Udostępnij za pośrednictwem

Konfigurowanie aplikacji Akamai na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować aplikację Akamai z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Akamai z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Akamai.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Akamai przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Integracja usługi Microsoft Entra ID i Akamai Enterprise Application Access umożliwia bezproblemowy dostęp do starszych aplikacji hostowanych w chmurze lub lokalnie. Zintegrowane rozwiązanie korzysta z zalet wszystkich nowoczesnych funkcji identyfikatora Entra firmy Microsoft, takich jak microsoft Entra Conditional Access, Microsoft Entra ID Protection i Microsoft Entra ID Governance , aby uzyskać dostęp do starszych aplikacji bez modyfikacji aplikacji lub instalacji agentów.

Na poniższej ilustracji opisano, gdzie Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego.

Usługa Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego

Scenariusze uwierzytelniania kluczy

Oprócz obsługi natywnej integracji przez Microsoft Entra dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect, SAML i WS-Fed, Akamai EAA rozszerza bezpieczny dostęp do aplikacji uwierzytelniających opartych na starszych technologiach, zarówno dla wewnętrznego, jak i zewnętrznego dostępu przy użyciu Microsoft Entra ID, co umożliwia nowoczesne scenariusze, takie jak dostęp bez hasła do tych aplikacji. Obejmuje to:

  • Aplikacje uwierzytelniania oparte na nagłówkach
  • Zdalny pulpit
  • SSH (Secure Shell)
  • Aplikacje uwierzytelniania Kerberos
  • VNC (Wirtualne Sieciowe Przetwarzanie)
  • Anonimowe uwierzytelnianie lub brak wbudowanych aplikacji uwierzytelniania
  • Aplikacje uwierzytelniania NTLM (ochrona z podwójnymi monitami dla użytkownika)
  • Aplikacja oparta na formularzach (ochrona z podwójnymi monitami dla użytkownika)

Scenariusze integracji

Partnerstwo firmy Microsoft i Akamai EAA umożliwia elastyczność spełnienia wymagań biznesowych przez obsługę wielu scenariuszy integracji na podstawie wymagań biznesowych. Mogą one służyć do zapewnienia ochrony przed zagrożeniami typu zero-day we wszystkich aplikacjach oraz stopniowego klasyfikowania i konfigurowania odpowiednich zasad.

Scenariusz integracji 1

Akamai EAA jest konfigurowana jako pojedyncza aplikacja w identyfikatorze Entra firmy Microsoft. Administrator może skonfigurować zasady dostępu warunkowego w aplikacji i po spełnieniu warunków użytkownicy mogą uzyskać dostęp do portalu EAA usługi Akamai.

Zalety:

  • Musisz skonfigurować IDP tylko raz.

Minusy:

  • Użytkownicy mają dwa portale aplikacji.

  • Pojedyncza wspólna zasada dostępu warunkowego dla wszystkich aplikacji.

Scenariusz integracji 1

Scenariusz integracji 2

Aplikacja Akamai EAA jest konfigurowana indywidualnie w witrynie Azure Portal. Administrator może skonfigurować indywidualne zasady dostępu warunkowego w aplikacjach, a po spełnieniu warunków użytkownicy mogą być bezpośrednio przekierowywani do określonej aplikacji.

Zalety:

  • Można zdefiniować poszczególne zasady dostępu warunkowego.

  • Wszystkie aplikacje są reprezentowane na 0365 Waffle i panelu myApps.microsoft.com.

Minusy:

  • Należy skonfigurować wiele dostawców tożsamości.

Scenariusz integracji 2

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji Akamai z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Usługa Akamai obsługuje jednokrotne logowanie inicjowane przez dostawcę tożsamości.

Ważne

Wszystkie konfiguracje wymienione poniżej są takie same dla scenariusza integracji 1 i scenariusza 2. W scenariuszu integracji 2 należy skonfigurować indywidualny IDP w Akamai EAA, a właściwość adresu URL musi zostać zmodyfikowana, aby wskazywała adres URL aplikacji.

Zrzut ekranu przedstawiający zakładkę Ogólne dla AZURESSO-SP w usłudze Akamai Enterprise Application Access, gdzie wyróżnione jest pole Adres URL konfiguracji uwierzytelniania.

