Samouczek: integracja usługi Microsoft Entra SSO z aplikacją Akamai

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Akamai z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Akamai z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Akamai.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Akamai przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Integracja usługi Microsoft Entra ID i Akamai Enterprise Application Access umożliwia bezproblemowy dostęp do starszych aplikacji hostowanych w chmurze lub lokalnie. Zintegrowane rozwiązanie korzysta ze wszystkich nowoczesnych funkcji identyfikatora Entra firmy Microsoft, takich jak dostęp warunkowy firmy Microsoft Entra, Ochrona tożsamości Microsoft Entra i Zarządzanie tożsamością Microsoft Entra w przypadku starszych aplikacji, bez modyfikacji aplikacji lub agentów Instalacji.

Na poniższej ilustracji opisano, gdzie Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego.

Akamai EAA fits into the broader Hybrid Secure Access scenario

Scenariusze uwierzytelniania kluczy

Oprócz natywnej integracji firmy Microsoft Entra dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Połączenie, SAML i WS-Fed, Akamai EAA rozszerza bezpieczny dostęp dla starszych aplikacji uwierzytelniania zarówno dla dostępu wewnętrznego, jak i zewnętrznego przy użyciu identyfikatora Entra firmy Microsoft, umożliwiając nowoczesne scenariusze (np. dostęp bez hasła) do tych aplikacji. Obejmuje on:

  • Aplikacje uwierzytelniania oparte na nagłówkach
  • Pulpit zdalny
  • SSH (Secure Shell)
  • Aplikacje uwierzytelniania Kerberos
  • VNC (przetwarzanie sieci wirtualnej)
  • Anonimowe uwierzytelnianie lub brak wbudowanych aplikacji uwierzytelniania
  • Aplikacje uwierzytelniania NTLM (ochrona z podwójnymi monitami dla użytkownika)
  • Aplikacja oparta na formularzach (ochrona z podwójnymi monitami dla użytkownika)

Scenariusze integracji

Partnerstwo firmy Microsoft i Akamai EAA umożliwia elastyczność spełnienia wymagań biznesowych przez obsługę wielu scenariuszy integracji na podstawie wymagań biznesowych. Mogą one służyć do zapewnienia zasięgu zero-dniowego we wszystkich aplikacjach i stopniowe klasyfikowanie i konfigurowanie odpowiednich klasyfikacji zasad.

Scenariusz integracji 1

Akamai EAA jest konfigurowana jako pojedyncza aplikacja w identyfikatorze Entra firmy Microsoft. Administracja można skonfigurować zasady dostępu warunkowego w aplikacji, a po spełnieniu warunków użytkownicy mogą uzyskać dostęp do portalu EAA usługi Akamai.

Zalety:

  • Musisz skonfigurować dostawcę tożsamości tylko raz.

Wady:

  • Użytkownicy mają dwa portale aplikacji.

  • Pojedyncze wspólne pokrycie zasad dostępu warunkowego dla wszystkich aplikacji.

Integration Scenario 1

Scenariusz integracji 2

Aplikacja Akamai EAA jest konfigurowana indywidualnie w witrynie Azure Portal. Administracja można skonfigurować zasady dostępu warunkowego indywidualnego w aplikacjach, a gdy warunki są spełnione, użytkownicy mogą być bezpośrednio przekierowywani do określonej aplikacji.

Zalety:

  • Można zdefiniować poszczególne zasady dostępu warunkowego.

  • Wszystkie aplikacje są reprezentowane na waffle 0365 i myApps.microsoft.com Panel.

Wady:

  • Należy skonfigurować wiele dostawców tożsamości.

Integration Scenario 2

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Akamai z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Akamai obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości.

Ważne

Wszystkie konfiguracje wymienione poniżej są takie same dla scenariusza integracji 1 i scenariusza 2. W scenariuszu integracji 2 należy skonfigurować indywidualnego dostawcę tożsamości w akamai EAA, a właściwość ADRESU URL musi zostać zmodyfikowana, aby wskazywała adres URL aplikacji.

Screenshot of the General tab for AZURESSO-SP in Akamai Enterprise Application Access. The Authentication configuration URL field is highlighted.

