Поделиться через

Руководство по интеграции единого входа Microsoft Entra с Akamai

  • Статья

В этом руководстве вы узнаете, как интегрировать Akamai с идентификатором Microsoft Entra ID. Интеграция Akamai с идентификатором Microsoft Entra id позволяет:

  • Контроль доступа к Akamai с помощью идентификатора Microsoft Entra ID.
  • Включите автоматический вход пользователей в Akamai с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Интеграция Microsoft Entra ID и Akamai Enterprise Application Access обеспечивает простой доступ к устаревшим приложениям, размещенным в облаке или локальной среде. Интегрированное решение использует преимущества всех современных возможностей идентификатора Microsoft Entra ID, таких как условный доступ Microsoft Entra, Защита идентификации Microsoft Entra и Управление идентификацией Microsoft Entra для устаревших приложений без изменений приложений или Установка агентов.

На приведенном ниже рисунке описано, где Akamai EAA вписывается в более широкий сценарий гибридного безопасного доступа.

Akamai EAA вписывается в более широкий сценарий гибридного безопасного доступа

Сценарии проверки подлинности ключей

Помимо поддержки собственной интеграции Microsoft Entra для современных протоколов проверки подлинности, таких как OpenID Connect, SAML и WS-Fed, Akamai EAA расширяет безопасный доступ для устаревших приложений проверки подлинности на основе устаревших приложений для внутреннего и внешнего доступа с помощью идентификатора Microsoft Entra, что позволяет использовать современные сценарии (например, доступ без пароля) к этим приложениям. К ним относятся:

  • Приложения проверки подлинности на основе заголовков
  • Удаленный рабочий стол
  • SSH (Secure Shell)
  • Приложения проверки подлинности Kerberos
  • VNC (виртуальная сеть вычисления)
  • Анонимная проверка подлинности или нет встроенных приложений проверки подлинности
  • Приложения проверки подлинности NTLM (защита с двумя запросами для пользователя)
  • Приложение на основе форм (защита с двумя запросами для пользователя)

Сценарии интеграции

Партнерство Microsoft и Akamai EAA позволяет гибко соответствовать вашим бизнес-требованиям, поддерживая несколько сценариев интеграции на основе бизнес-требований. Их можно использовать для обеспечения нулевого уровня охвата всех приложений и постепенно классифицировать и настраивать соответствующие классификации политик.

Сценарий интеграции 1

Akamai EAA настраивается как одно приложение на идентификаторе Microsoft Entra. Администратор может настроить политику условного доступа в приложении, и после удовлетворения условий пользователи смогут получить доступ к порталу Akamai EAA.

Плюсы:

  • Необходимо настроить только поставщика удостоверений один раз.

Минусы:

  • Пользователи в конечном итоге имеют два портала приложений.

  • Единый общий охват политики условного доступа для всех приложений.

Сценарий интеграции 1

Сценарий интеграции 2

Приложение Akamai EAA настраивается отдельно на портал Azure. Администратор может настроить политику условного доступа для отдельных пользователей, а после выполнения условий пользователям можно напрямую перенаправить в конкретное приложение.

Плюсы:

  • Можно определить отдельные политики условного доступа.

  • Все приложения представлены на панели waffle 0365 и myApps.microsoft.com Панели.

Минусы:

  • Необходимо настроить несколько удостоверений поставщика удостоверений.

Сценарий интеграции 2

Необходимые условия

Чтобы приступить к работе, вам потребуется следующее:

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка Akamai с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Akamai поддерживает единый вход, инициированный поставщиком удостоверений.

Важный

Все параметры, перечисленные ниже, одинаковы для сценария интеграции 1 и сценария 2. Для сценария интеграции 2 необходимо настроить отдельный идентификатор поставщика удостоверений в Akamai EAA, а свойство URL-адреса необходимо изменить, чтобы указать URL-адрес приложения.

