Konfigurowanie Akamai przy użyciu Microsoft Entra External ID

Dotyczy: Najemcy zewnętrzni (dowiedz się więcej)

Aby zwiększyć ogólne bezpieczeństwo, można zintegrować rozwiązania zapory aplikacji internetowych innych firm z identyfikatorem zewnętrznym firmy Microsoft Entra. Zapora webowa pomaga chronić organizację przed atakami, takimi jak rozproszona odmowa usługi (DDoS), złośliwe boty oraz zagrożenia bezpieczeństwa według OWASP Top 10.

Zapora aplikacji internetowej Akamai (Akamai WAF) chroni aplikacje internetowe przed typowymi exploitami i lukami w zabezpieczeniach. Integrując Akamai WAF z Microsoft Entra External ID, dodajesz dodatkową warstwę zabezpieczeń dla swoich aplikacji.

Ten artykuł zawiera szczegółowe wskazówki dotyczące konfigurowania dzierżawy zewnętrznej za pomocą zapory aplikacji internetowej Akamai.

Omówienie rozwiązania

Rozwiązanie używa trzech głównych składników:

• Wynajmujący zewnętrzny — działa jako dostawca tożsamości i serwer autoryzacji, egzekwując niestandardowe zasady uwierzytelniania.
• Azure Front Door (AFD) — obsługuje routing niestandardowej domeny i przekazuje ruch do Microsoft Entra External ID.
• Zapora aplikacji internetowej Akamai — zapora funkcji ochrony aplikacji internetowej , która zarządza ruchem wysyłanym do serwera autoryzacji.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Zewnętrzny najemca .
• Konfiguracja usługi Microsoft Azure Front Door (AFD). Ruch z zapory aplikacji internetowej Akamai jest kierowany do usługi Azure Front Door, która następnie kieruje do zewnętrznego dzierżawcy.
• Konto Akamai. Jeśli go nie masz, przejdź do Sklepu zabezpieczeń , aby utworzyć i kupić konto.
• Zapora aplikacji internetowej Akamai, która zarządza ruchem wysyłanym do serwera autoryzacji.
• Domena niestandardowa w dzierżawie zewnętrznej, która jest włączona w usłudze Azure Front Door (AFD).

Kroki konfiguracji usługi Akamai

Najpierw skonfiguruj zaporę aplikacji internetowej Akamai WAF (Web Application Firewall), aby chronić niestandardowe domeny adresów URL dla Microsoft Entra External ID. Wykonaj następujące kroki, aby skonfigurować Akamai WAF.

Konfiguracja Akamai WAF

Po nawiązaniu umowy z Akamai możesz uzyskać dostęp do portalu, który umożliwia zarządzanie wszystkimi ustawieniami Akamai WAF i nie tylko. Aby skompilować początkową konfigurację, możesz wybrać jedną z dwóch opcji:

• Kreator szybkiego startu udostępnia przewodnik po przepływie pracy, który ułatwia wdrażanie bloków konstrukcyjnych chroniących ruch za pomocą WAF — zalecane, jeśli dopiero zaczynasz korzystać z Akamai. Te ustawienia można zaktualizować później, aby spełnić wymagania.
• Tryb zaawansowany zapewnia szczegółową kontrolę, konfigurując poszczególne interfejsy na potrzeby szczegółowego dostosowywania.

Aby zapoznać się ze wszystkimi możliwościami rozwiązania Akamai WAF, zobacz podręcznik użytkownika.

Kreator szybkiego startu

Usługa Akamai udostępnia kreatora szybkiego startu , który ułatwia dołączanie nowych nazw hostów i ochronę ich za pomocą rozwiązania zapory aplikacji internetowej o nazwie App & API Protector.

Ion Standard to dodatkowe rozwiązanie, które poprawia wydajność aplikacji i optymalizuje dostarczanie zawartości na platformie Akamai.

Aby uzyskać dostęp do kreatora, wybierz RozpocznijApp & API Protector + Ion Standard. Na ekranie początkowym są wyświetlane kroki wymagane do ukończenia wdrożenia. Wybierz pozycję Rozpocznij , aby rozpocząć.

Aby uzyskać więcej informacji, zapoznaj się z krokami opisanymi pod hasłem Konfigurowanie zapory aplikacji internetowej Akamai w dokumentacji usługi Akamai.

