Partilhar via

Configurar a Akamai para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar a Akamai com o Microsoft Entra ID. Ao integrar a Akamai com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso à Akamai.
  • Permita que seus usuários entrem automaticamente na Akamai com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

A integração do Microsoft Entra ID e do Akamai Enterprise Application Access permite o acesso contínuo a aplicativos herdados hospedados na nuvem ou no local. A solução integrada aproveita todos os recursos modernos do Microsoft Entra ID, como de Acesso Condicional do Microsoft Entra, de Proteção de ID do Microsoft Entra e de Governança de ID do Microsoft Entra para acesso a aplicativos herdados sem modificações de aplicativos ou instalação de agentes.

A imagem a seguir descreve onde a Akamai EAA se encaixa no cenário mais amplo de Acesso Seguro Híbrido.

A Akamai EAA se encaixa no cenário mais amplo de Acesso Seguro Híbrido

Cenários de autenticação de chave

Além do suporte à integração nativa do Microsoft Entra para protocolos de autenticação modernos, como OpenID Connect, SAML e WS-Fed, o Akamai EAA estende o acesso seguro para aplicativos de autenticação baseados em legado para acesso interno e externo com o Microsoft Entra ID, permitindo cenários modernos (como acesso sem senha) a esses aplicativos. Isto inclui:

  • Aplicativos de autenticação baseados em cabeçalho
  • Ambiente de Trabalho Remoto
  • SSH (Shell Seguro)
  • Aplicativos de autenticação Kerberos
  • VNC (Computação em Rede Virtual)
  • Autenticação anónima ou sem aplicações de autenticação incorporadas
  • Aplicativos de autenticação NTLM (proteção com prompts duplos para o usuário)
  • Aplicativo baseado em formulários (proteção com prompts duplos para o usuário)

Cenários de integração

A parceria entre a Microsoft e a Akamai EAA permite a flexibilidade de atender aos seus requisitos de negócios, oferecendo suporte a vários cenários de integração com base em seus requisitos de negócios. Eles podem ser usados para fornecer cobertura de dia zero em todos os aplicativos e classificar e configurar gradualmente as classificações de política apropriadas.

Cenário de integração 1

O Akamai EAA é configurado como uma única aplicação no Microsoft Entra ID. O administrador pode configurar a política de Acesso Condicional no Aplicativo e, uma vez satisfeitas as condições, os usuários podem obter acesso ao Portal EAA da Akamai.

Prós:

  • Você só precisa configurar o IDP uma vez.

Contras:

  • Os utilizadores acabam por ter dois portais de aplicações.

  • Cobertura da política de Acesso Condicional Comum Único para todas as Aplicações.

Cenário de integração 1

Cenário de integração 2

O Aplicativo EAA da Akamai é configurado individualmente no portal do Azure. O administrador pode configurar a política de Acesso Condicional Individual no(s) Aplicativo(s) e, uma vez satisfeitas as condições, os usuários podem ser redirecionados diretamente para o aplicativo específico.

Prós:

  • Você pode definir políticas de acesso condicional individuais.

  • Todos os aplicativos são representados no Painel Waffle do O365 e no myApps.microsoft.com.

Contras:

  • Você precisa configurar vários IDP.

Cenário de integração 2

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para logon único (SSO) da Akamai.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • A Akamai suporta SSO iniciado pelo IDP.

Importante

Todas as configurações listadas abaixo são as mesmas para o Cenário de Integração 1 e o Cenário 2. Para o cenário de integração 2 , você precisa configurar o IDP individual no EAA da Akamai e a propriedade URL precisa ser modificada para apontar para a URL do aplicativo.

Captura de tela da guia Geral para AZURESSO-SP no Akamai Enterprise Application Access. O campo URL de configuração de autenticação é realçado.

Para configurar a integração da Akamai no Microsoft Entra ID, você precisa adicionar a Akamai da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
  3. Na seção Adicionar da galeria , digite Akamai na caixa de pesquisa.
  4. Selecione Akamai no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para Akamai

Configure e teste o Microsoft Entra SSO com a Akamai usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado na Akamai.

Para configurar e testar o Microsoft Entra SSO com a Akamai, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    • Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    • Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SSO da Akamai - para definir as configurações de logon único no lado do aplicativo.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Entra ID>Enterprise apps>Akamai>Single sign-on.

