Compartilhar via

Configurar o Akamai para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Akamai à ID do Microsoft Entra. Ao integrar o Akamai ao Microsoft Entra ID, é possível fazer o seguinte:

  • Controlar no Microsoft Entra ID quem tem acesso ao Akamai.
  • Permitir que seus usuários entrem automaticamente no Akamai com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

A integração de acesso a aplicativos empresariais do Microsoft Entra ID e do Akamai permite acesso contínuo a aplicativos herdados hospedados na nuvem ou localmente. A solução integrada aproveita todos os recursos modernos da ID do Microsoft Entra, como o Acesso Condicional do Microsoft Entra, o Microsoft Entra ID Protection e a Governança de ID do Microsoft Entra para acesso a aplicativos herdados sem modificações de aplicativo ou instalação de agentes.

A imagem a seguir descreve, em que o Akamai EAA se encaixa no cenário de Acesso Seguro Híbrido mais amplo.

O Akamai EAA se encaixa no cenário de Acesso Seguro Híbrido mais amplo

Cenários de autenticação de chaves

Além do suporte à integração nativa do Microsoft Entra para protocolos de autenticação modernos, como Open ID Connect, SAML e WS-Fed, a Akamai EAA estende o acesso seguro para aplicativos de autenticação herdados para acesso interno e externo com o Microsoft Entra ID, habilitando cenários modernos (por exemplo, acesso sem senha) a esses aplicativos. Isso inclui:

  • Aplicativos de autenticação baseada em cabeçalho
  • Área de Trabalho Remota
  • SSH (Secure Shell)
  • Aplicativos de autenticação Kerberos
  • VNC (Computação de Rede Virtual)
  • Autenticação anônima ou nenhum aplicativo de autenticação interno
  • Aplicativos de autenticação NTLM (proteção com prompts duplos para o usuário)
  • Aplicativo baseado em formulários (proteção com prompts duplos para o usuário)

Cenários de integração

A parceria entre a Microsoft e o EAA do Akamai permite a flexibilidade de atender aos seus requisitos de negócios, dando suporte a vários cenários de integração com base em seu requisito de negócios. Isso pode ser usado para fornecer cobertura, desde o início, para todos os aplicativos, bem como classificar e configurar gradualmente as classificações de política apropriadas.

Cenário de integração 1

O EAA do Akamai é configurado como um único aplicativo no Microsoft Entra ID. O administrador pode configurar a política de Acesso Condicional no aplicativo e, depois que as condições forem satisfeitas, os usuários poderão obter acesso ao portal do EAA do Akamai.

Profissionais:

  • você só precisa configurar o IDP uma vez.

Contras:

  • os usuários acabam tendo dois portais de aplicativos.

  • Cobertura da política de Acesso Condicional única comum para todos os aplicativos.

Cenário de integração 1

Cenário de integração 2

O Aplicativo EAA do Akamai é configurado individualmente no portal do Azure. O administrador pode configurar a política de Acesso Condicional Individual nos Aplicativos e, depois que as condições forem atendidas, os usuários poderão ser redirecionados diretamente para o aplicativo específico.

Profissionais:

  • Você pode definir Políticas de Acesso Condicional individuais.

  • Todos os aplicativos são representados no 0365 Waffle e no painel myApps.microsoft.com.

Contras:

  • Você precisa configurar vários IDPs.

Cenário de integração 2

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura do Akamai habilitada para SSO (logon único).

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

  • O Akamai dá suporte ao SSO iniciado por IDP.

Importante

Todas as configurações listadas abaixo são as mesmas para o Cenário de Integração 1 e Cenário 2. Para o cenário de integração 2 , você precisa configurar o IDP Individual no EAA do Akamai e a propriedade de URL precisa ser modificada para apontar para a URL do aplicativo.

Captura de tela da guia Geral para AZURESSO-SP no Akamai Enterprise Application Access. O campo URL de configuração de autenticação está realçado.

Para configurar a integração do Akamai ao Microsoft Entra ID, você precisará adicionar o Akamai da galeria à lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria , digite Akamai na caixa de pesquisa.
  4. Selecione Akamai no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Akamai

Configure e teste o SSO do Microsoft Entra com o Akamai usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Akamai.