Aby skonfigurować integrację aplikacji Akamai z usługą Microsoft Entra ID, należy dodać aplikację Akamai z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Akamai w polu wyszukiwania.
  4. Wybierz pozycję Akamai z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla aplikacji Akamai

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Akamai przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Akamai.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Akamai, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    • Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    • Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego aplikacji Akamai — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>>(Aplikacje dla>przedsiębiorstw) Akamai Single sign-on (Logowanie jednokrotne usługi Akamai).>

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Uwaga

    Te wartości nie są prawdziwe. Zastąp te wartości rzeczywistymi wartościami identyfikatora i adresu URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Akamai, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  7. W sekcji Konfigurowanie aplikacji Akamai skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Akamai.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>>Akamai.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego usługi Akamai

Konfigurowanie dostawcy tożsamości

Konfiguracja dostawcy tożsamości EAA AKAMAI

  1. Zaloguj się do konsoli programu Akamai Enterprise Application Access .

  2. W konsoli Akamai EAA wybierz pozycję Dostawcy tożsamości tożsamości>i kliknij pozycję Dodaj dostawcę tożsamości.

    Screenshot of the Akamai EAA console Identity Providers window. Select Identity Providers on the Identity menu and select Add Identity Provider.

  3. Na stronie Create New Identity Provider (Tworzenie nowego dostawcy tożsamości) wykonaj następujące kroki:

    Screenshot of the Create New Identity Providers dialog in the Akamai EAA console.

    a. Określ unikatową nazwę.

    b. Wybierz pozycję SAML innej firmy i kliknij pozycję Utwórz dostawcę tożsamości i skonfiguruj.

Ustawienia ogólne

  1. Identity Intercept — określ nazwę (podstawowy adres URL sp — będzie używany dla usługi Microsoft Entra Configuration).

    Uwaga

    Możesz wybrać własną domenę niestandardową (będzie wymagać wpisu DNS i certyfikatu). W tym przykładzie użyjemy domeny Akamai.

  2. Strefa chmury Akamai — wybierz odpowiednią strefę chmury.

  3. Weryfikacja certyfikatu — sprawdź dokumentację usługi Akamai (opcjonalnie).

    Screenshot of the Akamai EAA console General tab showing settings for Identity Intercept, Akamai Cloud Zone, and Certificate Validation.

Konfiguracja uwierzytelniania

  1. ADRES URL — określ adres URL taki sam jak przechwycenie tożsamości (jest to miejsce, w którym użytkownicy są przekierowywani po uwierzytelnieniu).

  2. Adres URL wylogowywania: zaktualizuj adres URL wylogowywania.

  3. Podpisz żądanie SAML: domyślne niezaznaczone.

  4. W przypadku pliku metadanych dostawcy tożsamości dodaj aplikację w konsoli Microsoft Entra ID.

    Screenshot of the Akamai EAA console Authentication configuration showing settings for URL, Logout URL, Sign SAML Request, and IDP Metadata File.

Ustawienia sesji

Pozostaw ustawienia domyślne.

Screenshot of the Akamai EAA console Session settings dialog.

Directories

Pomiń konfigurację katalogu.

Screenshot of the Akamai EAA console Directories tab.

Interfejs użytkownika dostosowywania

Dostosowywanie można dodać do dostawcy tożsamości.

Screenshot of the Akamai EAA console Customization tab showing settings for Customize UI, Language settings, and Themes.

Ustawienia zaawansowane

Aby uzyskać więcej informacji, pomiń ustawienia zaawansowane/zapoznaj się z dokumentacją usługi Akamai.

Screenshot of the Akamai EAA console Advanced Settings tab showing settings for EAA Client, Advanced, and OIDC to SAML bridging.

Wdrożenie

  1. Kliknij pozycję Wdróż dostawcę tożsamości.

    Screenshot of the Akamai EAA console Deployment tab showing the Deploy dentity provider button.

  2. Sprawdź, czy wdrożenie zakończyło się pomyślnie.

Uwierzytelnianie oparte na nagłówku

Uwierzytelnianie oparte na nagłówku Akamai

  1. Wybierz pozycję Niestandardowy formularz HTTP Kreatora dodawania aplikacji.

    Screenshot of the Akamai EAA console Add Applications wizard showing CustomHTTP listed in the Access Apps section.

  2. Wprowadź nazwę aplikacji i opis.

    Screenshot of a Custom HTTP App dialog showing settings for Application Name and Description.