  3. Na página Selecione um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML, selecione o ícone de lápis em Configuração Básica de SAML e edite as definições.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML , se desejar configurar o aplicativo no modo iniciado pelo IDP , insira os valores para os seguintes campos:

    a) Na caixa de texto Identificador , digite uma URL usando o seguinte padrão: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b) Na caixa de texto URL de resposta , digite uma URL usando o seguinte padrão: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Nota

    Esses valores não são reais. Atualize esses valores com o Identificador e a URL de resposta reais. Entre em contato com a equipe de suporte ao cliente da Akamai para obter esses valores. Você também pode consultar os padrões mostrados na seção de Configuração Básica do SAML.

  6. Na página Configurar logon único com SAML, na secção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo no seu computador.

    O link de download do certificado

  7. Na seção Configurar a Akamai , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copiar URLs de configuração

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO da Akamai

Configurando IDP

Configuração do AKAMAI EAA IDP

  1. Faça login no console do Akamai Enterprise Application Access .

  2. No console EAA da Akamai, selecione Provedores> deidentidade e selecione Adicionar provedor de identidade.

    Captura de tela da janela Provedores de identidade do console EAA da Akamai. Selecione Provedores de identidade no menu Identidade e selecione Adicionar provedor de identidade.

  3. Em Criar novo provedor de identidade , execute as seguintes etapas:

    a) Especifique o nome exclusivo.

    b) Escolha SAML de terceiros e selecione Criar provedor de identidade e configurar.

Definições Gerais

Na guia Geral , insira as seguintes informações:

  1. Identity Intercept - Especifique o nome do domínio (URL base do SP – é usado para a Configuração do Microsoft Entra).

    Nota

    Pode optar por ter o seu próprio domínio personalizado (requer uma entrada DNS e um Certificado). Neste exemplo, vamos usar o Domínio Akamai.

  2. Akamai Cloud Zone - Selecione a zona de nuvem apropriada.

  3. Validação do Certificado - Verifique a Documentação da Akamai (opcional).

Configuração de autenticação

  1. URL – Especifique o URL igual ao seu interceto de identidade (é para onde os usuários são redirecionados após a autenticação).

  2. URL de logout: atualize o URL de logout.

  3. Assinar solicitação SAML: predefinição desativada.

  4. Para o Arquivo de Metadados IDP, adicione a Aplicação na Consola de ID do Microsoft Entra.

    Captura de tela da configuração de Autenticação do console EAA da Akamai mostrando as definições de URL, URL de Logout, Solicitação SAML de Assinatura e Arquivo de Metadados IDP.

Configurações da sessão

Deixe as configurações como padrão.

Captura de tela da caixa de diálogo Configurações de sessão do console EAA da Akamai.

Diretórios

Na guia Diretórios , ignore a configuração do diretório.

Interface do usuário de personalização

Você pode adicionar personalização ao IDP. Na guia Personalização , há configurações para Personalizar interface do usuário, Configurações de idioma e Temas.

Definições Avançadas

Na guia Configurações avançadas , aceite os valores padrão. Consulte a documentação da Akamai para obter mais detalhes.

Implementação

  1. Na guia Implantação , selecione Implantar provedor de identidade.

  2. Verifique se a implantação foi bem-sucedida.

Autenticação baseada em cabeçalho

Autenticação baseada em cabeçalho Akamai

  1. Escolha Formulário HTTP personalizado no Assistente para Adicionar Aplicativos.

    Captura de tela do assistente Adicionar Aplicativos do console EAA da Akamai mostrando CustomHTTP listado na seção Access Apps.

  2. Insira o nome e a descrição do aplicativo.

    Captura de tela de uma caixa de diálogo Aplicativo HTTP personalizado mostrando configurações para Nome e Descrição do Aplicativo.

    Captura de tela da guia Geral do console EAA da Akamai mostrando as configurações gerais para MYHEADERAPP.

    Captura de tela do console EAA da Akamai mostrando as configurações de Certificado e Local.

Autenticação

  1. Selecione a guia Autenticação .

    Captura de tela do console EAA da Akamai com a guia Autenticação selecionada.

  2. Selecione Atribuir provedor de identidade.

Serviços

Selecione Salvar e vá para Autenticação.