Aby skonfigurować integrację aplikacji Akamai z usługą Microsoft Entra ID, należy dodać aplikację Akamai z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>aplikacji dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Akamai w polu wyszukiwania.
  4. Wybierz pozycję Akamai z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla aplikacji Akamai

Skonfiguruj i przetestuj Microsoft Entra SSO z Akamai przy użyciu testowego użytkownika B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem Akamai.

Aby skonfigurować i przetestować Microsoft Entra SSO z aplikacją Akamai, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    • Utwórz użytkownika testowego Microsoft Entra — aby przetestować single sign-on Microsoft Entra z B.Simon.
    • Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego aplikacji Akamai — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie jednokrotnego logowania Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje przedsiębiorstwa>Akamai>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Edytowanie podstawowej konfiguracji protokołu SAML

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Uwaga

    Te wartości nie są prawdziwe. Zastąp te wartości rzeczywistymi wartościami identyfikatora i adresu URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Akamai, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML .

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    Link pobierania certyfikatu

  7. W sekcji Konfigurowanie aplikacji Akamai skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfiguracja SSO Akamai

Konfigurowanie dostawcy tożsamości (IDP)

Konfiguracja AKAMAI EAA IDP

  1. Zaloguj się do konsoli programu Akamai Enterprise Application Access .

  2. W konsoli Akamai EAA wybierz Tożsamość>Dostawcy Tożsamości i wybierz Dodaj dostawcę tożsamości.

    Zrzut ekranu przedstawiający okno Dostawcy tożsamości konsoli EAA usługi Akamai. Wybierz pozycję Dostawcy tożsamości w menu Tożsamość i wybierz pozycję Dodaj dostawcę tożsamości.

  3. Na stronie Create New Identity Provider (Tworzenie nowego dostawcy tożsamości ) wykonaj następujące kroki:

    a. Określ unikatową nazwę.

    b. Wybierz pozycję SAML innej firmy i wybierz pozycję Utwórz dostawcę tożsamości i skonfiguruj.

Ustawienia ogólne

Na karcie Ogólne wprowadź następujące informacje:

  1. Identity Intercept — określ nazwę domeny (podstawowy adres URL sp — jest używany dla usługi Microsoft Entra Configuration).

    Uwaga

    Możesz wybrać własną domenę niestandardową (wymaga wpisu DNS i certyfikatu). W tym przykładzie użyjemy domeny Akamai.

  2. Strefa chmury Akamai — wybierz odpowiednią strefę chmury.

  3. Weryfikacja certyfikatu — sprawdź dokumentację usługi Akamai (opcjonalnie).

Konfiguracja uwierzytelniania

  1. ADRES URL — określ identyczny z adresem URL punkt przechwytywania tożsamości (tj. miejsce, do którego użytkownicy są przekierowywani po uwierzytelnieniu).

  2. Adres URL wylogowywania: zaktualizuj adres URL wylogowywania.

  3. Podpisz żądanie SAML: domyślne niezaznaczone.

  4. W przypadku pliku metadanych IDP dodaj aplikację w konsoli Microsoft Entra ID.

    Zrzut ekranu przedstawiający konfigurację uwierzytelniania konsoli EAA usługi Akamai z ustawieniami adresu URL, adresu URL wylogowywania, żądania LOGOWANIA SAML i pliku metadanych dostawcy tożsamości.

Ustawienia sesji

Pozostaw ustawienia domyślne.

Zrzut ekranu przedstawiający okno dialogowe Ustawienia sesji konsoli EAA Akamai.

Katalogi

Na karcie Katalogi pomiń konfigurację katalogu.

Interfejs użytkownika do dostosowywania

Możesz dodać dostosowywanie do IdP. Na karcie Dostosowywanie znajdują się ustawienia dla ustawienia Dostosowywanie interfejsu użytkownika, ustawień języka i motywów.

Ustawienia zaawansowane

Na karcie Ustawienia zaawansowane zaakceptuj wartości domyślne. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Akamai.

Wdrożenie

  1. Na karcie Wdrożenie wybierz pozycję Wdróż dostawcę tożsamości.

  2. Sprawdź, czy wdrożenie zakończyło się pomyślnie.

Uwierzytelnianie oparte na nagłówku

Uwierzytelnianie oparte na nagłówkach Akamai

  1. Wybierz Niestandardowy HTTP w Kreatorze dodawania aplikacji.

    Zrzut ekranu kreatora dodawania aplikacji w konsoli Akamai EAA pokazującego pozycję CustomHTTP w sekcji Aplikacje dostępu.