Снимок экрана: вкладка

Чтобы настроить интеграцию Akamai с идентификатором Microsoft Entra ID, необходимо добавить Akamai из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе "Добавление из коллекции" в поле поиска введите Akamai.
  4. Выберите Akamai на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер корпоративной Конфигурация приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Akamai

Настройте и проверьте единый вход Microsoft Entra в Akamai с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Akamai.

Чтобы настроить и проверить единый вход Microsoft Entra в Akamai, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
  2. Настройте единый вход Akamai, чтобы настроить параметры единого входа на стороне приложения.
  3. Проверьте единый вход , чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Akamai>Single sign-on.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. На странице "Настройка единого входа" на странице SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. Если вы хотите настроить приложение в режиме, инициированном поставщиком удостоверений, введите значения для следующих полей:

    a. В текстовом поле "Идентификатор" введите URL-адрес, используя следующий шаблон: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Заметка

    Эти значения не являются реальными. Обновите эти значения фактическим URL-адресом идентификатора и ответа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Akamai. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" найдите XML метаданных федерации и выберите "Скачать", чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка на скачивание сертификата

  7. Скопируйте соответствующие URL-адреса в разделе "Настройка Akamai" в соответствии с вашим требованием.

    Копирование URL-адресов конфигурации

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок "Показать пароль", а затем запишите значение, отображаемое в поле "Пароль".
    4. Выберите "Рецензирование и создание".
  5. Нажмите кнопку "Создать".

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Akamai.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise Akamai.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите " Добавить пользователя или группу", а затем выберите "Пользователи" и "Группы " в диалоговом окне "Добавить назначение ".
    1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
    2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке "Выбор роли ". Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".
    3. В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить".

Настройка единого входа Akamai

Настройка поставщика удостоверений

Конфигурация поставщика удостоверений AKAMAI EAA

  1. Войдите в консоль Akamai Enterprise Application Access .

  2. В консоли Akamai EAA выберите поставщики удостоверений и нажмите кнопку "Добавить поставщика удостоверений>".

    Снимок экрана: окно поставщиков удостоверений консоли Akamai EAA. Выберите поставщики удостоверений в меню

  3. В разделе "Создание поставщика удостоверений" выполните следующие действия.

    Снимок экрана: диалоговое окно

    a. Укажите уникальное имя.

    b. Выберите стороннее SAML и нажмите кнопку "Создать поставщика удостоверений" и "Настроить".

Общие параметры

  1. Перехват удостоверений— укажите имя базового URL-адреса субъекта-службы, который будет использоваться для настройки Microsoft Entra.

    Заметка

    Вы можете выбрать собственный личный домен (потребуется запись DNS и сертификат). В этом примере мы будем использовать домен Akamai.

  2. Зона Akamai Cloud — выберите соответствующую облачную зону.

  3. Проверка сертификата — проверка документации Akamai (необязательно).

    Снимок экрана: вкладка

Конфигурация проверки подлинности

  1. URL-адрес — укажите URL-адрес, аналогичный перехвату удостоверений (это место, где пользователи перенаправляются после проверки подлинности).

  2. URL-адрес выхода: обновите URL-адрес выхода.

  3. Подписать запрос SAML: по умолчанию снят.

  4. Для файла метаданных поставщика удостоверений добавьте приложение в консоль идентификатора Microsoft Entra ID.

    Снимок экрана: конфигурация проверки подлинности консоли Akamai EAA с параметрами URL-адреса, URL-адреса выхода, подписывания запроса SAML и файла метаданных поставщика удостоверений.

Параметры сеанса

Оставьте параметры по умолчанию.

Снимок экрана: диалоговое окно параметров сеанса консоли Akamai EAA.

Каталоги

Пропустите конфигурацию каталога.

Снимок экрана: вкладка каталогов консоли Akamai EAA.

Пользовательский интерфейс настройки

Вы можете добавить настройку для поставщика удостоверений.

Снимок экрана: вкладка

Дополнительные параметры

Пропустить предварительные параметры / дополнительные сведения см. в документации akamai.