    Screenshot of the Akamai EAA console General tab showing general settings for MYHEADERAPP.

    Screenshot of the Akamai EAA console showing settings for Certificate and Location.

Uwierzytelnianie

  1. Wybierz kartę Uwierzytelnianie .

    Screenshot of the Akamai EAA console with the Authentication tab selected.

  2. Przypisz dostawcę tożsamości.

    Screenshot of the Akamai EAA console Authentication tab for MYHEADERAPP showing the Identity provider set to Microsoft Entra SSO.

Usługi

Kliknij pozycję Zapisz i przejdź do uwierzytelniania.

Screenshot of the Akamai EAA console Services tab for MYHEADERAPP showing the Save and go to AdvancedSettings button in the bottom right corner.

Ustawienia zaawansowane

  1. W obszarze Nagłówki HTTP klienta określ atrybut CustomerHeader i SAML.

    Screenshot of the Akamai EAA console Advanced Settings tab showing the SSO Logged URL field highlighted under Authentication.

  2. Kliknij przycisk Zapisz i przejdź do pozycji Wdrożenie .

    Screenshot of the Akamai EAA console Advanced Settings tab showing the Save and go to Deployment button in the bottom right corner.

Wdrażanie aplikacji

  1. Kliknij przycisk Wdróż aplikację .

    Screenshot of the Akamai EAA console Deployment tab showing the Deploy application button.

  2. Sprawdź, czy aplikacja została pomyślnie wdrożona.

    Screenshot of the Akamai EAA console Deployment tab showing the Application status message:

  3. Środowisko użytkownika końcowego.

    Screenshot of the opening screen for myapps.microsoft.com with a background image and a Sign in dialog.

    Screenshot showing part of an Apps window with icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  4. Dostęp warunkowy.

    Screenshot of the message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing an icon for the MyHeaderApp.

Pulpit zdalny

  1. Wybierz pozycję RDP w Kreatorze DODAWANIA aplikacji.

    Screenshot of the Akamai EAA console Add Applications wizard showing RDP listed among the apps in the Access Apps section.

  2. Wprowadź nazwę aplikacji i opis.

    Screenshot of a RDP App dialog showing settings for Application Name and Description.

    Screenshot of the Akamai EAA console General tab showing Application identity settings for SECRETRDPAPP.

  3. Określ Połączenie or, który będzie obsługiwał tę usługę.

    Screenshot of the Akamai EAA console showing settings for Certificate and Location. Associated connectors is set to USWST-CON1.

Uwierzytelnianie

Kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Screenshot of the Akamai EAA console Authentication tab for SECRETRDPAPP showing the Save and go to Services button is in the bottom right corner.

Usługi

Kliknij pozycję Zapisz i przejdź do pozycji Zaawansowane Ustawienia.

Screenshot of the Akamai EAA console Services tab for SECRETRDPAPP showing the Save and go to AdvancedSettings button in the bottom right corner.

Ustawienia zaawansowane

  1. Kliknij pozycję Zapisz i przejdź do pozycji Wdrożenie.

    Screenshot of the Akamai EAA console Advanced Settings tab for SECRETRDPAPP showing the settings for Remote desktop configuration.

    Screenshot of the Akamai EAA console Advanced Settings tab for SECRETRDPAPP showing the settings for Authentication and Health check configuration.

    Screenshot of the Akamai EAA console Custom HTTP headers settings for SECRETRDPAPP with the Save and go to Deployment button in the bottom right corner.

  2. Środowisko użytkownika końcowego

    Screenshot of a myapps.microsoft.com window with a background image and a Sign in dialog.

    Screenshot of the myapps.microsoft.com Apps window with icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  3. Dostęp warunkowy

    Screenshot of the Conditional Access message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing icons for the MyHeaderApp and SecretRDPApp.

    Screenshot of Windows Server 2012 RS screen showing generic user icons. The icons for administrator, user0, and user1 show that they are Signed in.

  4. Alternatywnie możesz również bezpośrednio wpisać adres URL aplikacji RDP.

SSH

  1. Przejdź do pozycji Dodaj aplikacje, wybierz pozycję SSH.

    Screenshot of the Akamai EAA console Add Applications wizard showing SSH listed among the apps in the Access Apps section.