  2. Wprowadź nazwę aplikacji i opis.

    Zrzut ekranu przedstawiający okno dialogowe Niestandardowej aplikacji HTTP z ustawieniami nazwy aplikacji i opisu.

    Zrzut ekranu przedstawiający kartę Ogólne konsoli EAA usługi Akamai z ustawieniami ogólnymi aplikacji MYHEADERAPP.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji.

Uwierzytelnianie

  1. Wybierz kartę Uwierzytelnianie .

    Zrzut ekranu konsoli Akamai EAA z wybraną kartą Uwierzytelnianie.

  2. Wybierz pozycję Przypisz dostawcę tożsamości.

Usługi

Wybierz pozycję Zapisz i przejdź do uwierzytelniania.

Zrzut ekranu przedstawiający kartę Usługi konsoli EAA Akamai dla aplikacji MYHEADERAPP z przyciskiem Zapisz i przejdź do AdvancedSettings w prawym dolnym rogu.

Ustawienia zaawansowane

  1. W obszarze Nagłówki HTTP klienta określ atrybut CustomerHeader i SAML.

    Zrzut ekranu zakładki Ustawienia zaawansowane konsoli Akamai EAA z wyróżnionym polem zarejestrowany adres URL logowania jednokrotnego SSO w sekcji Uwierzytelnianie.

  2. Wybierz pozycję Zapisz i przejdź do przycisku Wdrażanie .

    Zrzut ekranu karty Ustawienia zaawansowane konsoli EAA usługi Akamai, pokazujący przycisk Zapisz i przejdź do sekcji Wdrożenie w prawym dolnym rogu.

Wdrażanie aplikacji

  1. Wybierz przycisk Wdróż aplikację .

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA usługi Akamai z przyciskiem Wdróż aplikację.

  2. Sprawdź, czy aplikacja została pomyślnie wdrożona.

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA usługi Akamai z komunikatem o stanie aplikacji:

  3. Doświadczenie użytkownika końcowego.

    Zrzut ekranu przedstawiający ekran otwierania myapps.microsoft.com z obrazem tła i oknom dialogowym Logowanie.

    Zrzut ekranu przedstawiający część okna Aplikacje z ikonami Add-in, HRWEB, Akamai — CorpApps, Expense, Groups i Access reviews.

  4. Dostęp warunkowy.

    Zrzut ekranu przedstawiający komunikat: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikonę aplikacji MyHeaderApp.

Zdalny pulpit

  1. Wybierz RDP w kreatorze dodawania aplikacji.

    Zrzut ekranu kreatora dodawania aplikacji w konsoli Akamai EAA, pokazujący protokół RDP w sekcji Aplikacje dostępu.

  2. Wprowadź nazwę aplikacji, taką jak SecretRDPApp.

  3. Wybierz opis, taki jak Ochrona sesji protokołu RDP przy użyciu dostępu warunkowego firmy Microsoft Entra.

  4. Określ łącznik, który to obsługuje.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji. Skojarzone łączniki są ustawione na USWST-CON1.

Uwierzytelnianie

Na karcie Uwierzytelnianie wybierz pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Wybierz pozycję Zapisz i przejdź do pozycji Ustawienia zaawansowane.

Zrzut ekranu przedstawiający kartę Usługi konsoli EAA Akamai dla aplikacji SECRETRDPAPP z przyciskiem Zapisz i przejdź do pozycji Zaawansowane ustawienia w prawym dolnym rogu.

Ustawienia zaawansowane

  1. Wybierz pozycję Zapisz i przejdź do pozycji Wdrożenie.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli Akamai EAA dla aplikacji SECRETRDPAPP z ustawieniami konfiguracji pulpitu zdalnego.

    Zrzut ekranu przedstawiający zakładkę Ustawienia zaawansowane konsoli EAA usługi Akamai dla aplikacji SECRETRDPAPP z ustawieniami konfiguracji uwierzytelniania i kontroli stanu.

    Zrzut ekranu konsoli Akamai EAA przedstawiający ustawienia niestandardowych nagłówków HTTP dla aplikacji SECRETRDPAPP z przyciskiem 'Zapisz i przejdź do wdrożenia' w prawym dolnym rogu.

  2. Doświadczenie użytkownika końcowego

    Zrzut ekranu przedstawiający okno myapps.microsoft.com z obrazem tła i oknem dialogowym Logowanie.

