa sezione viene creato un utente di nome B.Simon in Akamai. Collaborare con il team di supporto clienti di Akamai per aggiungere gli utenti alla piattaforma Akamai. Gli utenti devono essere creati e attivati prima di usare l'accesso Single Sign-On.
Testare l'accesso SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Dopo aver fatto clic su Testa questa applicazione, si dovrebbe accedere automaticamente ad Akamai, per cui si è configurato l'accesso SSO.
È possibile usare App personali Microsoft. Quando si fa clic sul riquadro di Akamai in App personali, si dovrebbe accedere automaticamente all'istanza di Akamai per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.
Passaggi successivi
Dopo aver configurato Akamai, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.