Para configurar e testar o SSO do Microsoft Entra com o Akamai, execute as seguintes etapas:

  1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
    • Crie um usuário de teste do Microsoft Entra para testar o Single Sign-On do Microsoft Entra com B.Simon.
    • Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SSO do Akamai para definir as configurações de logon único no lado do aplicativo.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais>Akamai>Logon único.

  3. Na página Selecionar um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis em Configuração Básica do SAML para editar as configurações.

    Editar Configuração Básica do SAML

  5. Na seção Configuração Básica do SAML , se você quiser configurar o aplicativo no modo iniciado por IDP , insira os valores para os seguintes campos:

    um. Na caixa de texto Identificador , digite uma URL usando o seguinte padrão: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. Na caixa de texto URL de Resposta , digite uma URL usando o seguinte padrão: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador e a URL de Resposta reais. Entre em contato com a equipe de suporte ao cliente do Akamai para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML .

  6. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize o XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo em seu computador.

    O link de download do Certificado

  7. Na seção Configurar o Akamai , copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no guia de início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do Akamai

Configurando IDP

Configuração de IDP do AKAMAI EAA

  1. Entre no console do Akamai Enterprise Application Access .

  2. No console do Akamai EAA, selecioneProvedores de > e selecione Adicionar Provedor de Identidade.

    Captura de tela da janela Provedores de Identidade do console do Akamai EAA. Selecione Provedores de Identidade no menu Identidade e selecione Adicionar Provedor de Identidade.

  3. No Create New Identity Provider , execute as seguintes etapas:

    um. Especifique o Nome Exclusivo.

    b. Escolha SAML de terceiros e selecione Criar Provedor de Identidade e Configurar.

Configurações gerais

Na guia Geral , insira as seguintes informações:

  1. Interceptação de Identidade – Especifique o nome do domínio (URL base do SP – que é usada para a Configuração do Microsoft Entra).

    Observação

    Você pode optar por ter seu próprio domínio personalizado (requer uma entrada DNS e um Certificado). Neste exemplo, vamos usar o Domínio akamai.

  2. Zona de Nuvem do Akamai – Selecione a zona de nuvem apropriada.

  3. Validação de certificado – verificar a documentação do Akamai (opcional).

Configuração de autenticação

  1. URL – especifique a URL igual à sua interceptação de identidade (é aqui que os usuários são redirecionados após a autenticação).

  2. URL de Logoff: Atualize a URL de logoff.

  3. Assinar solicitação SAML: padrão desmarcado.

  4. Para o arquivo de metadados de IDP, adicione o aplicativo no console do Microsoft Entra ID.

    Captura de tela da configuração de Autenticação do console do Akamai EAA mostrando as configurações de URL, URL de Logout, Assinar Solicitação SAML e arquivo de metadados IDP.

Configurações da sessão

Deixe as configurações como padrão.

Captura de tela da caixa de diálogo configurações de sessão do console do Akamai EAA.

Diretórios

Na guia Diretórios , ignore a configuração do diretório.

Interface do usuário de personalização

É possível adicionar a personalização ao IDP. Na guia Personalização , há configurações para Personalizar interface do usuário, configurações de idioma e temas.

Configurações Avançadas

Na guia Configurações avançadas , aceite os valores padrão. Veja a documentação do Akamai para obter mais detalhes.

Implantação

  1. Na guia Implantação , selecione Implantar Provedor de Identidade.

  2. Verifique se a implantação foi bem-sucedida.

Autenticação baseada em cabeçalho

Autenticação baseada em cabeçalho do Akamai

  1. Escolha o formulário HTTP personalizado do Assistente para Adicionar Aplicativos.

    Captura de tela do assistente de configuração para adicionar aplicativos do console do Akamai EAA, mostrando

  2. Insira o nome e a descrição do aplicativo.

    Captura de tela de uma caixa de diálogo Aplicativo HTTP Personalizado mostrando as configurações de Nome e Descrição do Aplicativo.

    Captura de tela da guia Geral do console do Akamai EAA mostrando as configurações gerais para MYHEADERAPP.

    Captura de tela do console do Akamai EAA mostrando as configurações de Certificado e Localização.

Autenticação

  1. Selecione a guia Autenticação .

    Captura de tela do console do Akamai EAA com a guia Autenticação selecionada.