Снимок экрана: вкладка

Развёртывание

  1. Щелкните "Развернуть поставщик удостоверений".

    Снимок экрана: вкладка развертывания консоли Akamai EAA с кнопкой

  2. Убедитесь, что развертывание выполнено успешно.

Проверка подлинности на основе заголовков

Проверка подлинности на основе заголовков Akamai

  1. Выберите настраиваемую форму HTTP в мастере добавления приложений.

    Снимок экрана: мастер добавления приложений в консоли Akamai EAA, показывающий CustomHTTP, указанный в разделе

  2. Введите имя и описание приложения.

    Снимок экрана: диалоговое окно пользовательского HTTP-приложения с параметрами имени приложения и описания.

    Снимок экрана: вкладка

    Снимок экрана: консоль Akamai EAA с параметрами сертификата и расположения.

Аутентификация

  1. Перейдите на вкладку " Проверка подлинности ".

    Снимок экрана: консоль Akamai EAA с выбранной вкладкой проверки подлинности.

  2. Назначьте поставщик удостоверений.

    Снимок экрана: вкладка проверки подлинности консоли Akamai EAA для MYHEADERAPP с поставщиком удостоверений, установленным для единого входа Microsoft Entra.

Услуги

Нажмите кнопку "Сохранить" и "Перейти к проверке подлинности".

Снимок экрана: вкладка

Дополнительные параметры

  1. В заголовках HTTP клиента укажите атрибут CustomerHeader и SAML.

    Снимок экрана: вкладка

  2. Нажмите кнопку "Сохранить" и нажмите кнопку "Развертывание ".

    Снимок экрана: вкладка

Развертывание приложения

  1. Нажмите кнопку "Развернуть приложение ".

    Снимок экрана: вкладка

  2. Убедитесь, что приложение успешно развернуто.

    Снимок экрана: вкладка развертывания консоли Akamai EAA с сообщением о состоянии приложения:

  3. Взаимодействие с конечным пользователем.

    Снимок экрана: открытие экрана для myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана: часть окна

  4. Условный доступ.

    Снимок экрана: утверждение запроса на вход. Мы отправили уведомление на мобильное устройство. Пожалуйста, ответьте на продолжение.

    Снимок экрана: экран

Удаленный рабочий стол

  1. Выберите RDP в мастере добавления приложений.

    Снимок экрана: мастер добавления приложений в консоли Akamai EAA, показывающий RDP, указанный среди приложений в разделе

  2. Введите имя и описание приложения.

    Снимок экрана: диалоговое окно приложения RDP с параметрами имени приложения и описания.

    Снимок экрана: вкладка

  3. Укажите соединитель, который будет обслуживать это.

    Снимок экрана: консоль Akamai EAA с параметрами сертификата и расположения. Связанные соединители заданы как USWST-CON1.

Аутентификация

Нажмите кнопку "Сохранить" и перейдите к службам.

Снимок экрана: вкладка проверки подлинности консоли Akamai EAA для SECRETRDPAPP с кнопкой

Услуги

Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.

Снимок экрана: вкладка

Дополнительные параметры

  1. Нажмите кнопку "Сохранить" и перейдите к развертыванию.

    Снимок экрана: вкладка

    Снимок экрана: вкладка расширенных параметров консоли Akamai EAA для SECRETRDPAPP с параметрами конфигурации проверки подлинности и работоспособности.

    Снимок экрана: параметры пользовательских заголовков HTTP консоли Akamai EAA для SECRETRDPAPP с кнопкой

  2. Взаимодействие с конечным пользователем

    Снимок экрана: окно myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана: окно myapps.microsoft.com Приложения со значками для надстройки, HRWEB, Akamai — CorpApps, Expense, Groups и Access reviews.

  3. Условный доступ

    Снимок экрана: сообщение условного доступа: утверждение запроса на вход. Мы отправили уведомление на мобильное устройство. Пожалуйста, ответьте на продолжение.