  2. Wprowadź nazwę aplikacji i opis.

    Screenshot of an SSH App dialog showing settings for Application Name and Description.

  3. Konfigurowanie tożsamości aplikacji.

    Screenshot of the Akamai EAA console General tab showing Application identity settings for SSH-SECURE.

    a. Określ nazwę/opis.

    b. Określ adres IP/nazwę FQDN serwera aplikacji i port dla protokołu SSH.

    c. Określ nazwę użytkownika/hasło SSH *Sprawdź Akamai EAA.

    d. Określ nazwę hosta zewnętrznego.

    e. Określ lokalizację łącznika i wybierz łącznik.

Uwierzytelnianie

Kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Screenshot of the Akamai EAA console Authentication tab for SSH-SECURE showing the Save and go to Services button is in the bottom right corner.

Usługi

Kliknij pozycję Zapisz i przejdź do pozycji Zaawansowane Ustawienia.

Screenshot of the Akamai EAA console Services tab for SSH-SECURE showing the Save and go to AdvancedSettings button in the bottom right corner.

Ustawienia zaawansowane

Kliknij pozycję Zapisz i przejdź do pozycji Wdrażanie.

Screenshot of the Akamai EAA console Advanced Settings tab for SSH-SECURE showing the settings for Authentication and Health check configuration.

Screenshot of the Akamai EAA console Custom HTTP headers settings for SSH-SECURE with the Save and go to Deployment button in the bottom right corner.

Wdrożenie

  1. Kliknij pozycję Wdróż aplikację.

    Screenshot of the Akamai EAA console Deployment tab for SSH-SECURE showing the Deploy application button.

  2. Środowisko użytkownika końcowego

    Screenshot of a myapps.microsoft.com window Sign in dialog.

    Screenshot of the Apps window for myapps.microsoft.com showing icons for Add-in, HRWEB, Akamai - CorpApps, Expense, Groups, and Access reviews.

  3. Dostęp warunkowy

    Screenshot showing the message: Approve sign in request. We've sent a notification to your mobile device. Please respond to continue.

    Screenshot of an Applications screen showing icons for MyHeaderApp, SSH Secure, and SecretRDPApp.

    Screenshot of a command window for ssh-secure-go.akamai-access.com showing a Password prompt.

    Screenshot of a command window for ssh-secure-go.akamai-access.com showing information about the application and displaying a prompt for commands.

Uwierzytelnianie Kerberos

W poniższym przykładzie opublikujemy wewnętrzny serwer internetowy na stronie http://frp-app1.superdemo.live i włączymy logowanie jednokrotne przy użyciu KCD.

Karta Ogólne

Screenshot of the Akamai EAA console General tab for MYKERBOROSAPP.

Karta Uwierzytelnianie

Przypisz dostawcę tożsamości.

Screenshot of the Akamai EAA console Authentication tab for MYKERBOROSAPP showing Identity provider set to Microsoft Entra SSO.

Karta Usługi

Screenshot of the Akamai EAA console Services tab for MYKERBOROSAPP.

Ustawienia zaawansowane

Screenshot of the Akamai EAA console Advanced Settings tab for MYKERBOROSAPP showing settings for Related Applications and Authentication.

Uwaga

Nazwa SPN dla serwera sieci Web ma format SPN@Domain na przykład: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE dla tego pokazu. Pozostaw pozostałe ustawienia domyślne.

Karta Wdrażanie

Screenshot of the Akamai EAA console Deployment tab for MYKERBOROSAPP showing the Deploy application button.

Dodawanie katalogu

  1. Wybierz pozycję AD z listy rozwijanej.

    Screenshot of the Akamai EAA console Directories window showing a Create New Directory dialog with AD selected in the drop down for Directory Type.

  2. Podaj niezbędne dane.

    Screenshot of the Akamai EAA console SUPERDEMOLIVE window with settings for DirectoryName, Directory Service, Connector, and Attribute mapping.

  3. Sprawdź tworzenie katalogu.

    Screenshot of the Akamai EAA console Directories window showing that the directory superdemo.live has been added.

  4. Dodaj grupy/jednostki organizacyjne, które będą wymagały dostępu.

    Screenshot of the settings for the directory superdemo.live. The icon that you select for adding Groups or OUs is highlighted.