  2. Selecione Atribuir provedor de identidade.

Serviços

Selecione Salvar e Ir para Autenticação.

Captura de tela da guia Serviços do console Akamai EAA para MYHEADERAPP, mostrando o botão

Configurações Avançadas

  1. Nos cabeçalhos HTTP do cliente, especifique CustomerHeader e atributo SAML.

    Captura de tela da aba Configurações Avançadas do console do Akamai EAA mostrando o campo URL registrado pelo SSO destacado sob Autenticação.

  2. Selecione Salvar e vá para o botão Implantação .

    Captura de tela da guia Configurações Avançadas do console do Akamai EAA mostrando o botão Salvar e ir para Implantação no canto inferior direito.

Implantar o aplicativo

  1. Selecione o botão Implantar Aplicativo .

    Captura de tela da guia Implantação do console do Akamai EAA mostrando o botão Implantar aplicativo.

  2. Verifique se o aplicativo foi implantado com êxito.

    Captura de tela da guia Implantação do console do Akamai EAA mostrando a mensagem de status do aplicativo:

  3. Experiência do usuário final.

    Captura de tela da tela de abertura do myapps.microsoft.com com uma imagem de plano de fundo e uma caixa de diálogo para entrar.

    Captura de tela mostrando parte de uma janela de Aplicativos com ícones para complementos, HRWEB, Akamai – CorpApps, Despesas, Grupos e Revisões de acesso.

  4. Acesso Condicional.

    Captura de tela da mensagem: aprovar a solicitação de entrada. Enviamos uma notificação para seu dispositivo móvel. Responda para continuar.

    Captura de tela de uma tela de Aplicativos mostrando um ícone para o MyHeaderApp.

Área de Trabalho Remota

  1. Escolha RDP no Assistente de Aplicativos de Adição.

    Captura de tela do assistente Adicionar Aplicativos do console do Akamai EAA mostrando o RDP listado entre os aplicativos na seção Aplicativos de Acesso.

  2. Insira o Nome do Aplicativo, como SecretRDPApp.

  3. Selecione uma descrição, como Proteger sessão RDP usando o Acesso Condicional do Microsoft Entra.

  4. Especifique o Conector que está atendendo a isso.

    Captura de tela do console do Akamai EAA mostrando as configurações de Certificado e Localização. Os conectores associados são definidos como USWST-CON1.

Autenticação

Na guia Autenticação , selecione Salvar e ir para Serviços.

Serviços

Selecione Salvar e ir para Configurações Avançadas.

Captura de tela da guia Serviços do console Akamai EAA para SECRETRDPAPP, mostrando o botão Salvar e ir para Configurações Avançadas no canto inferior direito.

Configurações Avançadas

  1. Selecione Salvar e ir para a Implantação.

    Captura de tela da guia Configurações Avançadas do console do Akamai EAA para SECRETRDPAPP mostrando as configurações da área de trabalho remota.

    Captura de tela da guia Configurações Avançadas do console do Akamai EAA para SECRETRDPAPP mostrando as configurações de autenticação e verificação de integridade.

    Captura de tela das configurações de cabeçalhos HTTP personalizados do console do Akamai EAA para SECRETRDPAPP com o botão Salvar e prosseguir para Implementação no canto inferior direito.

  2. Experiência do usuário final

    Captura de tela de uma janela myapps.microsoft.com com uma imagem de plano de fundo e uma caixa de diálogo Entrar.

    Captura de tela da janela Aplicativos do myapps.microsoft.com com ícones para Suplemento, HRWEB, Akamai – CorpApps, Despesas, Grupos e Revisões de acesso.

  3. Acesso Condicional

    Captura de tela da mensagem acesso condicional: aprovar a solicitação de entrada. Enviamos uma notificação para seu dispositivo móvel. Responda para continuar.

    Captura de tela de uma tela de Aplicativos mostrando ícones para os aplicativos MyHeaderApp e SecretRDPApp.

    Captura de tela da tela do Windows Server 2012 RS mostrando ícones de usuário genéricos. Os ícones para administrador, usuário0 e user1 mostram que eles estão conectados.