Tryb zaawansowany

Jeśli wolisz zaawansowane podejście, najpierw utwórz i skonfiguruj właściwość w Menedżerze właściwości. Właściwość to plik konfiguracji, który informuje serwery brzegowe Akamai, jak obsługiwać żądania przychodzące od użytkowników końcowych i odpowiadać na nie.

Aby dowiedzieć się więcej, zobacz Co to jest właściwość?. Aby utworzyć i skonfigurować właściwość, wykonaj następujące kroki:

Tworzenie i konfigurowanie właściwości

1. Przejdź do centrum sterowania usługi Akamai , aby się zalogować.
2. Przejdź do Menedżera właściwości.
3. W polu Wersja właściwości wybierz pozycję Standardowy lub Rozszerzony protokół TLS (zalecane).
4. Aby dodać nazwę hosta właściwości dla domeny niestandardowej, wpisz ją w polu Nazwy hostów właściwości.
   Przykład: login.domain.com

Ważne

Utwórz lub zmodyfikuj certyfikaty przy użyciu poprawnych ustawień niestandardowej nazwy domeny.
Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie nazw hostów HTTPS.

Ustawienia konfiguracji właściwości serwera pochodzenia

Użyj tych ustawień dla serwera pochodzenia:

1. W polu Typ źródła wprowadź typ źródła.
2. W polu Nazwa hosta serwera pochodzenia wprowadź nazwę hosta.
   Przykład: yourafddomain.azurefd.net
3. Dla przekazywanego nagłówka hosta wybierz nagłówek hosta przychodzącego.
4. W polu Nazwa hosta klucza pamięci podręcznej, wybierz Nagłówek hosta przychodzącego.

Konfigurowanie systemu DNS

Utwórz rekord nazwy kanonicznej (CNAME) w systemie DNS, taki jak login.domain.com, wskazujący na nazwę hosta Microsoft Edge w polu Nazwa hosta właściwości.

Konfiguracja Akamai WAF

1. Przejdź do centrum sterowania usługi Akamai , aby się zalogować.
2. Przejdź do pozycji Konfiguracje zabezpieczeń.
3. Aby utworzyć nową konfigurację zabezpieczeń, wybierz pozycję Chroń istniejącą właściwość.
4. Wprowadź nazwę konfiguracji w obszarze Szczegóły konfiguracji, a następnie wybierz pozycję Utwórz i aktywuj konfigurację w sieci produkcyjnej.
5. Aby rozpocząć pracę z konfiguracją zabezpieczeń, zobacz https://techdocs.akamai.com/cloud-security/docs/app-api-protector.
6. W kolejnej wersji konfiguracji zabezpieczeń zmień akcję w obszarze Zapora aplikacji internetowej dla grupy ataków i ustaw opcję Akcja grupy na Odmów.

Zweryfikuj WAF Akamai w identyfikatorze zewnętrznym

Po wykonaniu kroków konfiguracji sprawdź, czy zapora aplikacji internetowej Akamai chroni zewnętrzną dzierżawę, łącząc poświadczenia uwierzytelniania z konfiguracją zapory aplikacji internetowej.

Centrum administracyjne firmy Microsoft Entra

Konfiguracja dostawcy zapory aplikacji internetowej

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.

2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się na zewnętrzną dzierżawę, którą utworzyłeś wcześniej z menu Katalogi + subskrypcje.

3. Przejdź do Entra ID>Security Store.

4. Wybierz kafelek Ochrona aplikacji przed atakami DDoS przy użyciu zapory aplikacji internetowej , wybierając pozycję Rozpocznij.

5. W obszarze Wybierz dostawcę zapory aplikacji internetowej wybierz pozycję Akamai, a następnie wybierz pozycję Dalej.

   

6. Utwórz konto usługi Akamai. Jeśli nie masz jeszcze konta, utwórz je i kup w Sklepie zabezpieczeń.

7. Aby udzielić dostępu do interfejsu API Akamai w celu wykonywania akcji, utwórz poświadczenia uwierzytelniania usługi EdgeGrid i zanotuj wszystkie wygenerowane informacje (client_secret, host, access_token, client_token). Ponownie użyjesz tych wartości w dalszej części procesu konfiguracji.