  5. Poniżej grupa nosi nazwę EAAGroup i ma 1 element członkowski.

    Screenshot of the Akamai EAA console GROUPS ON SUPERDEMOLIVE DIRECTORY window. The EAAGroup with 1 User is listed under Groups.

  6. Dodaj katalog do dostawcy tożsamości, klikając pozycję Dostawcy tożsamości tożsamości>, a następnie kliknij kartę Katalogi i kliknij pozycję Przypisz katalog.

    Screenshot of the Akamai EAA console Directories tab for Microsoft Entra SSO, showing superdemo.live in the list of Currently assigned directories.

Konfigurowanie delegowania KCD na potrzeby przewodnika EAA

Krok 1. Tworzenie konta

  1. W tym przykładzie użyjemy konta o nazwie EAADelegation. Można to zrobić przy użyciu przystawki przystawki i użytkowników usługi Active Directory.

    Screenshot of the Akamai EAA console Directories tab for Microsoft Entra SSO. The directory superdemo.live is listed under Currently assigned directories.

    Uwaga

    Nazwa użytkownika musi być w określonym formacie na podstawie nazwy przechwycenia tożsamości. Na rysunku 1 widzimy, że jest to corpapps.login.go.akamai-access.com

  2. Nazwa logowania użytkownika będzie:HTTP/corpapps.login.go.akamai-access.com

    Screenshot showing EAADelegation Properties with First name set to

Krok 2. Konfigurowanie nazwy SPN dla tego konta

  1. Na podstawie tego przykładu nazwa SPN będzie następująca.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Screenshot of an Administrator Command Prompt showing the results of the command setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Krok 3. Konfigurowanie delegowania

  1. Dla konta EAADelegation kliknij kartę Delegowanie.

    Screenshot of an Administrator Command Prompt showing the command for configuring the SPN.

    • Określ użycie dowolnego protokołu uwierzytelniania.
    • Kliknij pozycję Dodaj i dodaj konto puli aplikacji dla witryny internetowej Protokołu Kerberos. Jeśli nazwa SPN zostanie prawidłowo skonfigurowana, powinna zostać automatycznie rozpoznana.

Krok 4. Tworzenie pliku karty kluczy dla AKAMAI EAA

  1. Oto ogólna składnia.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Przykład objaśniony

    Fragment kodu Wyjaśnienie
    Ktpass /out EAADemo.keytab Nazwa wyjściowego pliku keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Konto delegowania UMOWY EAA
    /pass RANDOMPASS Hasło konta delegowania umowy EAA
    /crypto Wszystkie KRB5_NT_PRINCIPAL ptype zapoznaj się z dokumentacją umowy EAA usługi Akamai

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Screenshot of an Administrator Command Prompt showing the results of the command for creating a Keytab File for AKAMAI EAA.

Krok 5. Importowanie karty klucza w konsoli EAA usługi AKAMAI

  1. Kliknij pozycję Karte klawiszy systemowych>.

    Screenshot of the Akamai EAA console showing Keytabs being selected from the System menu.

  2. Na karcie Typ klucza wybierz pozycję Delegowanie protokołu Kerberos.

    Screenshot of the Akamai EAA console EAAKEYTAB screen showing the Keytab settings. The Keytab Type is set to Kerberos Delegation.

  3. Upewnij się, że na karcie Klucz jest wyświetlana wartość Wdrożono i Zweryfikowano.

    Screenshot of the Akamai EAA console KEYTABS screen listing the EAA Keytab as

  4. Środowisko użytkownika

    Screenshot of the Sign in dialog at myapps.microsoft.com.

    Screenshot of the Apps window for myapps.microsoft.com showing App icons.

  5. Dostęp warunkowy

    Screenshot showing an Approve sign in request message. the message.

    Screenshot of an Applications screen showing icons for MyHeaderApp, SSH Secure, SecretRDPApp, and myKerberosApp.

    Screenshot of the splash screen for the myKerberosApp. The message

Tworzenie użytkownika testowego aplikacji Akamai

W tej sekcji utworzysz użytkownika O nazwie B.Simon w aplikacji Akamai. We współpracy z zespołem pomocy technicznej klienta usługi Akamai dodaj użytkowników na platformie Akamai. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Akamai w Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Akamai możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.