  4. Como alternativa, você também pode digitar diretamente a URL do aplicativo RDP.

SSH

  1. Vá para Adicionar Aplicativos, escolha SSH.

    Captura de tela do assistente para adicionar aplicativos do console do Akamai EAA mostrando o SSH listado na seção de aplicativos de acesso.

  2. Digite o nome do aplicativo e a descrição, como autenticação moderna para SSH do Microsoft Entra.

  3. Configure a identidade do aplicativo.

    um. Especifique nome/descrição.

    b. Especifique o IP/FQDN do servidor de aplicativos e a porta para SSH.

    c. Especifique o nome de usuário/senha de SSH *Verifique a EAA do Akamai.

    d. Especifique o nome do host externo.

    e. Especifique o local para o conector e escolha o conector.

Autenticação

Na guia Autenticação , selecione Salvar e ir para Serviços.

Serviços

Selecione Salvar e ir para Configurações Avançadas.

Captura de tela da guia Serviços do console do EAA Akamai para SSH-SECURE mostrando o botão Salvar e ir para Configurações Avançadas no canto inferior direito.

Configurações Avançadas

Selecione Salvar e para ir à seção de Implantação.

Captura de tela da guia Configurações Avançadas do console do Akamai EAA para SSH-SECURE mostrando as configurações de autenticação e configuração de verificação de integridade.

Captura de tela das configurações de cabeçalhos HTTP personalizados do console do Akamai EAA para SSH-SECURE com o botão Salvar e ir para Implantação no canto inferior direito.

Implantação

  1. Selecione Implantar aplicativo.

    Captura de tela da guia Implantação do console do Akamai EAA para SSH-SECURE mostrando o botão Implantar aplicativo.

  2. Experiência do usuário final

    Captura de tela de uma caixa de diálogo de entrada da janela myapps.microsoft.com.

    Captura de tela da janela Aplicativos para myapps.microsoft.com mostrando ícones para Suplemento, HRWEB, Akamai - CorpApps, Despesas, Grupos e Análises de Acesso.

  3. Acesso Condicional

    Captura de tela mostrando a mensagem: Aprovar a solicitação de entrada. Enviamos uma notificação para seu dispositivo móvel. Responda para continuar.

    Captura de tela de uma tela de aplicativos mostrando ícones para MyHeaderApp, SSH Secure e SecretRDPApp.

    Captura de tela de uma janela de comando para ssh-secure-go.akamai-access.com mostrando um prompt de senha.

    Captura de tela de uma janela de comando para ssh-secure-go.akamai-access.com mostrando informações sobre o aplicativo e exibindo um prompt para comandos.

Autenticação Kerberos

No exemplo a seguir, publicamos um servidor http://frp-app1.superdemo.live Web interno e habilitamos o SSO usando KCD.

Guia Geral

Captura de tela da guia Geral do console do Akamai EAA para MYKERBOROSAPP.

Guia Autenticação

Na guia Autenticação, atribua o Provedor de Identidade.

Guia Serviços

Captura de tela da guia Serviços do console do Akamai EAA para MYKERBOROSAPP.

Configurações Avançadas

Captura de tela da guia Configurações Avançadas do console do Akamai EAA para MYKERBOROSAPP mostrando as configurações de Aplicativos e Autenticação Relacionados.

Observação

O SPN para o Servidor Web está no Formato SPN@Domain, ex: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE, para esta demonstração. Deixe o restante das configurações como padrão.

Guia Implantação

Captura de tela da guia Implantação do console do Akamai EAA para MYKERBOROSAPP mostrando o botão Implantar aplicativo.

Adicionando diretório

  1. Selecione AD na lista suspensa.

    Captura de tela da janela Diretórios do console do Akamai EAA mostrando uma caixa de diálogo Criar Novo Diretório com o AD selecionado na lista suspensa para o Tipo de Diretório.

  2. Forneça os dados necessários.

    Captura de tela da janela SUPERDEMOLIVE do console do Akamai EAA com configurações para o Nome do Diretório, Serviço de Diretório, Conector e Mapeamento de Atributo.

  3. Verifique a criação do diretório.

    Captura de tela da janela Diretórios do console do Akamai EAA mostrando que o diretório superdemo.live foi adicionado.

  4. Adicione os Grupos/UOs que precisariam de acesso.

    Captura de tela das configurações do diretório superdemo.live. O ícone selecionado para adicionar Grupos ou UOs está realçado.