Ponadto zaktualizuj ograniczenia interfejsu API dla akcji na odpowiedni poziom dostępu pokazany w poniższej tabeli:

Title	Description	Poziom dostępu
Diagnostyka przeglądarki Microsoft Edge	Diagnostyka przeglądarki Microsoft Edge	ODCZYT-ZAPIS
Menedżer właściwości (PAPI)	Menedżer ustawień (PAPI). Interfejs PAPI wymaga dostępu do nazw hostów przeglądarki Microsoft Edge. Edytuj swoje uprawnienia, aby dodać HAPI do klienta API.	Tylko do odczytu

8. Wróć do centrum administracyjnego firmy Microsoft Entra, aby ukończyć konfigurację.
9. W sekcji Konfigurowanie Akamai WAF możesz wybrać istniejącą konfigurację lub utworzyć nową. Jeśli tworzysz nową konfigurację, dodaj następujące informacje:
   • Nazwa konfiguracji: nazwa konfiguracji WAF.
   • Prefiks hosta: hostowy prefiks z poświadczeń API usługi Akamai EdgeGrid.
   • Klucz tajny klienta: Klucz tajny klienta z twoich poświadczeń API usługi Akamai EdgeGrid.
   • Token dostępu: token dostępu z poświadczeń interfejsu API usługi Akamai EdgeGrid.
   • Token klienta: token klienta z poświadczeń interfejsu API usługi Akamai EdgeGrid.

10. Wybierz pozycję Dalej , aby przejść do następnego kroku.

Weryfikacja domeny

Wybierz niestandardowe domeny URL, które usługa Azure Front Door (AFD) umożliwia weryfikować i łączyć z konfiguracją zapory aplikacyjnej usługi Akamai. Ten krok gwarantuje, że wybrane domeny są chronione za pomocą zaawansowanych funkcji zabezpieczeń.

1. Wybierz pozycję Weryfikuj domenę , aby rozpocząć proces weryfikacji.
2. Wybierz niestandardowe domeny adresów URL, które chcesz chronić za pomocą Akamai WAF, a następnie wybierz pozycję Weryfikuj.

3. Po weryfikacji wybierz pozycję Gotowe , aby ukończyć proces.

Interfejs API programu Microsoft Graph

Interfejs API programu Microsoft Graph można użyć za pomocą Eksploratora programu Graph , aby skonfigurować integrację zapory aplikacji internetowej Akamai.

Upewnij się, że obiekt wywołujący ma rolę Czytelnik danych zabezpieczeń i wyraził zgodę na uprawnienie RiskPreventionProviders.Read.All.

To uprawnienie umożliwia wywołanie POST .../riskPrevention/webApplicationFirewallProviders metody w celu utworzenia dostawcy, a następnie wywołanie POST .../riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify metody w celu zweryfikowania.

Krok 1. Utwórz dostawcę WAF Akamai za pomocą API

Upewnij się, że masz klienta interfejsu API utworzonego w usłudze Akamai. Aby udzielić dostępu do interfejsu API Akamai w celu wykonywania akcji, utwórz poświadczenia uwierzytelniania usługi EdgeGrid i zanotuj wszystkie wygenerowane informacje (client_secret, host, access_token, client_token).

Ponadto zaktualizuj ograniczenia interfejsu API dla akcji na odpowiedni poziom dostępu pokazany w poniższej tabeli:

Title	Description	Poziom dostępu
Diagnostyka przeglądarki Microsoft Edge	Diagnostyka przeglądarki Microsoft Edge	ODCZYT-ZAPIS
Menedżer właściwości (PAPI)	Menedżer ustawień (PAPI). Interfejs PAPI wymaga dostępu do nazw hostów przeglądarki Microsoft Edge. Edytuj swoje uprawnienia, aby dodać HAPI do klienta API.	Tylko do odczytu

Informacje te są wymagane, aby backend mógł wywołać usługę Akamai w Twoim imieniu, by pobrać i zweryfikować konfigurację zapory aplikacji internetowej (WAF).

Żądanie

Poniższy przykład przedstawia żądanie.

POST https://graph.microsoft.com/beta/identity/riskPrevention/webApplicationFirewallProviders
Content-Type: application/json
{
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix",
    "clientSecret": "akamai_example_secret_123",
    "clientToken": "akamai_example_token_456",
    "accessToken": "akamai_example_token_789"
}

Odpowiedź

Poniższy przykład przedstawia odpowiedź. Obiekt odpowiedzi pokazany tutaj może zostać skrócony w celu zapewnienia czytelności.