Captura de tela da guia Serviços do console EAA da Akamai para MYHEADERAPP mostrando o botão Salvar e ir para Configurações Avançadas no canto inferior direito.

Definições Avançadas

  1. Em Cabeçalhos HTTP do Cliente, especifique o CustomerHeader e o Atributo SAML.

    Captura de tela da guia Configurações Avançadas do console EAA da Akamai mostrando o campo URL Registrado SSO realçado em Autenticação.

  2. Selecione Salvar e vá para o botão Implantação .

    Captura de tela da guia Configurações avançadas do console EAA da Akamai mostrando o botão Salvar e ir para Implantação no canto inferior direito.

Implantar o aplicativo

  1. Selecione o botão Implantar aplicativo .

    Captura de tela da guia Implantação do console EAA da Akamai mostrando o botão Implantar aplicativo.

  2. Verifique se o aplicativo foi implantado com êxito.

    Captura de tela da guia Implantação do console EAA da Akamai mostrando a mensagem de status do aplicativo:

  3. Experiência do usuário final.

    Captura de ecrã do ecrã de abertura para myapps.microsoft.com com uma imagem de fundo e uma caixa de diálogo Iniciar sessão.

    Captura de tela mostrando parte de uma janela Apps com ícones para avaliações de Add-in, HRWEB, Akamai - CorpApps, Expense, Groups e Access.

  4. Acesso condicional.

    Captura de ecrã da mensagem: Aprovar pedido de início de sessão. Enviámos uma notificação para o seu dispositivo móvel. Por favor, responda para continuar.

    Captura de ecrã de um ecrã de Aplicações que mostra um ícone para MyHeaderApp.

Ambiente de Trabalho Remoto

  1. Escolha RDP no Assistente para Adicionar Aplicações.

    Captura de ecrã do assistente Adicionar Aplicações da consola EAA da Akamai a mostrar o RDP listado entre as aplicações na secção Aplicações de Acesso.

  2. Insira Nome do aplicativo, como SecretRDPApp.

  3. Selecione uma Descrição, como Proteger sessão RDP usando o acesso condicional do Microsoft Entra.

  4. Especifique o Conector que está atendendo a isso.

    Captura de ecrã do console EAA da Akamai mostrando as configurações de Certificado e Local. Conectores associados são definidos como USWST-CON1.

Autenticação

Na guia Autenticação , selecione Salvar e vá para Serviços.

Serviços

Selecione Salvar e vá para Configurações avançadas.

Captura de tela da guia Serviços do console EAA da Akamai para SECRETRDPAPP mostrando o botão Salvar e ir para Configurações Avançadas no canto inferior direito.

Definições Avançadas

  1. Selecione Salvar e vá para Implantação.

    Captura de tela da guia Configurações avançadas do console EAA da Akamai para SECRETRDPAPP mostrando as configurações da área de trabalho remota.

    Captura de tela da guia Configurações avançadas do console EAA da Akamai para SECRETRDPAPP mostrando as configurações de Autenticação e verificação de integridade.

    Captura de tela das configurações de cabeçalhos HTTP personalizados do console EAA da Akamai para SECRETRDPAPP com o botão Salvar e ir para Implantação no canto inferior direito.

  2. Experiência do usuário final

    Captura de ecrã de uma janela myapps.microsoft.com com uma imagem de fundo e uma caixa de diálogo Iniciar sessão.

    Captura de ecrã da janela de Apps em myapps.microsoft.com com ícones para Add-in, HRWEB, Akamai - CorpApps, Expense, Groups e Access reviews.

  3. Acesso Condicional

    Captura de ecrã da mensagem de Acesso Condicional: Aprovar pedido de início de sessão. Enviámos uma notificação para o seu dispositivo móvel. Por favor, responda para continuar.

    Captura de ecrã de um ecrã de aplicações a mostrar ícones para as MyHeaderApp e SecretRDPApp.

    Captura de ecrã do ecrã RS do Windows Server 2012 a mostrar ícones de utilizador genéricos. Os ícones de administrador, user0 e user1 mostram que eles estão conectados.

  4. Como alternativa, você também pode digitar diretamente a URL do aplicativo RDP.

CHS

  1. Vá para Adicionar aplicativos, escolha SSH.

    Captura de ecrã do assistente Adicionar Aplicações da consola EAA da Akamai a mostrar SSH listado entre as aplicações na secção de Aplicações de Acesso.