  5. Abaixo, o grupo é chamado de EAAGroup e tem um membro.

    Captura de tela da janela GRUPOS de console do Akamai EAA NO DIRETÓRIO SUPERDEMOLIVE. O EAAGroup com 1 Usuário está listado em Grupos.

  6. Adicione o diretório ao provedor de identidade selecionandoProvedores de > e selecione a guia Diretórios e selecione Atribuir diretório.

Passo a passo da configuração da delegação de KCD para EAA

Etapa 1: Criar uma conta

  1. No exemplo, usamos uma conta chamada EAADelegation. Você pode executar isso usando os usuários do Active Directory e o snappin do computador .

    Observação

    O nome de usuário deve estar em um formato específico com base no Nome de Identificação Interceptada. Na figura 1, vemos que é corpapps.login.go.akamai-access.com

  2. O nome do logon do usuário é:HTTP/corpapps.login.go.akamai-access.com

    Captura de tela mostrando as propriedades EAADelegation com o primeiro nome definido como

Etapa 2: configurar o SPN para essa conta

  1. Com base neste exemplo, o SPN é o seguinte.

  2. setspn -s eaadelegation http/corpapps.login.go.akamai-access.com

    Captura de tela de um Prompt de Comando do Administrador mostrando os resultados do comando setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Etapa 3: configurar a delegação

  1. Para a conta EAADelegation, selecione a guia Delegação.

    Captura de tela de um Prompt de Comando do Administrador mostrando o comando para configurar o SPN.

    • Especifique o uso de qualquer protocolo de autenticação.
    • Selecione Adicionar e insira a Conta do Pool de Aplicativos para o site Kerberos. Isso deve ser resolvido automaticamente para o SPN correto, se configurado corretamente.

Etapa 4: criar um arquivo Keytab para o EAA do AKAMAI

  1. Aqui está a sintaxe genérica.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Exemplo explicado

    Fragmento Explicação
    Ktpass /out EAADemo.keytab // O nome do arquivo Keytab de saída
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // Conta de delegação do EAA
    /pass RANDOMPASS // Conta de delegação do EAA Senha
    /crypto All ptype KRB5_NT_PRINCIPAL // Documentação do EAA do Akamai de consultoria

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Captura de tela de um Prompt de Comando do Administrador mostrando os resultados do comando para criar um Arquivo de Keytab para AKAMAI EAA.

Etapa 5: importar Keytab no console do EAA do AKAMAI

  1. SelecioneKeytabs>.

    Captura de tela do console do Akamai EAA mostrando os Keytabs sendo selecionados no menu Sistema.

  2. No Tipo de Keytab, escolha Delegação Kerberos.

    Captura de tela da tela EAAKEYTAB do console EAA do Akamai mostrando as configurações do Keytab. O Tipo de Keytab está configurado como Delegação Kerberos.

  3. Verifique se Keytab aparece como Implantado e Verificado.

    Captura de tela da página KEYTABS do console EAA do Akamai listando o Keytab do EAA como

  4. Experiência de usuário

    Captura de tela da caixa de diálogo de login no myapps.microsoft.com.

    Captura de tela da janela Aplicativos para myapps.microsoft.com mostrando ícones do aplicativo.

  5. Acesso Condicional

    Captura de tela mostrando uma mensagem de solicitação de entrada aprovada. a mensagem.

    Captura de tela de uma tela de Aplicativos mostrando ícones para MyHeaderApp, SSH Secure, SecretRDPApp e myKerberosApp.

    Captura de tela inicial do myKerberosApp. A mensagem

Criar usuário de teste do Akamai

Nesta seção, você criará um usuário chamado B.Fernandes no Akamai. Trabalhe com a equipe de suporte ao cliente akamai para adicionar os usuários na plataforma Akamai. Os usuários devem ser criados e ativados antes de usar o logon único.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Selecione Testar este aplicativo e você deverá ser conectado automaticamente ao Akamai para o qual configurou o SSO.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao selecionar o bloco do Akamai em Meus Aplicativos, você deverá ser conectado automaticamente ao Akamai para o qual configurou o SSO. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Akamai, você poderá impor um controle de sessão, que protege contra exfiltração e infiltração de dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.