    Снимок экрана: экран

    Снимок экрана: экран WINDOWS Server 2012 RS с универсальными значками пользователей. Значки администратора, пользователя0 и пользователя1 показывают, что они вошли.

  4. Кроме того, можно также напрямую ввести URL-адрес приложения RDP.

SSH

  1. Перейдите к разделу "Добавить приложения", выберите SSH.

    Снимок экрана: мастер добавления приложений в консоли Akamai EAA, показывающий SSH, перечисленный среди приложений в разделе

  2. Введите имя и описание приложения.

    Снимок экрана: диалоговое окно приложения SSH с параметрами имени приложения и описания.

  3. Настройка удостоверения приложения.

    a. Укажите имя и описание.

    b. Укажите IP-адрес или полное доменное имя сервера приложений и порт для SSH.

    c. Укажите имя пользователя SSH / парольную фразу *Check Akamai EAA.

    d. Укажите имя внешнего узла.

    e. Укажите расположение соединителя и выберите соединитель.

Аутентификация

Нажмите кнопку "Сохранить" и перейдите к службам.

Снимок экрана: вкладка проверки подлинности консоли Akamai EAA для SSH-SECURE с кнопкой

Услуги

Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.

Снимок экрана: вкладка

Дополнительные параметры

Нажмите кнопку "Сохранить" и перейдите к развертыванию.

Снимок экрана: вкладка

Снимок экрана: параметры пользовательских заголовков HTTP консоли Akamai EAA для SSH-SECURE с помощью кнопки

Развёртывание

  1. Нажмите кнопку "Развернуть приложение".

    Снимок экрана: вкладка

  2. Взаимодействие с конечным пользователем

    Снимок экрана: диалоговое окно входа myapps.microsoft.com.

    Снимок экрана: окно

  3. Условный доступ

    Снимок экрана: утверждение запроса на вход. Мы отправили уведомление на мобильное устройство. Пожалуйста, ответьте на продолжение.

    Снимок экрана: экран

    Снимок экрана: окно командной строки для ssh-secure-go.akamai-access.com с запросом пароля.

    Снимок экрана: окно командной строки для ssh-secure-go.akamai-access.com отображения сведений о приложении и отображения строки для команд.

Проверка подлинности Kerberos

В приведенном ниже примере мы опубликуем внутренний веб-сервер http://frp-app1.superdemo.live и включите единый вход с помощью KCD.

Вкладка "Общие"

Снимок экрана: вкладка

Вкладка "Проверка подлинности"

Назначьте поставщика удостоверений.

Снимок экрана: вкладка проверки подлинности консоли Akamai EAA для MYKERBOROSAPP с поставщиком удостоверений, установленным для единого входа Microsoft Entra.

Вкладка "Службы"

Снимок экрана: вкладка

Дополнительные параметры

Снимок экрана: вкладка

Заметка

Имя субъекта-службы для веб-сервера имеет SPN@Domain формат, HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE например для этой демонстрации. Оставьте остальные параметры по умолчанию.

Вкладка "Развертывание"

Снимок экрана: вкладка

Добавление каталога

  1. Выберите AD из раскрывающегося списка.

    Снимок экрана: окно каталогов консоли Akamai EAA с диалоговым окном создания нового каталога с ad, выбранным в раскрывающемся списке для типа каталога.

  2. Укажите необходимые данные.

    Снимок экрана: окно SUPERDEMOLIVE консоли Akamai EAA с параметрами для каталога, службы каталогов, соединителя и сопоставления атрибутов.

  3. Проверьте создание каталога.

    Снимок экрана: окно консольных каталогов Akamai EAA с указанием добавления superdemo.live каталога.

  4. Добавьте группы и подразделения, которым потребуется доступ.

    Снимок экрана: параметры для каталога superdemo.live. Выделен значок, выбранный для добавления групп или подразделений.

  5. В приведенной ниже группе называется EAAGroup и имеет 1 член.