  2. Insira Nome do Aplicativo e Descrição, como autenticação moderna do Microsoft Entra para SSH.

  3. Configure a identidade do aplicativo.

    a) Especifique Nome / Descrição.

    b) Especifique o IP/FQDN do servidor de aplicativos e a porta para SSH.

    c. Especifique o nome de usuário / frase secreta SSH *Verifique Akamai EAA.

    d. Especifique o Nome do host externo.

    e. Especifique o local para o conector e escolha o conector.

Autenticação

Na guia Autenticação , selecione Salvar e vá para Serviços.

Serviços

Selecione Salvar e vá para Configurações avançadas.

Captura de tela da guia Serviços do console EAA da Akamai para SSH-SECURE mostrando o botão Salvar e ir para Configurações avançadas no canto inferior direito.

Definições Avançadas

Selecione Guardar e depois ir para Implementação.

Captura de tela da guia Configurações avançadas do console EAA da Akamai para SSH-SECURE mostrando as configurações de Autenticação e verificação de integridade.

Captura de ecrã das configurações de cabeçalhos HTTP personalizados do console EAA da Akamai para SSH-SECURE com o botão Salvar e ir para Implementação no canto inferior direito.

Implementação

  1. Selecione Implantar aplicativo.

    Captura de tela da guia Implantação do console EAA da Akamai para SSH-SECURE mostrando o botão Implantar aplicativo.

  2. Experiência do usuário final

    Captura de ecrã de uma janela myapps.microsoft.com Caixa de diálogo Iniciar sessão.

    Captura de ecrã da janela Aplicações para myapps.microsoft.com que mostra ícones para Complementos, HRWEB, Akamai - CorpApps, Despesa, Grupos e revisões de acesso.

  3. Acesso Condicional

    Captura de ecrã a mostrar a mensagem: Aprovar pedido de início de sessão. Enviámos uma notificação para o seu dispositivo móvel. Por favor, responda para continuar.

    Captura de ecrã do ecrã de Aplicações a mostrar ícones para MyHeaderApp, SSH Secure e SecretRDPApp.

    Captura de tela de uma janela de comando para ssh-secure-go.akamai-access.com mostrando um prompt de senha.

    Captura de tela de uma janela de comando para ssh-secure-go.akamai-access.com mostrando informações sobre o aplicativo e exibindo um prompt para comandos.

Autenticação Kerberos

No exemplo a seguir, publicamos um servidor Web interno em http://frp-app1.superdemo.live e habilitamos o SSO usando o KCD.

Aba Geral

Captura de tela da guia Geral do console EAA da Akamai para MYKERBOROSAPP.

Aba de Autenticação

Na guia Autenticação, atribua o Provedor de Identidade.

Aba de Serviços

Captura de ecrã do separador Serviços do console EAA da Akamai para MYKERBOROSAPP.

Definições Avançadas

Captura de ecrã do separador Definições Avançadas da consola EAA da Akamai para MYKERBOROSAPP a mostrar definições para Aplicações Relacionadas e Autenticação.

Nota

O SPN do servidor Web foi no formato SPN@Domain, ex: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE para esta demonstração. Deixe o restante das configurações como padrão.

Aba de Implementação

Captura de tela da guia Implantação do console EAA da Akamai para MYKERBOROSAPP mostrando o botão Implantar aplicativo.

Adicionando diretório

  1. Selecione AD na lista suspensa.

    Captura de ecrã da janela Diretórios do console EAA da Akamai mostrando uma caixa de diálogo Criar Novo Diretório com AD selecionado na lista suspensa para Tipo de Diretório.

  2. Forneça os dados necessários.

    Captura de tela da janela SUPERDEMOLIVE do console da Akamai EAA com configurações para DirectoryName, Directory Service, Connector e Attribute mapping.

  3. Verifique a criação do diretório.

    Captura de tela da janela Diretórios do console EAA da Akamai mostrando que o diretório superdemo.live foi adicionado.

  4. Adicione os Grupos/UOs que precisariam de acesso.

    Captura de tela das configurações para o diretório superdemo.live. O ícone selecionado para adicionar Grupos ou UOs é realçado.