    Zrzut ekranu przedstawiający okno aplikacji myapps.microsoft.com z ikonami dodatków, HRWEB, Akamai - CorpApps, Expense, Groups i Access reviews.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat dostęp warunkowy: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony aplikacji MyHeaderApp i SecretRDPApp.

    Zrzut ekranu przedstawiający ekran systemu Windows Server 2012 RS przedstawiający ogólne ikony użytkownika. Ikony administratora, użytkownika0 i użytkownika1 pokazują, że są one zalogowane.

  4. Alternatywnie możesz również bezpośrednio wpisać adres URL aplikacji RDP.

Protokół SSH

  1. Przejdź do pozycji Dodaj aplikacje, wybierz pozycję SSH.

    Zrzut ekranu kreatora dodawania aplikacji w konsoli Akamai EAA, pokazujący SSH wśród aplikacji w sekcji aplikacji dojścia.

  2. Wprowadź Nazwę aplikacji i Opis, na przykład Microsoft Entra nowoczesne uwierzytelnianie do SSH.

  3. Konfigurowanie tożsamości aplikacji.

    a. Określ nazwę/opis.

    b. Określ adres IP/nazwę FQDN serwera aplikacji i port dla protokołu SSH.

    c. Określ nazwę użytkownika/hasło SSH *Sprawdź Akamai EAA.

    d. Określ nazwę hosta zewnętrznego.

    e. Określ lokalizację łącznika i wybierz łącznik.

Uwierzytelnianie

Na karcie Uwierzytelnianie wybierz pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Wybierz pozycję Zapisz i przejdź do pozycji Ustawienia zaawansowane.

Zrzut ekranu zakładki Usługi w konsoli EAA Akamai dla SSH-SECURE, pokazujący przycisk

Ustawienia zaawansowane

Wybierz pozycję Zapisz i przejdź do pozycji Wdrażanie.

Zrzut ekranu przedstawiający kartę ustawień zaawansowanych konsoli Akamai EAA dla SSH-SECURE pokazujący ustawienia konfiguracji uwierzytelniania i kontroli stanu.

Zrzut ekranu przedstawiający ustawienia niestandardowych nagłówków HTTP w konsoli Akamai EAA dla SSH-SECURE z przyciskiem Zapisz i przejdź do wdrożenia w prawym dolnym rogu.

Wdrożenie

  1. Wybierz pozycję Wdróż aplikację.

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA usługi Akamai dla SSH-SECURE, pokazującą przycisk Wdróż aplikację.

  2. Doświadczenie użytkownika końcowego

    Zrzut ekranu przedstawiający okno logowania myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access reviews.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat: Zatwierdź żądanie logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure i SecretRDPApp.

    Zrzut ekranu przedstawiający okno polecenia dla ssh-secure-go.akamai-access.com przedstawiający wiersz polecenia.

    Zrzut ekranu przedstawiający okno polecenia dla ssh-secure-go.akamai-access.com z informacjami o aplikacji i wyświetleniem wiersza polecenia.

Uwierzytelnianie Kerberos

W poniższym przykładzie publikujemy wewnętrzny serwer internetowy na http://frp-app1.superdemo.live i włączamy logowanie jednokrotne przy użyciu KCD.

Karta Ogólna

Zrzut ekranu przedstawiający kartę Ogólne konsoli EAA firmy Akamai dla aplikacji MYKERBOROSAPP.

Zakładka Uwierzytelnianie

Na karcie Uwierzytelnianie wybierz dostawcę tożsamości.

Zakładka Usługi

Zrzut ekranu karty Services w konsoli EAA Akamai dla aplikacji MYKERBOROSAPP.

Ustawienia zaawansowane

Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA usługi Akamai dla aplikacji MYKERBOROSAPP z ustawieniami powiązanych aplikacji i uwierzytelniania.

Uwaga

Nazwa SPN dla serwera sieci Web jest w formacie SPN@Domain, na przykład: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE w ramach tej demonstracji. Pozostaw pozostałe ustawienia domyślne.

Karta Wdrażania

Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA aplikacji Akamai dla aplikacji MYKERBOROSAPP z przyciskiem Wdróż aplikację.

Dodawanie katalogu

  1. Wybierz pozycję AD z listy rozwijanej.

    Zrzut ekranu okna katalogów konsoli Akamai EAA pokazujący okno dialogowe

  2. Podaj niezbędne dane.

    Zrzut ekranu przedstawiający okno konsoli Akamai EAA SUPERDEMOLIVE z ustawieniami DirectoryName, Directory Service, Connector i mapowania atrybutów.