    Снимок экрана: окно

  6. Добавьте каталог к поставщику удостоверений, щелкнув поставщик удостоверений>и щелкнув вкладку "Каталоги" и "Назначить каталог".

    Снимок экрана: вкладка каталогов консоли Akamai EAA для единого входа Microsoft Entra, в которой отображается superdemo.live в списке назначенных каталогов.

Настройка делегирования KCD для EAA Walkthrough

Шаг 1. Создание учетной записи

  1. В примере мы будем использовать учетную запись с именем EAADelegation. Это можно сделать с помощью пользователей Active Directory и оснастки компьютера .

    Снимок экрана: вкладка каталогов консоли Akamai EAA для единого входа Microsoft Entra. Каталог superdemo.live указан в каталоге, назначаемом в настоящее время.

    Заметка

    Имя пользователя должно находиться в определенном формате на основе имени перехвата удостоверений. На рисунке 1 мы видим, что это corpapps.login.go.akamai-access.com

  2. Имя входа пользователя будет:HTTP/corpapps.login.go.akamai-access.com

    Снимок экрана: свойства EAADelegation с именем

Шаг 2. Настройка имени участника-службы для этой учетной записи

  1. На основе этого примера имя субъекта-службы будет следующим образом.

  2. setpn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Снимок экрана: командная строка администратора с результатами команды setpn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Шаг 3. Настройка делегирования

  1. Для учетной записи EAADelegation щелкните вкладку "Делегирование".

    Снимок экрана: командная строка администратора с командой для настройки имени участника-службы.

    • Укажите любой протокол проверки подлинности.
    • Нажмите кнопку "Добавить и добавить учетную запись пула приложений" для веб-сайта Kerberos. При правильной настройке он должен автоматически разрешаться для исправления имени участника-службы.

Шаг 4. Создание файла keytab для AKAMAI EAA

  1. Ниже приведен универсальный синтаксис.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Пример описан

    Обрезок Объяснение
    Ktpass /out EAADemo.keytab Имя выходного файла Keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Учетная запись делегирования EAA
    /pass RANDOMPASS Пароль учетной записи делегирования EAA
    /crypto All ptype KRB5_NT_PRINCIPAL Ознакомьтесь с документацией по Akamai EAA

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Снимок экрана: командная строка администратора с результатами команды для создания файла Keytab для AKAMAI EAA.

Шаг 5. Импорт ключа в консоли AKAMAI EAA

  1. Щелкните системные>ключи.

    Снимок экрана: консоль Akamai EAA с выбранными ключами в меню

  2. В типе Keytab выберите делегирование Kerberos.

    Снимок экрана: экран консоли EAA EAA AKamai EAAKEYTAB с параметрами Keytab. Для типа Keytab задано значение

  3. Убедитесь, что keytab отображается как развернутый и проверенный.

    Снимок экрана: экран KEYTABS консоли Akamai EAA с описанием ключа EAA как

  4. Взаимодействие с пользователем

    Снимок экрана: диалоговое окно входа в myapps.microsoft.com.

    Снимок экрана: окно

  5. Условный доступ

    Снимок экрана: сообщение запроса на утверждение входа. сообщение.

    Снимок экрана: экран

    Снимок экрана: экран-заставка для myKerberosApp. Сообщение

Создание тестового пользователя Akamai

В этом разделе описано, как создать пользователя B.Simon в Akamai. Обратитесь к группе поддержки клиентов Akamai, чтобы добавить пользователей на платформу Akamai. Пользователи должны быть созданы и активированы перед использованием единого входа.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Akamai, для которого настроили единый вход.

  • Вы можете использовать microsoft Мои приложения. Щелкнув плитку Akamai в Мои приложения, вы автоматически войдете в приложение Akamai, для которого настроили единый вход. Дополнительные сведения о Мои приложения см. в статье "Введение в Мои приложения".

Дальнейшие действия

После настройки Akamai вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облака Apps.