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#identity/riskPrevention/webApplicationFirewallProviders/$entity",
    "@odata.type": "#microsoft.graph.akamaiWebApplicationFirewallProvider",
    "id": "00000000-0000-0000-0000-000000000002",
    "displayName": "Akamai Provider Example",
    "hostPrefix": "akab-exampleprefix"
}

Krok 2: Zweryfikuj dostawcę WAF Akamai za pomocą API

W poniższym przykładzie pokazano, jak zweryfikować domenę za pośrednictwem webApplicationFirewallProvider za pomocą hostName.

Żądanie

Poniższy przykład przedstawia żądanie.

POST https://graph.microsoft.com/v1.0/identity/riskPrevention/webApplicationFirewallProviders/{webApplicationFirewallProviderId}/verify
Content-Type: application/json
{
  "hostName": "www.contoso.com"
}identity\authentication\tutorial-enable-cloud-sync-sspr-writeback

Odpowiedź

Poniższy przykład przedstawia odpowiedź. Obiekt odpowiedzi pokazany tutaj może zostać skrócony w celu zapewnienia czytelności.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.webApplicationFirewallVerificationModel",
    "id": "00000000-0000-0000-0000-000000000000",
    "verifiedHost": "www.contoso.com",
    "providerType": "akamai",
    "verificationResult": {
        "status": "success",
        "verifiedOnDateTime": "2025-10-04T00:50:26.4909654Z",
        "errors": [],
        "warnings": []
    },
    "verifiedDetails": {
        "@odata.type": "#microsoft.graph.akamaiVerifiedDetailsModel",
        "zoneId": "11111111111111111111111111111111",
        "dnsConfiguration": {
            "name": "www.contoso.com",
            "isProxied": true,
            "recordType": "cname",
            "value": "contoso.azurefd.net",
            "isDomainVerified": true
        },
        "enabledRecommendedRulesets": [
            {
                "rulesetId": "22222222222222222222222222222222",
                "name": "akamai Managed Ruleset",
                "phaseName": "http_request_firewall_managed"
            }
        ],
        "enabledCustomRules": [
            {
                "ruleId": "33333333333333333333333333333333",
                "name": "Block SQL Injection",
                "action": "block"
            },
            {
                "ruleId": "44444444444444444444444444444444",
                "name": "Block XSS",
                "action": "block"
            }
        ]
    }
}

Uwaga / Notatka

Operacje CRUD (tworzenie, odczyt, aktualizacja, usuwanie) dotyczące szczegółów weryfikacji dostawców mogą mieć opóźnienia do 15 minut. Jeśli usuniesz domenę, weryfikacja może potrwać do 15 minut, zanim będzie można dodać ją z powrotem.

Rozwiązywanie problemów

scenariusz	Szczegóły
Żądanie zablokowane przez Akamai WAF	Gdy zapora aplikacji internetowej Akamai blokuje żądanie, zwraca kod referencyjny usługi Akamai, taki jak 18.6f64d440.1318965461.2f2b078. Ten kod można debugować przy użyciu translatora błędów zdarzeń zabezpieczeń.
Inne narzędzia do rozwiązywania problemów	Dostępne są różne narzędzia do rozwiązywania problemów. Zapoznaj się z tymi narzędziami tutaj.

Dodatkowe zasoby

• Zarządzanie ustawieniami zabezpieczeń

  • Ustawienia wstępne konfiguracji zabezpieczeń ustawiły zaporę aplikacji internetowej na tryb powiadamiania. Aby aktywnie ograniczyć zagrożenia za pomocą usługi Akamai, zmień akcję na Odmów.
  • Usługa Akamai zapewnia kompleksową ochronę zabezpieczeń. Dowiedz się więcej tutaj.
  • Co najmniej:
    • Zmień usługę DoS Protection dla trzech zasad ograniczania szybkości na Odmów po zweryfikowaniu progów ruchu.
    • Zmień akcję grupy dla iniekcji poleceń, skryptów między witrynami, dołączania plików lokalnych, dołączania plików zdalnych, iniekcji SQL, narzędzia do ataku w sieci Web, ataku na platformę internetową i ataku protokołu internetowego na odmowę.

• Zarządzanie ustawieniami dostarczania i wydajności

  • Zapoznaj się z przydatnymi informacjami, aby zapoznać się z usługą Akamai tutaj.

• Wyświetlanie oflagowanych żądań

  • Wyświetl żądania oflagowane (zaalarmowane lub odrzucone) przez WAF Akamai w usłudze Web Security Analytics.
  • Obejrzyj krótkie filmy wideo , aby przyspieszyć podróż.