  5. No quadro abaixo o Grupo chama-se EAAGroup e tem 1 Membro.

    Captura de tela da janela GROUPS ON SUPERDEMOLIVE DIRECTORY do console da Akamai EAA. O EAAGroup com 1 Usuário está listado em Grupos.

  6. Adicione o diretório ao seu provedor de identidade selecionando Provedores> deidentidade e selecione a guia Diretórios e selecione Atribuir diretório.

Configurar a delegação KCD no contexto de um tutorial EAA

Etapa 1: Criar uma conta

  1. No exemplo, usamos uma conta chamada EAADelegation . Você pode executar isso usando o Snap-in de usuários e computadores do Active Directory.

    Nota

    O nome de utilizador deve estar num formato específico com base no Nome de Interceptação de Identidade. Pela figura 1, vemos que é corpapps.login.go.akamai-access.com

  2. O nome de logon do usuário é:HTTP/corpapps.login.go.akamai-access.com

    Captura de ecrã a mostrar as Propriedades EAADelegation com Primeiro nome definido como

Etapa 2: Configurar o SPN para esta conta

  1. Com base neste exemplo, o SPN é o seguinte.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Captura de ecrã de uma linha de comandos de administrador que mostra os resultados do comando setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Etapa 3: Configurar a delegação

  1. Para a conta EAADelegation, selecione a guia Delegação.

    Captura de tela de um prompt de comando do administrador mostrando o comando para configurar o SPN.

    • Especifique usar qualquer protocolo de autenticação.
    • Selecione Adicionar e adicione a conta da App Pool para o site Kerberos. Ele deve resolver automaticamente para corrigir o SPN, se configurado corretamente.

Etapa 4: Criar um arquivo Keytab para AKAMAI EAA

  1. Aqui está a sintaxe genérica.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto Todos /ptype KRB5_NT_PRINCIPAL

  3. Exemplo explicado

    Fragmento Explicação
    Ktpass /out EAADemo.keytab Nome do arquivo Keytab de saída
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /map usuário eaadelegation@superdemo.live Conta da delegação da EAA
    /passe RANDOMPASS Senha da conta de delegação EAA
    /crypto Todos os ptype KRB5_NT_PRINCIPAL consulte a documentação da Akamai EAA

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto Todos os ptype KRB5_NT_PRINCIPAL

    Captura de tela de um prompt de comando do administrador mostrando os resultados do comando para criar um arquivo Keytab para AKAMAI EAA.

Passo 5: Importar o Keytab na consola da AKAMAI EAA

  1. Selecione Teclas do sistema>.

    Captura de tela do console EAA da Akamai mostrando Keytabs sendo selecionados no menu Sistema.

  2. No Keytab Type, escolha Kerberos Delegation.

    Captura de tela da tela EAAKEYTAB do console EAA da Akamai mostrando as configurações do Keytab. O Tipo de Keytab está definido como Delegação Kerberos.

  3. Verifique se o Keytab aparece como Implantado e Verificado.

    Captura de tela da tela KEYTABS do console EAA da Akamai listando o Keytab EAA como

  4. Experiência de Utilizador

    Captura de ecrã da caixa de diálogo Iniciar sessão no myapps.microsoft.com.

    Captura de ecrã da janela Apps para myapps.microsoft.com mostrando ícones de Apps.

  5. Acesso Condicional

    Captura de ecrã a mostrar uma mensagem de pedido para Aprovar a entrada. A mensagem.

    Captura de ecrã do ecrã de Aplicações a mostrar ícones para MyHeaderApp, SSH Secure, SecretRDPApp e myKerberosApp.

    Captura de tela da tela inicial do myKerberosApp. A mensagem

Criar usuário de teste da Akamai

Nesta seção, você cria um usuário chamado B.Simon em Akamai. Trabalhe com a equipe de suporte ao cliente da Akamai para adicionar os usuários na plataforma da Akamai. Os usuários devem ser criados e ativados antes de usar o logon único.

teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Selecione Testar este aplicativo e você deve estar automaticamente conectado à Akamai para a qual configurou o SSO.

  • Você pode usar o Microsoft My Apps. Quando você seleciona o bloco Akamai em Meus Aplicativos, você deve estar automaticamente conectado ao Akamai para o qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar a Akamai, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.