  3. Sprawdź tworzenie katalogu.

    Zrzut ekranu przedstawiający okno Katalogi konsoli programu Akamai EAA, pokazujący, że katalog superdemo.live został dodany.

  4. Dodaj grupy/jednostki organizacyjne, które wymagają dostępu.

    Zrzut ekranu przedstawiający ustawienia katalogu superdemo.live. Podświetlono ikonę, którą wybierasz do dodawania grup lub jednostek organizacyjnych.

  5. Poniżej grupa nosi nazwę EAAGroup i ma 1 członka.

    Zrzut ekranu okna GROUPS ON SUPERDEMOLIVE DIRECTORY konsoli Akamai EAA. EAAGroup z 1 użytkownikiem jest wyświetlana w obszarze grupy.

  6. Dodaj katalog do dostawcy tożsamości, wybierając Tożsamość, następnie >, przejdź do karty Katalogi i wybierz Przypisz katalog.

Konfigurowanie delegowania KCD na potrzeby przewodnika EAA

Krok 1. Tworzenie konta

  1. W tym przykładzie używamy konta o nazwie EAADelegation. Można to zrobić przy użyciu przystawki Użytkownicy i komputery usługi Active Directory.

    Uwaga

    Nazwa użytkownika musi być w określonym formacie w oparciu o Identity Intercept Name. Na rysunku 1 widzimy, że to jest corpapps.login.go.akamai-access.com

  2. Nazwa logowania użytkownika to:HTTP/corpapps.login.go.akamai-access.com

    Zrzut ekranu przedstawiający właściwości EAADelegation, gdzie Imię ustawiono na

Krok 2. Konfigurowanie nazwy SPN dla tego konta

  1. Na podstawie tego przykładu SPN jest następujący.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Krok 3. Konfigurowanie delegowania

  1. Dla konta EAADelegation wybierz kartę Delegowanie.

    Zrzut ekranu wiersza polecenia administratora przedstawiający polecenie służące do konfigurowania SPN.

    • Określ użycie dowolnego protokołu uwierzytelniania.
    • Wybierz pozycję Dodaj i Dodaj konto puli aplikacji dla witryny Kerberos. Powinna się automatycznie rozwiązać do prawidłowego SPN, jeśli zostanie poprawnie skonfigurowana.

Krok 4: Tworzenie pliku Keytab dla AKAMAI EAA

  1. Oto ogólna składnia.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Przykład objaśniony

    Fragment kodu Wyjaśnienie
    Ktpass /out EAADemo.keytab Nazwa wyjściowego pliku keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Konto delegowania EAA
    /pass RANDOMPASS Hasło dla konta delegowania EAA
    /crypto Wszystkie ptype KRB5_NT_PRINCIPAL zapoznaj się z dokumentacją EAA Akamai

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia służącego do tworzenia pliku keytab dla AKAMAI EAA.

Krok 5: Importowanie keytab w konsoli EAA usługi AKAMAI

  1. Wybierz System>Keytabs.

    Zrzut ekranu konsoli EAA w systemie Akamai pokazujący wybieranie Keytabs z menu System.

  2. W typie Keytab wybierz Delegowanie protokołu Kerberos.

    Zrzut ekranu konsoli Akamai EAA, ekran EAAKEYTAB pokazujący ustawienia dla Keytab. Typ Keytab jest ustawiony na Delegowanie Kerberos.

  3. Upewnij się, że Keytab jest oznaczony jako wdrożony i zweryfikowany.

    Zrzut ekranu konsoli Akamai EAA KEYTABS pokazujący status EAA Keytab jako

  4. Środowisko użytkownika

    Zrzut ekranu przedstawiający okno dialogowe logowania w myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com przedstawiający ikony aplikacji.

  5. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat zatwierdzenia żądania logowania.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure, SecretRDPApp i myKerberosApp.

    Zrzut ekranu powitalny aplikacji myKerberosApp. Komunikat

Tworzenie użytkownika testowego aplikacji Akamai

W tej sekcji utworzysz użytkownika O nazwie B.Simon w aplikacji Akamai. Pracuj z zespołem pomocy technicznej klienta usługi Akamai, aby dodać użytkowników na platformie Akamai. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami.

  • Wybierz pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka Akamai w obszarze Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Powiązana zawartość

Po skonfigurowaniu usługi Akamai możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.